chrfriedel
Goto Top

Abfragen ans AD eines Kunden über das Internet

Hallo Administratoren,

ich hätte heute mal ein paar Anfängerfragen zum Thema AD.

Hintergrund:

Wir haben eine Intranet-Anwendung in ASP.NET entwickelt. Bisher melden die User sich in dieser Anwendung mit ihrer Windows-ID und ihrem Passwort an, das AD wird gefragt ob die Daten korrekt sind und der Zugriff wird gewährt. Im weiteren Verlauf werden noch einige zusätzliche Dinge abgefragt (DisplayName, Email usw.) und die Abfragen selbst laufen über LDAP.

Zukunftsmusik

In naher Zukunft soll dem Kunden ein Hosting (Marketingsprech: Cloud) auf einem Windows-Server 2012 R2 angeboten werden was auch soweit kein Problem ist. Der einzige Punkt an dem ich im Moment hänge ist die AD-Thematik und daher meine Fragen:


Welches sind die Best-Practice Ansätze um das AD eines Kunden übers Internet auszulesen? LDAPS? Vertrauenstellungen der Domains ("Forrest") ?

Wie beschere ich dem Kunden möglichst wenige Konfigurationsänderungen seines ADs?

Gibt es Erfahrungen mit Kunden sich weigern ihr AD übers Web erreichbar zu machen ?

Gibt es Dinge die man sonst noch bedenken sollte bei diesem Szenario?


Grüße
ChrFriedel

Content-ID: 250684

Url: https://administrator.de/forum/abfragen-ans-ad-eines-kunden-ueber-das-internet-250684.html

Ausgedruckt am: 22.12.2024 um 12:12 Uhr

catachan
catachan 01.10.2014 um 15:41:55 Uhr
Goto Top
Hi

Stichwort SAML mittels ADFS. Vertrauensstellung würde ich ausschliessen.
Generell wird es Kunden geben die ihr AD nicht öffnen wollen. SAML ist daher gut geeignet da man den AD Zugriff filtern kann.

LG
ChrFriedel
ChrFriedel 01.10.2014 um 16:19:36 Uhr
Goto Top
Vielen Dank. Das ist vermutlich der Anstoss in die richtige Richtung. Ich habe mir in der kürze der Zeit mal einige Dinge über ADFS und SAML durchgelesen. Jedoch bin ich noch nicht ganz sicher ob das alle meine Anforderungen abdeckt. Dürfte ich dich daher eventuell noch mit einigen Folgefragen belasten?

Wenn ich das richtige verstanden habe würde der Browser des User nach dem Aufruf meiner Intranetanwendung vorerst den ADFS-Server kontaktieren und von diesem eine Art Token erhalten. Im Anschluss kontaktiert der Browser meine Anwendung direkt und reicht mir das Token in Form eines Cookies im Browser weiter. Soweit korrekt?

Weil wenn das so stimmt klingt mir das in erster Linie nach einem reinen "Single-Sign-On". Das Token bestätigt mir also das der User korrekt authentifiziert ist aber mehr nicht. Deswegen die direkte und eventuell dumme Frage ist es dann mit diesem Ansatz trotzdem möglich jederzeit zum NT-Accountnamen den Displayname und die Email aus dem AD zu erhalten? Oder würde man dies eher einmalig bei der ersten Abfrage auslesen und anschließend im Token bzw. Cookie finden? Oder habe ich hier einen totalen Denkfehler?

Und außerdem würde mich bei diesem Ansatz noch der Performance-Impact interessieren. Sind dir dazu eventuell Infos bekannt?

Vielen Dank nochmal face-smile

Grüße
colinardo
colinardo 01.10.2014 um 17:21:12 Uhr
Goto Top
Moin ChrFriedel,
ich würde dazu einen Webservice mit ASP.Net programmieren, der dir die entsprechenden Infos des AD nach Authentifizierung liefert. So öffnet man nicht gleich das ganze AD des Kunden ins Internet sondern begrenzt das ganze auf die Funktionen die der Webservice bereitstellt, also Abfrage von User,E-Mail, etc...

Grüße Uwe
ChrFriedel
ChrFriedel 01.10.2014 um 17:26:55 Uhr
Goto Top
Interessanter Ansatz. Dieser, ich nenne es mal AD-Connector, beim Kunden dürfte wenig Aufwand sein, ist natürlich jedoch auch zu entwickeln und upzudaten wenn sich was ändert. Vorteile wäre der würde genau das machen was ich will. Das einzige Problem was ich im Moment sehe ist die Frage ob ich dem ASP-Login-Control von MS beibringen kann statt LDAP eben diesen Connector abzufragen.

Aber das lasse ich mir jetzt gleich nach Feierabend nochmal durch den Kopf gehen!

Danke dir und erstmal schönen Abend noch!
colinardo
colinardo 01.10.2014 aktualisiert um 17:35:56 Uhr
Goto Top
Zitat von @ChrFriedel:
Das einzige Problem was ich im Moment sehe ist die Frage ob ich dem ASP-Login-Control von MS beibringen kann statt LDAP eben diesen Connector abzufragen.

Das lässt sich doch sicher durch ein eigenes Control ersetzen das den jeweiligen Webservice abfragt.

Danke dir und erstmal schönen Abend noch!
Ebenso face-smile
exchange
exchange 02.10.2014 um 07:49:33 Uhr
Goto Top
Hallo,
für deinen Zweck gibt es den Microsoft Active Directory Federation Services (ADFS).

Gruß
Heiko