usuarios tipos seguridad predeterminados practicas politicas permisos mejores grupos grupo directorio activo active security authentication active-directory adfs

security - tipos - seguridad en active directory



¿Es una mala práctica poner usuarios externos en Active Directory? (3)

Tenemos una aplicación web existente y queremos migrar desde una solución de autenticación personalizada a los Servicios de federación de Active Directory para que nuestras organizaciones asociadas puedan administrar la autorización de sus usuarios de su lado.

En este momento, el sitio utiliza tablas de bases de datos personalizadas para administrar usuarios y lógica personalizada para administrar la autenticación y la autorización.

Además de las organizaciones asociadas que autenticarán a sus usuarios y obtendrán acceso a través de ADFS, tenemos usuarios internos que se encuentran en nuestro dominio de Active Directory. Estos usuarios también pueden ser autenticados a través de ADFS.

Nuestra pregunta gira en torno a nuestros usuarios externos. Este sitio también permite que las personas se registren. Estas personas no tienen ninguna organización para la que trabajan, por lo que no podemos usar ADFS para manejar su autenticación.

Como necesitamos apoyar a estas personas, debemos administrar sus cuentas de usuario.

ADFS solo puede conectarse a las tiendas de cuentas de Active Directory o del modo de aplicación de Active Directory.

Como ADFS solo es compatible con estas tiendas de cuentas, parece que la solución lógica es crear cuentas para usuarios externos en nuestro dominio de Active Directory.

Esto significaría que actualizaríamos nuestras páginas de registro para crear nuevas cuentas de usuario en Active Directory activo en lugar de crear nuevos registros en nuestra base de datos personalizada.

Entonces, ¿es esta una mala práctica? ¿Debería AD utilizarse para usuarios externos a la propia organización? ¿Cómo manejan otros este tipo de situaciones cuando usan ADFS?


Cree un nuevo bosque de AD para sus usuarios externos, es posible que necesite configurar algo más de seguridad, pero los dos pueden conectarse para una autenticación perfecta.

Deberá indicarles que utilicen un dominio diferente al iniciar sesión (por ejemplo, los usuarios normales usan ''mycorp'', los externos usan ''externalcorp''), pero de lo contrario es totalmente transparente.


Creo que la pregunta que debe hacerse no es si el almacenamiento de cuentas externas en el directorio activo es malo, pero si el almacenamiento de cuentas en el mismo bosque que sus cuentas internas es malo. Se puede hacer, pero yo tendería a estar de acuerdo con Fallen en que no pondría las cuentas externas en el mismo bosque con las internas.

En el pasado, cuando utilizamos una tienda AD para colocar una cuenta externa, creamos un nuevo bosque y colocamos a los usuarios externos allí y luego confiamos en los dos dominios. En mi opinión, esta es la mejor opción porque el acceso más alto de los usuarios a la red interna está limitado por la confianza y no por la cuenta del usuario. Si se incluye el dominio, siempre puede cerrarlo y sabrá que nada con acceso externo puede acceder a las redes internas. Esto también le permite tener diferentes políticas de seguridad entre usuarios externos e internos.


Sí, es una mala práctica colocar usuarios externos en el mismo AD que sus usuarios internos. Mantenga separadas las cuentas externas y consulte ADAM para la autenticación de usuarios externos.