我们有以下用于验证用户的设置。作为服务器计算机上的Windows服务托管的wcf身份验证服务。客户端是基于C#CAB的应用程序,可根据需要与身份验证服务和其他服务(审计,...)进行通信。 我们希望提供使用Active Directory登录应用程序的选项。 提出的步骤如下所示。
步骤4& 5如果没有客户端应用程序需要将用户名和密码发送到服务器以进行AD身份验证?我想尽可能避免在网络上发送密码。
答案 0 :(得分:0)
您不能仅使用AD和客户端,您需要在身份验证机制中使用服务。如果我是你,我会将用户名和密码发送到身份验证服务,客户端根本不应直接与AD通信。如果您需要某些SSO,则可以在身份验证服务中创建令牌。 AD不会发出令牌,只有您可以或者其他更复杂的服务,例如ADFS。