我正在构建一个仅在我的域上使用的网站,我正在尝试设计一个更好的登录屏幕,然后我在过去使用过。我使用脚本来检查用户是否在AD中,然后从sql表中获取其权限级别并使用它来驱动应用程序。以相同的方式进行身份验证,但使用AD组来驱动用户执行/不拥有的权限会更好吗?
答案 0 :(得分:0)
这只能由您回答。您需要多少细粒度的权限?有一个像“会计”这样的AD小组,以组织内部的实际部门命名,具体到足够吗?如果没有,您可以轻松地将用户移入和移出组?
简而言之,优点和缺点:
Active Directory授权:适合让已经由组织单位识别的大型用户组访问应用程序中的课程粒度功能。对于非常细粒度的控制来说则更少,因为在应用程序将要运行的组织中创建多个AD组可能很麻烦。
特定于应用程序的基于角色的授权(例如ASP.NET标识):允许您作为应用程序开发人员创建组并将用户移入和移出用户。这本身就是一个负面因素:作为已安装应用程序的维护者,您必须维护用户和组,或者指示客户端的应用程序管理器部门如何执行此操作,可能需要为其创建UI。