将外部用户放入 Active Directory 是一种不好的做法吗？

Question

我们有一个现有的 Web 应用程序，并且希望从自定义身份验证解决方案迁移到 Active Directory 联合身份验证服务，以便我们的合作伙伴组织可以管理其用户的授权。

目前，该站点正在使用自定义数据库表来管理用户，并使用自定义逻辑来管理身份验证和授权。

除了将验证其用户并通过 ADFS 获取访问权限的合作伙伴组织之外，我们还有位于 Active Directory 域中的内部用户。 这些用户还可以通过 ADFS 进行身份验证。

我们的问题围绕着我们的外部用户。 该网站还允许个人注册。 这些人没有为任何组织工作，因此我们无法使用 ADFS 来处理他们的身份验证。

由于我们需要支持这些人，因此我们需要管理他们的用户帐户。

ADFS 只能连接到 Active Directory 或 Active Directory 应用程序模式帐户存储。

由于 ADFS 仅支持这些帐户存储，因此逻辑解决方案似乎是在我们的 Active Directory 域中为外部用户创建帐户。

这意味着我们将更新注册页面以在活动 Active Directory 中创建新的用户帐户，而不是在自定义数据库中创建新记录。

那么，这是一种不好的做法吗？ AD 是否应该用于组织外部的用户？ 其他人在使用 ADFS 时如何处理这种情况？

Answer 1

为外部用户创建新的 AD 林，您可能需要设置一些更好的安全性，但可以将两者连接起来以进行无缝身份验证。

您需要告诉他们在登录时使用不同的域（例如，您的普通用户使用“mycorp”，外部用户使用“externalcorp”），但否则它是完全透明的。

Answer 2

是的，将外部用户与内部用户放在同一个 AD 中是不好的做法。 将外部帐户分开，并查看 ADAM 进行外部用户身份验证。

Answer 3

我认为您需要问的问题不是将外部帐户存储在活动目录中是否不好，而是将帐户存储在与内部帐户相同的林中是否不好。 这是可以做到的，但我倾向于同意 Fallen 的观点，即我不会将外部帐户与内部帐户放在同一个林中。

过去，当我们使用 AD 存储来放置外部帐户时，我们创建了一个新林并将外部用户放置在其中，然后信任这两个域。 在我看来，这是更好的选择，因为用户对内部网络的最高访问权限受到信任而不是用户帐户的限制。 如果域被包含，您可以随时将其关闭，并且您会知道外部网络无法访问内部网络。 这还允许您在外部和内部用户之间拥有不同的安全策略。