외부 사용자를 Active Directory에 배치하는 것은 나쁜 습관입니까?

Question

우리는 기존 웹 응용 프로그램을 보유하고 있으며 사용자 지정 인증 솔루션에서 Active Directory Federation Services로 마이그레이션하여 파트너 조직이 사용자 측의 사용자 권한을 관리 할 수 ​​있도록하고 있습니다.

지금 사이트는 사용자 지정 데이터베이스 테이블을 사용하여 사용자 및 사용자 지정 논리를 관리하여 인증 및 권한 부여를 관리합니다.

사용자를 인증하고 ADFS를 통해 액세스 할 수있는 파트너 조직 외에도 Active Directory 도메인에있는 내부 사용자가 있습니다. 이러한 사용자는 ADFS를 통해 인증 될 수도 있습니다.

우리의 질문은 외부 사용자를 중심으로 이루어집니다. 이 사이트에서는 개인을 등록 할 수도 있습니다. 이러한 개인은 자신이 일하는 조직이 없으므로 ADFS를 사용하여 인증을 처리 할 수 ​​없습니다.

우리는 이러한 개인을 지원해야하므로 사용자 계정을 관리해야합니다.

ADFS는 Active Directory 또는 Active Directory 응용 프로그램 모드 계정 저장소에만 연결할 수 있습니다.

ADFS는 이러한 계정 저장소 만 지원하므로 논리적 솔루션은 Active Directory 도메인의 외부 사용자 계정을 만드는 것입니다.

이것은 사용자 지정 데이터베이스에 새 레코드를 만드는 대신 활성 Active Directory에서 새 사용자 계정을 만들기 위해 등록 페이지를 업데이트한다는 것을 의미합니다.

이렇게 나쁜 습관입니까? 조직 외부의 사용자에게 AD를 사용해야합니까? ADFS를 사용할 때 다른 사람들이 이러한 유형의 상황을 어떻게 처리합니까?

Answer 1

외부 사용자를위한 새로운 AD 포리스트를 만들려면 더 나은 보안을 설정해야하지만 완벽한 인증을 위해이 두 가지를 고려할 수 있습니다.

로그온 할 때 다른 도메인을 사용하도록 알려야합니다 (예 : 일반 사용자는 'mycorp', 외부는 'externalcorp'). 그렇지 않으면 완전히 투명합니다.

Answer 2

예, 내부 사용자와 동일한 광고에 외부 사용자를 배치하는 것은 바람직하지 않습니다. 외부 계정을 별도로 유지하고 외부 사용자 인증을 위해 ADAM을 확인하십시오.

Answer 3

액티브 디렉터리에 외부 계정을 저장하는 것이 좋지 않을 때 묻는 질문이 아니라 내부 계정이 같은 포리스트에 계정을 저장하는 것이 좋지 않을 때 질문하는 것이 좋습니다. 그런 일은 할 수 있지만 Fallen에 동의하는 경향이 있습니다. 외부 계정을 내부 포털과 동일한 포리스트에 두지 않을 것입니다.

이전에 AD 스토어를 사용하여 외부 계정을 만들었을 때 우리는 새 포리스트를 만들고 거기에 외부 사용자를 배치 한 다음 두 도메인을 신뢰했습니다. 필자의 의견으로는 액세스 권한이 가장 큰 사용자가 내부 네트워크에 대한 권한이 사용자의 계정이 아닌 신뢰에 의해 제한되기 때문에 이것이 더 나은 옵션이라고 생각합니다. 도메인이 구성되어 있다면 항상 종료하고 내부 네트워크에 액세스 할 수있는 외부 도메인이 없다는 것을 알 수 있습니다. 또한 외부 및 내부 사용자간에 서로 다른 보안 정책을 가질 수 있습니다.