所以我设置了一个Active Directory环境,它使用ADFS来允许我的环境之外的应用程序使用来自我的AD的凭据。
这一切都很好,但我需要的是允许这些外部应用程序列出我的广告内的用户(无论是每个人,还是只在特定的子集)的方式。
我的限制是我需要限制谁可以看到这些用户列表(即,它需要安全:我需要将有权限的应用程序列入白名单),并且外部应用程序完全独立于我的AD环境(不同的服务器,域名,networking等)。 我可以像我喜欢的那样configurationAD,并且可以完全控制外部应用程序,但是我无法改变两者之间的连接(我无法设置VPN等)。
我已经玩弄了LDAP的想法,但似乎并不build议公开地公开LDAP。 我正在考虑LDAPS,但我不确定如何推荐。
有谁知道是否有这样做的标准方式,或有任何build议?
一种方法是在自己的外围build立一个RODC(如果你还没有的话),然后使用一个专用的用户帐户(除了域用户以外)允许来自外部networking的LDAP查询通过LDAPS(636 / tcp)访问)查询。 你当然会公开一大堆你的AD基础设施,只是为了一个应用程序来检查一些东西。
或者,您可以安排一个自动生成的特定用户帐户报告及其所需的属性和SFTP,无论这些信息是否是必需的,并且几乎不暴露任何非绝对必需的东西。
对于这样的场景,没有简单的答案,您需要仔细地平衡可用性和安全性。