Я пытаюсь решить проблему. Инструмент, который я пытаюсь использовать, это Active Directory, но я не уверен, что это правильный инструмент для работы.

Позвольте мне попытаться объяснить ...

У меня есть приложение (веб-сайт) в разработке, в котором мне нужно разработать модель безопасности / инфраструктуру. Я бы очень хотел использовать AD, потому что многие вещи в AD идеально соответствуют требованиям для приложения. На самом деле все требования, кроме одного, подходят как перчатки. У меня проблема в том, что я должен контролировать несколько экземпляров одного и того же приложения в одном и том же активном каталоге, и пользователи должны иметь возможность доступа к подмножеству этих приложений с разными правами доступа в одних и тех же областях приложения ...

Вроде сложно объяснить, давайте приведем пример. Сначала простой и совершенный: у меня есть только один пользователь ("Пользователь1") и одно приложение ("Приложение1"). Внутри приложения есть набор областей, доступ к каждой области должен быть ограничен. Это можно решить, предоставив каждой области связанную группу безопасности в AD, в которой пользователь должен быть участником, чтобы получить доступ к этой области ... например, если пользователь A должен иметь доступ к Area1, он должен быть членом соответствующей группы безопасности. ..Кусок пирога!

Давайте добавим поворот к примеру: продолжая приведенный выше пример, скажем, что сейчас запущены два приложения, оба управляются одной и той же AD, теперь есть App1 и App2. Оба приложения используют одни и те же группы безопасности зоны доступа и один и тот же исходный код. Теперь мы подошли к проблеме: как сделать UserA участником Area1 в App1, а не в Area1 в App2? приложение проверяет членство в группе безопасности "Area1", прежде чем пропустить пользователя в определенную область, но не может увидеть, назначено ли членство для использования с App1 или App2 ...?

Итак, суть: как я могу контролировать доступ к области в приложениях. Должна быть возможность предоставить доступ к Area1 в App1, но ограничить доступ к Area 1, например, в App2 ... Обратите внимание, что Приложение (веб-сайт) не может иметь, например, различные конфигурации (.config любого вида) для каждого пользователя. Также обратите внимание, что есть десятки тысяч как пользователей, так и экземпляров приложений. Количество площадей будет в сотнях ...

Как можно решить что-то подобное в AD ....? если это вообще возможно?

Я не уверен, имеет ли смысл приведенное выше объяснение, я надеюсь, что так. Если нет, пожалуйста, дайте мне знать ...

1 ответ1

0

IIUC вам нужно иметь группу безопасности для каждой комбинации экземпляра приложения и области.

  App1 Area1 -> App1Area1Group
  App1 Area2 -> App1Area2Group

  App2 Area1 -> App2Area1Group
  App2 Area2 -> App2Area2Group

Таким образом, все сделано, соответственно называя группы. Если вы предпочитаете, вы можете разделить группы на подразделения.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .