1. Accueil
  2. Question et réponse
  3. Autorisation basée sur les groupes AD

Autorisation basée sur les groupes AD

2017-09-14 12 views
0

Nous développons une application qui est une application interne mais doit être accessible depuis Internet. Nous avons utilisé OpenID Connect pour authentifier les utilisateurs. Les utilisateurs doivent disposer d'un compte valide sur notre plate-forme IAM (ISAM IBM Security Access Management) pour pouvoir se connecter à l'application. Lorsque les utilisateurs accèdent à l'application, ils sont redirigés vers notre page de connexion à la plateforme IAM. Une fois qu'ils auront entré leurs informations d'identification, ils pourront entrer dans l'application.Autorisation basée sur les groupes AD

Maintenant, nous voulons avoir une sorte d'autorisation en fonction de l'appartenance des utilisateurs du groupe AD. Comment pouvons-nous y parvenir? Une fois que l'utilisateur a été authentifié et redirigé vers l'application, l'application doit-elle recevoir des informations de l'AD? Comment?

Source

2017-09-14 user217648

+0

Quelle pile côté client utilisez-vous pour OIDC? Pourquoi est-ce marqué ADFS? – nzpcmad

Répondre

2

Il existe deux options. 1) Autorisez uniquement les personnes de connexion dans le groupe AD approprié, auquel cas votre OpenID Connect doit pouvoir demander des informations de groupe à IAM, ou IAM configuré pour autoriser uniquement la connexion pour le groupe AD correspondant;

2) ou de vérifier le groupe AD en entrant dans l'application.

Ce serait habituellement fait sur le côté de l'application et la programmation particulière dépend de l'application, mais en général l'application doit faire une requête LDAP à AD pour vérifier si l'utilisateur est membre du groupe particulier, comme celui-ci:

How to write LDAP query to test if user is member of a group?

Source

2017-09-14 12:38:48 Gnudiff

+0

A propos de l'option 1, je dirais qu'il ne s'agit pas de l'accès à l'application. Tous les utilisateurs disposant d'un compte sur notre plateforme IAM peuvent accéder à l'application. la question est de savoir ce que nous pouvons faire pour que certains utilisateurs appartenant au groupe AD1 ne voient que page1, page2 et page3. A propos de l'option 2, avons-nous besoin de faire une configuration du côté de l'application, c'est-à-dire de rejoindre un domaine ou quelque chose du genre. – user217648

+0

@ user217648 qui dépend de votre configuration détaillée. Mais généralement, la requête LDAP doit se connecter au serveur LDAP en utilisant un compte AD pour s'authentifier. Vous devrez donc configurer un compte AD pour votre application. Cela ne signifie pas que le serveur de l'application doit être dans le domaine, mais que l'application fournit le compte AD et passe lors de la création de la requête LDAP. – Gnudiff

 Questions connexes

  • Aucun problème connexe^_^