如果公司经常要求在合作伙伴的活动目录中创建用户,反之亦然,建立AD实例之间的联合/可信关系是否有意义?如果是这样,应该考虑什么?合作伙伴AD中用户的ACL是否仍以相同的方式工作?这暴露了什么安全风险?在合作伙伴公司的Active Directory实例之间建立信任关系有意义吗?
谢谢!
KA
更新:
我了解到,有一个更好的办法通过让应用程序本身检查用户存储来做到这一点。做到这一点的最佳方式是将应用程序移到两个用户存储都信任的域中。我在下面的答案中提供了更多细节。
是的,如果你希望能够跨多个域验证人们,这是有道理的。您必须将具有您的目标应用程序的服务器放入您想用于身份验证的每个AD实例所信任的域中。
我一直在研究这一点,我找到了一个很好的解决方案。由于两家公司都需要使用同一个系统,因此系统本身只需验证用户是否存在于用户存储(认证)中,然后再通过系统级授权。
给予两家公司访问权的想法是稳固的 - 如果我们一起工作,并且没有办法做到这一点,我们需要重新创建公司中的所有用户,而无需访问所连接的用户商店。显然,这将是一团糟和维护的噩梦。
我发现在我的情况下,即使两个广告位于同一个广域网上,也需要有正式的联合或信任。值得庆幸的是,我们已经拥有了一家两家公司之间值得信赖的域名,所以我只需将合作伙伴使用的应用程序迁移到这个域中即可。在此之后,只需完全限定DNS后缀以指示正在使用的AD。特定于应用程序的ACL然后引用所需的用户存储。