Active Directory与Sitecore安全提供程序

时间:2015-01-07 21:00:18

标签: active-directory sitecore

我们开始在我公司的网站上实施Sitecore。我们正处于发现阶段并评估Active Directory模块。我们有40-50个用户将使用Sitecore和超过100个用户,他们将在Sitecore上使用一些自定义应用程序。

我们聘请的咨询公司要求我们不要使用Active Directory,因为只有40-50名用户会使用它。另一方面,我认为使用Active Directory模块从长远来看会很有用。

你们有任何意见吗?建议的做法是什么?

由于

3 个答案:

答案 0 :(得分:4)

这实际上取决于您希望如何管理您的CMS用户。 AD模块将这些用户作为用户释放到CMS中,从而将其公开以进行登录。你甚至可以对团体/单位做同样的事情。这里的优点是,如果新人加入您的组织,如果您将其添加到OU或分配给具有Sitecore访问权限的组,则他们可以访问Sitecore。

另一方面,如果您希望Sitecore成为拥有自己的用户配置文件和登录的自己的实体,它可以在没有AD连接的孤岛中执行此操作

对于CMS,用户实际进行身份验证的位置没有区别,因为您选择的提供程序是低级别的。因此,最终决策将更多地是治理/ IT /流程决策,因为实际上没有功能差异。

我对你的建议是提出方案或用例,并在两种情况下仔细思考。例如,您雇佣了10名需要作者访问权限的人。使用AD模块,您只需将它们分配给在Sitecore中继承了作者角色的OU或组,即可完成。

答案 1 :(得分:1)

我已经实现了几次Active Directory模块,当您希望用户能够在创建接口中进行SSO并管理Active Directory中的安全访问时,它可以正常工作。如果您在Sitecore上构建类似Intranet的应用程序,您也可以很好地使用它来进行最终用户SSO。

从安全管理的角度来看,组织变得更容易,也让您不必担心必须在不同环境(Dev,Test,Prod)之间复制用户。

话虽如此,如果仅使用本机Sitecore安全提供程序,则使用不存在的Active Directory模块会产生性能开销。根据您的用户数量,您可能看不到任何差异,但如果您使用间接成员资格(即组内的组),则对于具有复杂组成员身份的极大AD目录,您可能会遇到性能问题。

示例场景:

  1. Sitecore中的内容项受到MyDomain \ SuperAuthor
  2. 角色的保护
  3. 用户A直接是MyDomain \ SuperAuthor
  4. 的成员
  5. 用户B是MyDomain \ SuperUser
  6. 的成员
  7. MyDomain \ SuperUser群组是MyDomain \ SuperAuthor
  8. 的成员

    如果您使用Sitecore安全提供程序,则解析用户B的访问权限非常高效。 Sitecore能够使用系统中的角色快速检查间接成员资格。

    如果使用Active Directory模块,则默认情况下会禁用间接成员资格。只有用户A才能访问。如果您更改配置设置以启用间接成员身份,则模块将允许用户B具有访问权限,但是您将开始看到该方案的性能降低。

    正如我之前提到的,如果Active Directory对于Sitecore的内容并不是非常复杂,那么您应该没问题,可能不会注意到这些性能影响。

答案 2 :(得分:0)

我不认为用户数量应该是决定是否整合AD的唯一理由,也不应该是因为从长远来看你可能需要或不需要它。我会说因为它最明显的好处而与AD整合

  1. 单个用户名和密码
  2. 更好的安全性
  3. 易于维护
  4. 虽然当您需要创建数千个用户并为其设置授权时,用户数量成为重要的决定因素。

    用户在sitecore中手动创建和维护的最常见原因是,您需要为营销团队创建少数作者和审批者帐户。但是,如果您预见到实现成员资格或需要基于现有用户和组策略提供访问和授权,那么请进行AD集成。