Controle de acesso multinível no Active Directory…?

0

Estou tentando resolver um problema. A ferramenta que estou tentando usar é o Active Directory, mas não tenho certeza se é a ferramenta certa para o trabalho.

Deixe-me tentar explicar ...

Eu tenho um aplicativo (um site) em desenvolvimento no qual eu preciso projetar um modelo de segurança / infra-estrutura. Eu gostaria muito de usar o AD porque muitas coisas sobre o AD se encaixam perfeitamente aos requisitos do aplicativo. Na verdade, todos, exceto um, se encaixam como uma luva. O problema que tenho é que eu devo controlar várias instâncias do mesmo aplicativo dentro do mesmo diretório ativo e os usuários devem ser capazes de acessar um subconjunto desses aplicativos com diferentes direitos de acesso nas mesmas áreas do aplicativo ...

Meio difícil de explicar, vamos dar um exemplo. Primeiro o simples e perfeito: Eu tenho apenas um usuário ("User1") e um aplicativo ("App1"). Dentro do aplicativo há um conjunto de áreas, cada área deve ter acesso restrito. Pode-se resolver isso dando a cada área um grupo de segurança associado no AD no qual um usuário deve ser membro para obter acesso à área .... por exemplo, se UserA deveria ter acesso a Area1 então ele deve ser um membro do grupo de segurança de acordo .... um pedaço de bolo!

Vamos adicionar o toque ao exemplo: Continuando o exemplo acima, digamos que agora há dois aplicativos em execução, ambos sendo controlados pelo mesmo AD, agora há App1 e App2. Ambos os aplicativos compartilham os mesmos securitygroups da área de acesso e o mesmo código fonte. Agora estamos chegando ao problema: como alguém se torna membro UserA da Area1 no App1, mas não na Area1 do App2? o aplicativo verifica a associação do grupo de segurança "Área1" antes de permitir que o usuário entre na área específica, mas não pode ver se a associação foi atribuída para uso com App1 ou App2 ...?

Então, resumindo: como posso controlar o acesso à área nos aplicativos? Tem de ser possível dar acesso à Área1 na App1, mas restringir o acesso à Área um em, e. App2 ... Observe que o Aplicativo (um site) não pode ter, por exemplo diferentes configurações (.config de qualquer tipo) para cada usuário. Observe também que há dezenas de milhares de usuários e instâncias de aplicativos. A quantidade de áreas será na casa das centenas ...

Como alguém resolveria algo assim em AD ...? se é possível?

Não tenho certeza se a explicação acima faz algum sentido, espero que sim. Se não, por favor me avise ...

    
por Thomas Eg Jørgensen 06.05.2011 / 08:43

1 resposta

0

IIUC você precisa ter um grupo de segurança para cada combinação de instância e área do aplicativo.

  App1 Area1 -> App1Area1Group
  App1 Area2 -> App1Area2Group

  App2 Area1 -> App2Area1Group
  App2 Area2 -> App2Area2Group

Então tudo é feito nomeando apropriadamente os grupos. Se preferir, você pode separar os grupos em UOs.

    
por 06.05.2011 / 09:25