Est-ce une mauvaise pratique de mettre des utilisateurs externes dans Active Directory?

Question

Nous avons une application Web existante et nous souhaitons migrer d'une solution d'authentification personnalisée à Active Directory Federation Services afin que nos organisations partenaires puissent gérer l'autorisation de leurs utilisateurs de leur côté.

À l'heure actuelle, le site utilise des tables de base de données personnalisées pour gérer les utilisateurs et une logique personnalisée pour gérer l'authentification et l'autorisation. En plus des organisations partenaires qui vont authentifier leurs utilisateurs et accéder via ADFS, nous avons des utilisateurs internes qui se trouvent dans notre domaine Active Directory. Ces utilisateurs peuvent également être authentifiés via ADFS.

Notre question tourne autour de nos utilisateurs externes. Ce site permet également aux particuliers de s'inscrire. Ces personnes n'ont aucune organisation pour laquelle elles travaillent, donc nous ne pouvons pas utiliser ADFS pour gérer leur authentification.

Étant donné que nous devons prendre en charge ces individus, nous devons gérer leurs comptes d'utilisateurs. ADFS ne peut se connecter qu'aux magasins de comptes Active Directory ou Active Directory Application Mode.

Étant donné qu'ADFS ne prend en charge que ces magasins de comptes, il semble que la solution logique consiste à créer des comptes pour les utilisateurs externes dans notre domaine Active Directory. Cela signifie que nous mettrions à jour nos pages d'enregistrement pour créer de nouveaux comptes d'utilisateur dans Active Directory actif plutôt que de créer de nouveaux enregistrements dans notre base de données personnalisée.

Alors, est-ce une mauvaise pratique? Devrait-on utiliser AD pour les utilisateurs externes à son organisation? Comment les autres gérer ce type de situation lors de l'utilisation d'ADFS?

Answer 1

Créer une nouvelle forêt AD pour vos utilisateurs externes, vous devrez peut-être mettre en place une meilleure sécurité, mais les deux peuvent être connectés pour une authentification transparente. Vous aurez besoin de leur dire d'utiliser un domaine différent lors de la connexion (par exemple, vos utilisateurs normaux utilisent 'mycorp', les externes utilisent 'externalcorp') mais sinon c'est totalement transparent.

Answer 2

Oui, il est déconseillé de placer des utilisateurs externes dans la même AD que vos utilisateurs internes. Gardez les comptes externes séparés et vérifiez ADAM pour l'authentification de l'utilisateur externe.

Answer 3

Je pense que la question que vous devez poser n'est pas si le stockage des comptes externes dans le répertoire actif est mauvais, mais si le stockage des comptes dans la même forêt que vos comptes internes est mauvais. Cela peut être fait, mais je serais plutôt d'accord avec Fallen que je ne mettrais pas les comptes externes dans la même forêt que les comptes internes. Dans le passé, lorsque nous utilisions un magasin AD pour placer un compte externe, nous créions une nouvelle forêt et y plaçions les utilisateurs externes, puis nous faisions confiance aux deux domaines. À mon avis, c'est la meilleure option, car le plus haut accès des utilisateurs au réseau interne est limité par la confiance et non par le compte d'un utilisateur. Si le domaine est compris, vous pouvez toujours l'éteindre et vous saurez que rien avec external ne peut accéder aux réseaux internes. Cela vous permet également d'avoir différentes stratégies de sécurité entre les utilisateurs externes et internes.