目前我们所有的应用程序都是基于Web的,我们的身份validation和授权机制总是通过数据库。 例如数据库中定义的数据库login和访问控制。 但是现在我们正在考虑改变这种方法,并使用活动目录进行身份validation和授权。
因此,我们需要创buildAD帐户(即使是从互联网来的用户),并使用授权pipe理器分配访问控制? 这是如何正常完成? 这有什么优点和缺点? 我相信对于AD方法,我们的内部员工可以被授予访问权限以打印到秘密打印机以获取敏感信息(例如),但是使用数据库方法将会很困难?
最后,我是否必须同时在数据库和AD中保留同一组访问权限angular色/组? 如果没有必要,那么这是否意味着应用程序可以直接调用API来validationAD所需的angular色? 谢谢
将您的应用程序绑定到您的AD可以通过使用单一login解决scheme(Web密封)(如其他几个IBM Tivoli Access Management)来完成 。 这要求您创build对象帐户(用户,系统和计算机),通过组设置权限,为每个目标应用程序实施Web密封login和validation界面。
因此,我们需要创buildAD帐户(即使是从互联网来的用户),并使用授权pipe理器分配访问控制? 这是如何正常完成? 这有什么优点和缺点?
内部/外部网用户通常使用Web密封集成到AD和应用程序。 也可以通过批量创buildAD帐户将其扩展到Internet用户,但我个人不会推荐它。 例如,想象一下,如果你的AD受到威胁。 你会比“只有”未经授权的人闯入一个单一的应用程序更大的麻烦。
AD的另一个亲是用户维护,SoD(从应用程序级别 – 想象一下,如果你有两个系统,一个用于销售,另一个用于支付),单个密码等等。
最后,我是否必须同时在数据库和AD中保留同一组访问权限angular色/组? 如果没有必要,那么这是否意味着应用程序可以直接调用API来validationAD所需的angular色?
你应该使用一个或另一个。 两者都没有意义。 IBM TAM具有一个组件,该组件与发送可以包括访问级别的定制参数的应用程序接口连接。