我有一个企业Web应用程序,将通过集成Windows身份validation (IWA)与单点login(SSO)服务集成 。 SSO服务仅提供身份validation(不授权)。 此Web应用程序将通过自定义授权模块处理授权。 我们在Windows 2003上运行IIS 6。
一旦用户通过IWA进行身份validation,默认情况下,IIS将在用户login的情况下执行网页。因此,通常我们有一个Active Directory安全组对象,我们在网站目录上分配读/执行权限 – 任何用户对象是这个指定的安全组的成员可以看到/执行的网页。 任何成功通过AD身份validation但不属于此安全组的AD用户都将获得HTTP 401(访问被拒绝)。
对于这个项目,虽然我们不想维护为指定安全组添加/删除AD用户对象。 我们的想法是通过网站目录文件分配Authenticated_Users组读取/执行权限。 这样,如果你可以authentication你将默认能够看到/执行页面请求。
这安全吗? 从我的团队的angular度来看,只要这个Web应用程序中的授权模块起作用就是安全的。
是否有其他人这样做,或者你有另一种方法来pipe理在IIS上使用集成Windows身份validation授权?
只要你的授权模块按照广告的方式工作,你就不会有任何问题。 这是一个被忽视的分离(authentication和授权)。 你只需承担授权责任(在应用程序内),但显然这就是你想要的! 就像你说的那样,所有的Windows安全组都会提供一个authentication机制,与你的应用中的实际权限无关。