我需要实施一个公司网站,可以从公司外部访问。 要求用户能够在访问公司networking(Active Directory)时使用相同的凭据进行login。 我最初想到使用ADFS,但似乎我不能访问有关其他用户的信息。 我需要能够列出其他用户,得到他们属于哪些组,等等。也有可能我需要修改服务器中用户的信息。
我没有与Active Directory有关的任何经验。 直接使用LDAP与自定义身份validation是一个更好的select? 任何build议或更正?
Active Directory联合身份validation服务(ADFS)主要关注身份validation。 它不是一个元目录,不能用于从Active Directory返回通用信息。
通过LDAP访问Active Directory可能是您想要的方向,因为它允许您查询用户帐户(和其他对象)的属性。 要知道,与复杂的AD森林(尤其是森林信托的森林)进行正确的互操作并不是一件微不足道的事情。 如果您正在开发一个始终在单一域环境中运行的内部使用应用程序,您将不必应付这种复杂性。 但是,如果您正在考虑构build一个待售产品,那么您最好学习Active Directory及其复杂types的部署。 (我曾经和很多声称“LDAP与Active Directory集成”的产品一起工作,结果发现在处理一个相当普通的configuration(比如多域环境)时,这些configuration会崩溃。甚至不要让我开始关于对多森林环境的不利支持…)