有关Active Directory的问题 场景:托管在云中的第三方软件提供与我们在网络中运行的Active Directory相关的SSO。
愚蠢的问题,但在我们的网络中向云中授予外部应用程序访问AD时,这不是一个很大的安全风险吗?我可以看到很多支持SSO的应用程序,它们都托管在云端,但在这种情况下我确实对安全性有疑问。我根本不是AD专家,所以你可以开导我吗?
谢谢。
答案 0 :(得分:0)
永远不应该直接打开您的内部部署Active Directory以从Internet访问。 Active Directory为其在Kerberos协议中使用的用户维护对称密钥,这些密钥对泄漏非常敏感。
如果互联网托管的应用程序想要使用Active Directory对用户进行身份验证,则可以使用federation。 Microsoft提供ADFS(您在DMZ中与ADFS代理一起运行的服务)或云中的Azure AD。