6
Abfragen ans AD eines Kunden über das Internet
Hallo Administratoren,
ich hätte heute mal ein paar Anfängerfragen zum Thema AD.
Hintergrund:
Wir haben eine Intranet-Anwendung in ASP.NET entwickelt. Bisher melden die User sich in dieser Anwendung mit ihrer Windows-ID und ihrem Passwort an, das AD wird gefragt ob die Daten korrekt sind und der Zugriff wird gewährt. Im weiteren Verlauf werden noch einige zusätzliche Dinge abgefragt (DisplayName, Email usw.) und die Abfragen selbst laufen über LDAP.
Zukunftsmusik
In naher Zukunft soll dem Kunden ein Hosting (Marketingsprech: Cloud) auf einem Windows-Server 2012 R2 angeboten werden was auch soweit kein Problem ist. Der einzige Punkt an dem ich im Moment hänge ist die AD-Thematik und daher meine Fragen:
Welches sind die Best-Practice Ansätze um das AD eines Kunden übers Internet auszulesen? LDAPS? Vertrauenstellungen der Domains ("Forrest") ?
Wie beschere ich dem Kunden möglichst wenige Konfigurationsänderungen seines ADs?
Gibt es Erfahrungen mit Kunden sich weigern ihr AD übers Web erreichbar zu machen ?
Gibt es Dinge die man sonst noch bedenken sollte bei diesem Szenario?
Grüße
ChrFriedel
ich hätte heute mal ein paar Anfängerfragen zum Thema AD.
Hintergrund:
Wir haben eine Intranet-Anwendung in ASP.NET entwickelt. Bisher melden die User sich in dieser Anwendung mit ihrer Windows-ID und ihrem Passwort an, das AD wird gefragt ob die Daten korrekt sind und der Zugriff wird gewährt. Im weiteren Verlauf werden noch einige zusätzliche Dinge abgefragt (DisplayName, Email usw.) und die Abfragen selbst laufen über LDAP.
Zukunftsmusik
In naher Zukunft soll dem Kunden ein Hosting (Marketingsprech: Cloud) auf einem Windows-Server 2012 R2 angeboten werden was auch soweit kein Problem ist. Der einzige Punkt an dem ich im Moment hänge ist die AD-Thematik und daher meine Fragen:
Welches sind die Best-Practice Ansätze um das AD eines Kunden übers Internet auszulesen? LDAPS? Vertrauenstellungen der Domains ("Forrest") ?
Wie beschere ich dem Kunden möglichst wenige Konfigurationsänderungen seines ADs?
Gibt es Erfahrungen mit Kunden sich weigern ihr AD übers Web erreichbar zu machen ?
Gibt es Dinge die man sonst noch bedenken sollte bei diesem Szenario?
Grüße
ChrFriedel
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 250684
Url: https://administrator.de/contentid/250684
Ausgedruckt am: 22.11.2024 um 02:11 Uhr
6 Kommentare
Neuester Kommentar
Hi
Stichwort SAML mittels ADFS. Vertrauensstellung würde ich ausschliessen.
Generell wird es Kunden geben die ihr AD nicht öffnen wollen. SAML ist daher gut geeignet da man den AD Zugriff filtern kann.
LG
Stichwort SAML mittels ADFS. Vertrauensstellung würde ich ausschliessen.
Generell wird es Kunden geben die ihr AD nicht öffnen wollen. SAML ist daher gut geeignet da man den AD Zugriff filtern kann.
LG
Vielen Dank. Das ist vermutlich der Anstoss in die richtige Richtung. Ich habe mir in der kürze der Zeit mal einige Dinge über ADFS und SAML durchgelesen. Jedoch bin ich noch nicht ganz sicher ob das alle meine Anforderungen abdeckt. Dürfte ich dich daher eventuell noch mit einigen Folgefragen belasten?
Wenn ich das richtige verstanden habe würde der Browser des User nach dem Aufruf meiner Intranetanwendung vorerst den ADFS-Server kontaktieren und von diesem eine Art Token erhalten. Im Anschluss kontaktiert der Browser meine Anwendung direkt und reicht mir das Token in Form eines Cookies im Browser weiter. Soweit korrekt?
Weil wenn das so stimmt klingt mir das in erster Linie nach einem reinen "Single-Sign-On". Das Token bestätigt mir also das der User korrekt authentifiziert ist aber mehr nicht. Deswegen die direkte und eventuell dumme Frage ist es dann mit diesem Ansatz trotzdem möglich jederzeit zum NT-Accountnamen den Displayname und die Email aus dem AD zu erhalten? Oder würde man dies eher einmalig bei der ersten Abfrage auslesen und anschließend im Token bzw. Cookie finden? Oder habe ich hier einen totalen Denkfehler?
Und außerdem würde mich bei diesem Ansatz noch der Performance-Impact interessieren. Sind dir dazu eventuell Infos bekannt?
Vielen Dank nochmal
Grüße
Wenn ich das richtige verstanden habe würde der Browser des User nach dem Aufruf meiner Intranetanwendung vorerst den ADFS-Server kontaktieren und von diesem eine Art Token erhalten. Im Anschluss kontaktiert der Browser meine Anwendung direkt und reicht mir das Token in Form eines Cookies im Browser weiter. Soweit korrekt?
Weil wenn das so stimmt klingt mir das in erster Linie nach einem reinen "Single-Sign-On". Das Token bestätigt mir also das der User korrekt authentifiziert ist aber mehr nicht. Deswegen die direkte und eventuell dumme Frage ist es dann mit diesem Ansatz trotzdem möglich jederzeit zum NT-Accountnamen den Displayname und die Email aus dem AD zu erhalten? Oder würde man dies eher einmalig bei der ersten Abfrage auslesen und anschließend im Token bzw. Cookie finden? Oder habe ich hier einen totalen Denkfehler?
Und außerdem würde mich bei diesem Ansatz noch der Performance-Impact interessieren. Sind dir dazu eventuell Infos bekannt?
Vielen Dank nochmal
Grüße
Moin ChrFriedel,
ich würde dazu einen Webservice mit ASP.Net programmieren, der dir die entsprechenden Infos des AD nach Authentifizierung liefert. So öffnet man nicht gleich das ganze AD des Kunden ins Internet sondern begrenzt das ganze auf die Funktionen die der Webservice bereitstellt, also Abfrage von User,E-Mail, etc...
Grüße Uwe
ich würde dazu einen Webservice mit ASP.Net programmieren, der dir die entsprechenden Infos des AD nach Authentifizierung liefert. So öffnet man nicht gleich das ganze AD des Kunden ins Internet sondern begrenzt das ganze auf die Funktionen die der Webservice bereitstellt, also Abfrage von User,E-Mail, etc...
Grüße Uwe
Interessanter Ansatz. Dieser, ich nenne es mal AD-Connector, beim Kunden dürfte wenig Aufwand sein, ist natürlich jedoch auch zu entwickeln und upzudaten wenn sich was ändert. Vorteile wäre der würde genau das machen was ich will. Das einzige Problem was ich im Moment sehe ist die Frage ob ich dem ASP-Login-Control von MS beibringen kann statt LDAP eben diesen Connector abzufragen.
Aber das lasse ich mir jetzt gleich nach Feierabend nochmal durch den Kopf gehen!
Danke dir und erstmal schönen Abend noch!
Aber das lasse ich mir jetzt gleich nach Feierabend nochmal durch den Kopf gehen!
Danke dir und erstmal schönen Abend noch!
Zitat von @ChrFriedel:
Das einzige Problem was ich im Moment sehe ist die Frage ob ich dem ASP-Login-Control von MS beibringen kann statt LDAP eben diesen Connector abzufragen.
Das lässt sich doch sicher durch ein eigenes Control ersetzen das den jeweiligen Webservice abfragt.Das einzige Problem was ich im Moment sehe ist die Frage ob ich dem ASP-Login-Control von MS beibringen kann statt LDAP eben diesen Connector abzufragen.
Danke dir und erstmal schönen Abend noch!
Ebenso
Hallo,
für deinen Zweck gibt es den Microsoft Active Directory Federation Services (ADFS).
Gruß
Heiko
für deinen Zweck gibt es den Microsoft Active Directory Federation Services (ADFS).
Gruß
Heiko
