Многоуровневое управление доступом в Active Directory …?
Я пытаюсь решить проблему. Инструмент, который я пытаюсь использовать, является Active Directory, но я не уверен, является ли это правильный инструмент для задания.
Позвольте мне попытаться объяснить...
У меня есть приложение (веб-сайт) разрабатываемый, в котором я должен разработать securitymodel/infrastructure. Я очень хотел бы использовать AD потому что столько вещей о AD соответствиях отлично с требованиями для приложения. На самом деле все кроме требований полностью подходят. Проблема, которую я имею, состоит в том, что я должен управлять несколькими экземплярами того же приложения в рамках того же активного каталога, и пользователи должны смочь получить доступ к подмножеству этих приложений с различными правами доступа на тех же областях в приложении...
Довольно трудно для объяснения, позволяет, дают ему пример. Сначала простые и совершенствуют тот: у Меня есть только один пользователь ("User1") и одно приложение ("App1"). В приложении существует ряд областей, каждой областью должен быть ограниченный доступ. Можно было решить это путем предоставления каждой области связанного securitygroup в AD, в котором пользователь должен быть участником для получения доступа к области...., например, если Усера должен иметь доступ к Area1 затем, он должен быть членом согласно securitygroup.... кусок пирога!
Позволяет добавляет скручивание к примеру: Continueing пример выше, говорят, что существует теперь два выполнения приложений, и быть управляемым тем же AD, существует теперь App1 и App2. Оба приложения совместно используют ту же область доступа securitygroups и тот же исходный код. Теперь мы добираемся до проблемы: Как каждый делает члена Усера Area1 в App1, но не в Area1 в App2? приложение проверяет на членство securitygroup "Area1" прежде, чем позволить пользователю в конкретную область, но это не видит, было ли членство присвоено для использования с App1 или App2...?
Так, нижняя строка: Как я могу управлять доступом к области в приложениях. Должно быть возможно предоставить доступ к Area1 в App1, но ограничить доступ к области один в, например, App2... Обратите внимание, что Приложение (веб-сайт) не может иметь, например, различные конфигурации (.config никакого вида) для каждого пользователя. Также обратите внимание, что существуют десятки тысяч и пользователей и экземпляров приложения. Сумма областей будет в сотнях...
Как можно было бы решить что-то вроде этого в AD....? если это возможно вообще?
Я не уверен, имеет ли explaination выше какой-либо смысл, я надеюсь так. В противном случае сообщите мне...
0 ответов
IIUC у Вас должна быть группа безопасности для каждой комбинации экземпляра приложения и области.
App1 Area1 -> App1Area1Group
App1 Area2 -> App1Area2Group
App2 Area1 -> App2Area1Group
App2 Area2 -> App2Area2Group
Таким образом, все сделано путем соответствующего именования групп. Если Вы предпочитаете, чтобы можно было разделить группы на OUs.