Mehrstufige Zugriffssteuerung in Active Directory ...?

616
Thomas Eg Jørgensen

Ich versuche ein Problem zu lösen. Das Werkzeug, das ich zu verwenden versuche, ist Active Directory, aber ich bin nicht sicher, ob es das richtige Werkzeug für den Job ist.

Lass mich versuchen zu erklären ...

Ich habe eine Anwendung (eine Website) in der Entwicklung, in der ich ein Sicherheitsmodell / eine Infrastruktur entwerfen muss. Ich würde gerne AD verwenden, weil so viele Dinge über AD perfekt zu den Anforderungen der Anwendung passen. Tatsächlich passen alle bis auf eine Anforderung wie angegossen. Das Problem, das ich habe, ist, dass ich mehrere Instanzen derselben Anwendung innerhalb desselben aktiven Verzeichnisses steuern muss und die Benutzer in der Lage sein müssen, auf eine Teilmenge dieser Anwendungen mit unterschiedlichen Zugriffsrechten in denselben Bereichen der Anwendung zuzugreifen.

Etwas schwer zu erklären, lassen Sie uns ein Beispiel geben. Zuerst das einfache und perfekte: Ich habe nur einen Benutzer ("User1") und eine Anwendung ("App1"). Innerhalb der Anwendung gibt es eine Reihe von Bereichen, für die jeder Bereich eingeschränkt sein muss. Sie können dies lösen, indem Sie jedem Bereich eine zugeordnete Sicherheitsgruppe in AD zuweisen, in der ein Benutzer Mitglied sein muss, um Zugriff auf den Bereich zu erhalten. Wenn UserA Zugriff auf Bereich1 haben soll, muss er Mitglied der entsprechenden Sicherheitsgruppe sein. ..Stück Kuchen!

Fügen wir dem Beispiel die Wendung hinzu: Wenn wir das obige Beispiel fortsetzen, sagen wir, dass jetzt zwei Anwendungen ausgeführt werden, die beide vom selben AD gesteuert werden, es gibt jetzt App1 und App2. Beide Anwendungen verwenden dieselben Zugriffsbereichs-Sicherheitsgruppen und denselben Quellcode. Nun kommen wir zum Problem: Wie wird UserA in App1 Mitglied von Area1, aber nicht in Area1 in App2? Die Anwendung prüft die Mitgliedschaft in der Sicherheitsgruppe "Area1", bevor der Benutzer in den betreffenden Bereich gelassen wird. Er kann jedoch nicht feststellen, ob die Mitgliedschaft für die Verwendung mit App1 oder App2 zugewiesen wurde ...?

Unterm Strich also: Wie kann ich den Zugriff auf die Bereiche in den Anwendungen steuern? Es muss möglich sein, Zugriff auf Area1 in App1 zu gewähren, aber den Zugriff auf Area One in z. B. App2 zu beschränken. Beachten Sie, dass die Anwendung (eine Website) z. B. keine unterschiedlichen Konfigurationen (.config jeglicher Art) für jeden Benutzer haben kann. Beachten Sie auch, dass es Zehntausende von Benutzern und Anwendungsinstanzen gibt. Die Anzahl der Gebiete wird in den Hunderten liegen ...

Wie würde man so etwas in AD lösen ...? wenn es überhaupt möglich ist?

Ich bin mir nicht sicher, ob die obige Erklärung Sinn ergibt, hoffe ich. Wenn nicht, lass es mich wissen ...

0

1 Antwort auf die Frage

0
oleschri

Für IUC benötigen Sie eine Sicherheitsgruppe für jede Kombination aus Anwendungsinstanz und Bereich.

 App1 Area1 -> App1Area1Group App1 Area2 -> App1Area2Group  App2 Area1 -> App2Area1Group App2 Area2 -> App2Area2Group 

Also wird alles getan, indem die Gruppen entsprechend benannt werden. Wenn Sie möchten, können Sie die Gruppen in OUs unterteilen.

Vielleicht sollte diese Frage besser bei StackOverflow gestellt werden oleschri vor 13 Jahren 0