私有云中的Active Directory身份验证 - 需要备选方案

时间:2011-12-05 09:22:57

标签: wcf authentication active-directory kerberos

我们有一个使用Active Directory进行身份验证的应用程序。这包括应用程序所需的Kerberos多跳委派。它由WinForms客户端组成,通过WCF 4.0连接到一组Web服务,在IIS 7.5下托管。

通常,这一切都安装在我们客户自己的硬件上并与他们的AD集成。但我们最近将Web服务设置在私有云(可通过IPSec VPN访问)上运行,并使用自己的AD实现,我们可以在AD和客户AD之间建立单向Active Directory信任,那么一切都很顺利,并且应用程序按设计工作。

但是,我们有一些客户在Small Business Server上运行他们的AD,因此无法设置信任。

考虑到以下限制......

  • 重新编写应用程序以不使用AD / Kerberos不是一个可行的选择。
  • 强制客户将SBS移至完整的Windows Server AD不是一个可行的选择。

...我正在寻找解决此问题的方法,该方法需要对核心应用程序进行尽可能少的更改。

我可以看到3个看起来很明显的选项:

  • Active Directory证书服务 - 客户使用从我们的AD发出的证书,该证书链接到我们域中的AD帐户。但不确定这是否会允许Kerberos代表团。
  • Active Directory联合身份验证服务 - 听起来它也可以完成这项任务,但我们以前从未使用过它。
  • Active Directory轻量级DS - 如果客户要安装它并以某种方式将其链接到他们的AD并且我们建立对LDS实例的信任,那可行吗?同样,我们之前从未使用过AD LDS。

有没有人有这种情况或类似的经历?

有没有人建议先查看3条路线中的哪条?

有没有其他选择?

1 个答案:

答案 0 :(得分:2)

证书可用于身份验证和委派。您还应该查看协议转换。这将使您能够在您的站点上执行类似基于表单的身份验证,并将其转换为后端的Kerberos。

AD LDS在这方面做得不多。 ADFS在你的应用程序中也需要很多返工。

相关问题
最新问题