ASP.NET 응용 프로그램에서 Windows 인증

Question

레거시 인트라넷 ASP .NET 웹 응용 프로그램을 "폼"기반 인증에서 "Windows"기반 인증으로 마이그레이션하려고하므로 사용자가 자격 증명을 다시 입력 할 필요가 없습니다 PC에 로그인 한 후 현재 로그인 한 ID를 읽고 응용 프로그램에서 사용자를 인증하고 권한을 부여하기 위해 ID를 사용하기 만하면됩니다.

ASP .NET에서 창 작업 인증은 매우 간단합니다. 사용자 및 그룹이 AD 또는 ADAM에서 어떻게 관리되어야하는지 확인하고 싶었습니다.

같은 사용자는 Dev, UAT, LT, Prod 등과 같은 동일한 응용 프로그램의 여러 환경에 대한 권한을 가질 수 있으므로 여러 환경 (다른 URL)에서 동일한 도메인 계정을 인증해야합니다. 또한 환경에 일단 인증되면 사용자가 수행 할 수있는 작업을 결정하는 여러 역할에 속할 수 있습니다.

광고에서이 구조를 설정하는 방법에 대한 몇 가지 권장 사항을 찾고있었습니다. AD에서 App_Dev, App_UAT, App_Prod 등의 다양한 환경에 대한 그룹을 만들고 각 그룹에 중첩 된 그룹을 만들려고합니다. App_Dev \ Role1, App_Dev \ Role2, App_UAT \ Role1 등과 같은 응용 프로그램의 각기 다른 역할에 대해 각각의 환경에 대해 사용자를 추가 할 수 있습니다.

너희들은 어떻게 생각하니?

Answer 1

인증 및 권한 부여는 두 가지 다른 점이 있음을 기억해야합니다. 당신은 당신의 논리에 그들을 결합했습니다.

예를 들어 인증 메커니즘은 AD입니다. 그렇습니다. 자격 증명 및 그룹 구성원 인증을 위해 AD를 사용하여 특정 인스턴스로 인증 할 수 있는지 확인하십시오.

그러나 기존 RolesProvider를 계속 사용하고 SQL 백엔드를 사용하여 데이터베이스의 인스턴스 당 역할 할당 및 역할에 사용자를 저장할 수 있습니다. 이것은 쉽고 AD에 그룹을 만들면서 외출 할 필요없이 ASP.NET의 기본 기능을 사용합니다. ASP.NET AD Authentication and SQL Roles Provider에 대한 웹에서 다양한 검색을 수행 할 수 있습니다. 나는 ScottGu가 그것을하는 방법에 관하여 오래된 기사가있다조차 생각한다.

마지막으로 여기에 설명 된 내용은 SSO 또는 Single Sign-On이 아니므로이를 반영하여 질문을 업데이트하겠습니다. SSO는 많은 응용 프로그램간에 신뢰할 수 있고 공유되는 토큰을 만드는 것을 말합니다. 제공된 예제를 사용하는 것이 필요하지는 않지만 ADFS와 Windows Identity Foundation (WIF)을 조사하게됩니다. AD를 사용한다고해서 SSO가 있다는 것을 의미하는 것은 아니며 단순히 단일 인증 공급자가 있다는 것을 의미하지만 실제로는 중앙 인증 서비스에 대한 초기 인증 및 권한 부여 요청 만 필요로하는 토큰 기반 시스템이 없습니다 ADFS.