現有 .net Web 應用程序需要更改身份驗證

Question

我繼承了現有的 .net Web 應用程序。 它是一個供外部用戶和內部用戶使用的外部網站。 為了登錄/驗證內部用戶，它使用 LDAP 驗證。 外部用戶轉到不同的數據庫。

我的 IT 部門想要改變內部用戶登錄的方式。 他們不想讓外部服務器能夠使用 LDAP 訪問 AD。 是否有更安全的方法從外部服務器訪問 AD？ 或者根本不推薦這樣做？

另外，登錄的設計有缺陷嗎？ 內部和外部用戶是否應該以相同的方式登錄？ 登錄用戶的最佳實踐是什么？

Answer 1

您可以為此使用 ADFS（Active Directory 聯合服務）。

這將要求您在網絡內安裝 ADFS 服務器（以便它可以聯系 AD）。

ADFS 服務器包含基於 Web 的 STS（安全令牌服務），以允許網頁使用 AD 帳戶登錄。

簡而言之，它的工作原理如下：

1. 您的用戶導航到外部 Web 應用程序
2. Web 應用程序會將用戶重定向到 ADFS STS 服務器。
3. ADFS STS 服務器將驗證您的憑據（通過使用集成安全性或基於 Web 的登錄框）
4. 如果 ADFS STS 服務器對憑據感到滿意，它將使用登錄令牌作為額外信息將用戶重定向回外部 Web 應用程序。 此令牌包含有關用戶的信息（可以配置）。 它由 ADFS 服務器簽名（以確保信息真實）並且可以選擇加密。
5. 外部 Web 應用程序提取令牌並測試簽名。 如果一切正確，Web 應用程序將授予用戶應具有的權限。

有關在 ASP.NET 應用程序中進行設置的信息，您可以參考以下 URL： http : //blogs.msdn.com/b/alextch/archive/2011/06/27/building-a-test-claims-意識到asp-net-application-and-integrating-it-with-adfs-2-0-security-token-service-sts.aspx