针对多个提供商（SQl 和 AD）的表单身份验证

Question

我们有一个适用于内部用户和外部客户的应用程序。 我们希望针对内部用户针对 AD 进行身份验证，针对外部客户针对 sql 成员资格进行身份验证。 有人采取过类似的方法吗？ 另外，在 DMZ 中针对 AD 进行身份验证的最佳方法是什么？ 我宁愿在 dmz 中拥有某种代理，并处理针对我们内部网络上的 AD DC 的身份验证。 有什么建议么？

TIA， 凯文

Answer 1

我们也有类似的情况。 我们的内部用户反对 AD，外部用户反对 ADAM 商店。 与您的数据库方法不同，但相似之处在于它们有两个用户存储。 我们针对 AD 的身份验证发生在安全区域中，DMZ 中的 Web 服务器向安全区域发出 Web 服务调用以进行身份​​验证。 不知道你在寻找什么，但你的方法听起来不错。

编辑回答评论：

• ADAM 存储未与数据库同步。
• 基本上，Web 服务配置为使用两个提供程序，每个商店对应一个提供程序。 事实上，在用户从遗留系统迁移的一段时间内，有3个。 为了确定用户位于哪个商店，应用程序只需首先询问最常见的提供商（在我们的例子中为 ADAM），如果用户不存在，它将移至下一个提供商。
• 端点是防火墙内的 Web 服务，在中间层服务器上运行。 该服务器确实运行 IIS，因此从技术上讲，它是一个 Web 服务器，但实际上是我们的中间层服务器，因为它不提供任何页面或托管除一些 Web 服务之外的任何内容。
• 所以听起来您有两种类型的外部用户。 真正的内部用户（在 AD 中）和真正的外部用户（在 DB 中）。 这不是很优雅，但您可以有 2 个登录屏幕，每个屏幕一个。 不要将内部用户的外部登录屏幕发布给除他们之外的任何人，并将真实的外部登录屏幕发布到全世界。 有点老套，但它会起作用。 否则，您的登录过程将需要识别用户的类型。