Appication Active Directory Support, qu'est-ce que cela signifie exactement?

Question

Je peux vérifier l'utilisateur dans le répertoire actif, s'il existe alors je lui donne la permission d'ouvrir la fenêtre de l'application, mais que faire si une application a plusieurs niveaux de permission? Est-ce que je crée des groupes spéciaux d'autorisation dans le direcotry actif et vérifie si l'utilisateur appartient à l'un d'entre eux? . L'application peut-elle se connecter automatiquement, ou est-il toujours nécessaire d'entrer un mot de passe?

Answer 1

Active Directory peut remplir deux fonctions liées mais distinctes pour une application: Autorisation et authentification.

L'authentification valide que la personne qui utilise votre application est un utilisateur valide. Si vous disposez des informations d'identification de l'utilisateur (c'est-à-dire que l'application demande à l'utilisateur son nom d'utilisateur et son mot de passe), vous pouvez l'authentifier auprès d'AD en tentant une connexion en utilisant son nom d'utilisateur/mot de passe.

L'autorisation est ce qui vous permet de déterminer le niveau d'autorisation d'un utilisateur particulier dans votre application. Les groupes Active Directory constituent un moyen relativement simple et flexible d'implémenter les différents niveaux d'autorisation. Généralement, je vais créer des groupes d'autorisations très précis qui représentent chaque action sécurisable que les utilisateurs peuvent effectuer dans l'application (c'est-à-dire CanDeleteWidgets, CanAddWidgets, CanEditWidgets). Créez ensuite des groupes fonctionnels ou des groupes de rôles dans lesquels vous placez les utilisateurs pour ce rôle (gestionnaires, coordinateurs, techniciens, etc.). Enfin, il vous suffit d'imbriquer les groupes de rôles dans les groupes d'autorisations. Par exemple, si les responsables doivent supprimer les widgets, vous devez ajouter le groupe Gestionnaires en tant que membre du groupe CanDeleteWidgets. Bien que cela puisse sembler plus complexe, il est extrêmement simple de répondre aux exigences changeantes en matière de sécurité (c.-à-d. «Les techniciens doivent pouvoir supprimer des widgets») - Ajoutez le groupe de rôles Techniciens au groupe d'autorisations CanDeleteWidgets et vous êtes terminé).

En ce qui concerne la connexion automatique, oui, il existe plusieurs façons de vous connecter automatiquement à un utilisateur. Pour les applications Winforms, vous devriez simplement pouvoir récupérer l'utilisateur actuellement connecté et l'utiliser. Pour les applications Web, si vous pouvez utiliser l'authentification intégrée, vous finissez par avoir la même chose. Votre serveur Web gérera la pièce d'authentification et enverra le DOMAIN \ USERNAME de l'utilisateur dans une variable d'en-tête de serveur.