Estamos implantando aplicativos da web que exigem logins de nome de usuário / senha. Também estamos gerenciando a infraestrutura que suporta os aplicativos da Web.
Eu pesquisei e não consegui encontrar recursos relacionados às práticas recomendadas para saber se essas contas devem ou não fazer parte de domínios de autenticação separados.
Eu estou procurando por qualquer documentação que fale sobre os riscos associados a ter o mesmo domínio de autenticação para ambos os serviços do cliente (aplicativo da web) e gerenciamento de infraestrutura.
O risco que me preocupa é se a autenticação de serviços do cliente é hackeada, o que poderia permitir que o invasor ganhasse credenciais para um administrador da infraestrutura. A partir daí, o invasor pode controlar toda a infraestrutura, não apenas o serviço do cliente (aplicativo da web).
Se tivermos dois domínios de autenticação diferentes (sem informações de conta compartilhada), esse risco será bastante reduzido. Existe alguma documentação de melhores práticas que fala sobre isso?
EDITAR As informações não precisam ser específicas para MS AD ou LDAP, são mais gerais sobre a separação de tipos / propósitos de conta.
Tags authentication