내부 애플리케이션이지만 인터넷에서 액세스 할 수 있어야하는 애플리케이션을 개발 중입니다. 우리는 OpenID Connect를 사용하여 사용자를 인증했습니다. 사용자는 응용 프로그램에 로그인 할 수 있도록 IAM 플랫폼 (ISAM IBM 보안 액세스 관리)에 유효한 계정을 가지고 있어야합니다. 사용자가 응용 프로그램을 탐색하면 IAM 플랫폼 로그온 페이지로 리디렉션됩니다. 일단 자격 증명을 입력하면 응용 프로그램에 들어갈 수 있습니다.광고 그룹에 기반한 인증
이제 우리는 어떤 AD 그룹 사용자가 속한지를 기준으로 일종의 승인을 원합니다. 우리는 어떻게 그것을 성취 할 수 있습니까? 사용자가 인증되고 응용 프로그램으로 리디렉션 된 후 응용 프로그램은 AD에서 정보를 가져와야합니까? 방법?
두 가지 옵션이 있습니다.
1) 해당 AD 그룹의 로그인 사용자 인 만 허용하십시오. OpenID Connect가 IAM에서 그룹 정보를 요청할 수 있어야하거나 IAM이 각 AD 그룹에 대한 로그인 만 허용하도록 설정되어 있어야합니다.
2) 또는 신청서 입력시 AD 그룹을 확인하십시오.
이 일반적으로 응용 프로그램 측과 특정 프로그래밍에서 수행 될 응용 프로그램에 따라 다릅니다 만, 일반적으로 응용 프로그램은 사용자가 이와 같은 특정 그룹의 구성원인지 확인하기 위해 AD에 LDAP 요청을 할 필요가 :
How to write LDAP query to test if user is member of a group?
옵션 1에 관해서는 응용 프로그램에 대한 액세스가 아니라고 말하고 싶습니다. IAM 플랫폼에 계정이있는 모든 사용자는 응용 프로그램에 액세스 할 수 있습니다. 문제는 AD 그룹 1에 속한 일부 사용자에게 페이지 1, 페이지 2 및 페이지 3 만 표시되도록 할 수있는 방법입니다. 그리고 AD 그룹 2에 속한 사용자는 2, 5 및 6 페이지 만 참조하십시오. 옵션 2에 대해서는 응용 프로그램 측면에서 일부 구성을 수행해야합니까? 즉 도메인이나 다른 것으로 조인하는 것입니다. – user217648
@ user217648 자세한 설정에 따라 달라집니다. 그러나 일반적으로 LDAP 쿼리는 인증을 위해 일부 AD 계정을 사용하여 LDAP 서버에 연결해야합니다. 따라서 응용 프로그램의 AD 계정을 설정해야합니다. 응용 프로그램의 서버가 도메인에 있어야한다는 것을 의미하지는 않습니다. 단지 LDAP 계정을 만들 때 AD 계정을 제공하고 패스합니다. – Gnudiff
OIDC에 어떤 클라이언트 측 스택을 사용하고 있습니까? 이 태그가 ADFS 인 이유는 무엇입니까? – nzpcmad