Sto cercando di risolvere un problema. Lo strumento che sto cercando di utilizzare è Active Directory, ma non sono sicuro che sia lo strumento giusto per il lavoro.
Vorrei provare a spiegare ...
Ho un'applicazione (un sito Web) in fase di sviluppo in cui devo progettare un modello / infrastruttura di sicurezza. Mi piacerebbe molto usare AD perché tante cose su AD si adattano perfettamente ai requisiti dell'applicazione. In effetti, tutti i requisiti tranne uno si adattano come un guanto. Il problema che ho è che devo controllare più istanze della stessa applicazione all'interno della stessa directory attiva e gli utenti devono poter accedere a un sottoinsieme di queste applicazioni con diritti di accesso diversi sulle stesse aree dell'applicazione ...
Un po 'difficile da spiegare, facciamo un esempio. Innanzitutto quello semplice e perfetto: ho un solo utente ("Utente1") e un'applicazione ("App1"). All'interno dell'applicazione è presente una serie di aree, ogni area deve essere soggetta ad accesso limitato. Si potrebbe risolvere questo dando ad ogni area un gruppo di sicurezza associato in AD in cui un utente deve essere membro per ottenere l'accesso all'area .... ad es. Se l'utente A deve avere accesso all'Area 1, allora deve essere un membro del gruppo di sicurezza corrispondente. ..pezzo di torta!
Aggiungiamo la svolta all'esempio: continuando l'esempio sopra, diciamo che ora ci sono due applicazioni in esecuzione, entrambe controllate dallo stesso annuncio, ora ci sono App1 e App2. Entrambe le applicazioni condividono gli stessi gruppi di sicurezza dell'area di accesso e lo stesso codice sorgente. Ora stiamo arrivando al problema: come si fa a rendere UserA membro di Area1 in App1 ma non in Area1 in App2? l'applicazione verifica l'appartenenza al gruppo di sicurezza "Area1" prima di consentire all'utente l'area specifica, ma non può vedere se l'appartenenza è stata assegnata per l'uso con App1 o App2 ...?
Quindi, linea di fondo: come posso controllare l'accesso all'area nelle applicazioni. Deve essere possibile dare accesso all'Area1 in App1 ma limitare l'accesso all'Area 1 in ad es. App2 ... Notare che l'applicazione (un sito Web) non può avere ad esempio configurazioni diverse (.config di alcun tipo) per ciascun utente. Si noti inoltre che ci sono decine di migliaia di utenti e istanze dell'applicazione. La quantità di aree sarà tra le centinaia ...
Come si potrebbe risolvere qualcosa del genere in AD ....? se è possibile affatto?
Non sono sicuro che la spiegazione sopra abbia senso, lo spero. In caso contrario, per favore fatemelo sapere...