Active Directory vs Sitecore Security Provider

Question

Мы начинаем внедрять Sitecore для нашего веб-сайта в моей компании. Мы находимся в середине фазы обнаружения и оцениваем модуль Active Directory. У нас 40-50 пользователей, которые будут использовать Sitecore и более 100 пользователей, которые будут использовать некоторые настроенные приложения поверх Sitecore.

Консультация, которую мы наняли, просит нас не посещать Active Directory, так как только 40-50 пользователей будут ее использовать. Я, с другой стороны, считаю, что использование модуля Active Directory будет полезно в долгосрочной перспективе.

У вас есть вход? Какова рекомендуемая практика?

Благодаря

Answer 1

Это действительно сводится к тому, как вы хотите управлять своим пользователям CMS. Модуль AD разворачивает этих пользователей в CMS как пользователи и, таким образом, предоставляет их для входа. Вы можете сделать то же самое с группами/единицами. Преимущество здесь в том, что если новый человек присоединяется к вашей организации, если вы добавите их в подразделение или назначите группе, имеющей доступ к Sitecore, то они получат доступ к Sitecore.

С другой стороны, если вы хотите Sitecore быть его собственный объект со своими собственными профилями пользователей и логины, он может сделать это в бункере без подключения AD

К CMS, нет никакой разницы, где пользователи фактически аутентифицированы, потому что выбранный вами провайдер является низким уровнем. Таким образом, окончательное решение будет скорее решением управления/ИТ/процесса, поскольку функциональных различий действительно нет.

Моя рекомендация для вас - придумать сценарии или использовать случаи и продумать каждый из них в обоих сценариях. Например, вы нанимаете 10 человек, которым нужен авторский доступ. С модулем AD вы просто назначаете их подразделению или группе, которая наследует роли автора в Sitecore, и все готово.

Answer 2

Я не думаю, что число пользователей должно быть единственной причиной для принятия решения о том, следует ли интегрировать AD и не должно быть, потому что оно может понадобиться или не понадобиться в конечном итоге. Я хотел бы сказать, интегрироваться с AD из его наиболее очевидных преимуществ

1. Одно имя пользователя и пароль
2. Повышенная безопасность
3. Простота обслуживания

Хотя число пользователей становится и важным решающим фактором при вам необходимо создать несколько тысяч пользователей и настроить для них разрешение.

Наиболее распространенная причина, по которой пользователи вручную создаются и поддерживаются в sitecore, - это когда вам нужно создать несколько авторов и учетные записи утверждений, в основном для маркетинговой команды. Но если вы предвидите внедрение членства или необходимо предоставить доступ и авторизацию на основе существующей политики пользователя и группы, перейдите к интеграции AD.

Answer 3

Я несколько раз реализовал модуль Active Directory, и он работает очень хорошо, когда вы хотите, чтобы пользователи могли использовать SSO в авторском интерфейсе и управлять доступом к безопасности в Active Directory. Вы также можете использовать его для выполнения SSO конечного пользователя, если вы строите что-то вроде приложения Intranet на Sitecore.

С точки зрения управления безопасностью это становится проще для организации, а также позволяет не беспокоиться о необходимости дублирования пользователей между различными средами (Dev, Test, Prod).

Это говорит о том, что накладные расходы на производительность с использованием модуля Active Directory отсутствуют, если вы используете только собственный поставщик безопасности Sitecore. С вашим количеством пользователей вы, вероятно, не увидите никакой разницы, но с чрезвычайно большими каталогами AD со сложными групповыми членствами вы можете столкнуться с проблемами производительности, если используете косвенное членство (т. Е. Группы внутри групп).

Пример сценария:

1. Содержимое элемента в Sitecore крепится к роли MyDomain \ SuperAuthor
2. Пользователь А непосредственно членом MyDomain \ SuperAuthor
3. пользователя B является членом MYDOMAIN \ Суперпользователь
4. MyDomain \ суперпользователя группа является членом MyDomain \ SuperAuthor

Если вы используете Sitecor e безопасности, разрешение доступа пользователя B очень эффективно. Sitecore может быстро проверить косвенное членство, используя роли в системе.

Если вы используете модуль Active Directory, косвенное членство по умолчанию отключено. Только пользователь A получит доступ. Если вы измените настройку конфигурации, чтобы включить косвенное членство, модуль затем позволит пользователю B иметь доступ, однако вы начнете видеть более медленную производительность для этого сценария.

Как я уже упоминал ранее, если Active Directory не очень сложна в отношении того, что вытягиваете в Sitecore, вы должны быть в порядке и, вероятно, не заметите этих воздействий.