基于AD组的授权

时间:2017-09-14 12:33:39

标签: active-directory authorization adfs

我们正在开发一个内部应用程序,但必须可以从Internet访问。我们使用OpenID Connect对用户进行身份验证。用户必须在我们的IAM平台(ISAM IBM Security Access Management)中拥有有效帐户才能登录该应用程序。当用户浏览到该应用程序时,他们将被重定向到我们的IAM平台登录页面。一旦他们输入凭证,他们就可以进入申请。

现在我们希望根据AD群组用户所属的某种授权。我们怎样才能实现它?用户通过身份验证并重定向到应用程序后,应用程序是否需要从AD获取信息?怎么样?

1 个答案:

答案 0 :(得分:2)

有两种选择。

1)要么只允许相应AD组中的登录人员, 在这种情况下,您的OpenID Connect必须能够从IAM请求组信息,或者IAM设置为仅允许登录相应的AD组;

2)或在进入申请时检查AD组。

这通常在应用程序端完成,特定编程依赖于应用程序,但通常应用程序需要向AD发出LDAP请求以检查用户是否是特定组的成员,例如:

How to write LDAP query to test if user is member of a group?