我需要限制对外部网站的访问权限,以便:
在企业网络中,用户会对Windows域进行身份验证。在网络中,我可以设置一个可以进行身份验证的服务器/服务。这是安全的,我毫不怀疑,特别是当它在里面时。
外部网站不是域名的一部分。
我建议自己设置一项服务,该服务将对用户进行身份验证,创建安全令牌,然后将用户重定向到外部站点。这样用户就可以在那里进行身份验证而无需输入密码(甚至可能无法登录)。
我有疑问:如何做到这一点?这有多安全?有多少重/加密发展?
我认为安全令牌应该是有时限的,外部站点和内部auth服务都应该支持SSL / TLS(对称/非对称密钥?)。 我在这里错过了什么吗?当然,我,但是什么?
答案 0 :(得分:2)
使外部网站成为SAML 2.0服务提供商(SP)。
设置内部SAML 2.0身份提供程序(IdP),以使用SAML 2.0 ADFS对企业用户进行身份验证。使用SP发起的SSO并将外部站点配置为使用HTTP-POST传递给您的IdP。
可以将IdP配置为使用支持NTLM的浏览器透明地验证登录到ActiveDirectory域的用户。它应该只对它们进行身份验证并签署该效果的断言并将它们重定向回外部站点。如果他们没有NTLM,他们将首先获得他们的域名凭证。
更新:正如@Steve所述,外部网站仍需要对外部用户进行身份验证。使您的外部站点成为SAML SP并不能解决这个问题。您可以让外部网站执行一些内置身份验证,或者您可以为外部用户使用不同的SP端点(URL),并为他们使用另一个IdP。