MVC3 中的 Windows 身份验证 - 如何使用不同域进行身份验证

Question

我在 MVC Intranet 应用程序中使用

模式。将使用该应用程序的用户使用域 A 中的 Windows 帐户进行登录。但是，我可以用来托管我的应用程序的唯一计算机（计算机 X）位于 <域 B。当访问机器 X 上的应用程序时，系统会提示用户提供来自域 B 的凭据 - 但是他们在那里没有帐户，即使他们有 - 这仍然是一个麻烦他们手动登录（该应用程序被认为可以简化他们的工作）。我的问题是：有什么方法可以在域 B 中的托管机器 X 中使用域 A 启用身份验证吗？

谢谢

Answer 1

这需要在域 A 和 B 之间建立信任。如果 A 和 B 之间没有信任，则不太可能起作用，除非您在域 A 和 B 中拥有匹配的帐户（具有匹配的密码）。

Answer 2

正如前面所讨论的，使用集成 Windows 身份验证，选择是建立信任。

也就是说，如果您愿意自己做与身份验证相关的事情，则可以使用一些选项。您可以在应用程序中收集凭据，然后直接针对域 B 中的 DC 执行您自己的操作（LDAP 调用、Kerb 等）。但这也有缺点……编写这样的代码并不是免费的，我看到很多人都在努力让所有的细微差别正常工作。此外，您可能会丢失 SSO（因此用户必须再次输入其凭据）。最后，您的应用程序现在将负责收集信用，这对您也必须处理安全隐患。

Net，我建议首先信任。 :)