Веб-приложение MCV с аутентификацией ADFS на месте

Question

действительно надеюсь, что я смогу получить некоторые указатели с этим, прежде чем я пойду потратить слишком много времени. По правде говоря, я даже на сто процентов не уверен, где мне нужно это задавать. Я имею дело со всей кучей технологий, с которыми мне мало что известно. Исторически я был довольно простым разработчиком настольных компьютеров vb.net, поэтому я изучаю MCV5 & C#, когда я ухожу. Я понимаю, что некоторые из них могут быть не в том месте, но в надежде найти указатели на аренду

Итак, меня спросили, как несколько моих клиентов разработали веб-приложение/api, чтобы их сотрудники могли выполнять определенные функции ввода данных во время работы вне офиса и периодически возвращать их в свои системы управления. Все эти клиенты очень близки к тем же требованиям и системам управления, поэтому я намерен создать единое веб-приложение с многопользовательской базой данных, где я контролирую, кто узнает, что основано на их логине. Ядро веб-приложения, базы данных и т. Д. У меня голова вокруг, на самом деле все кажется довольно бесшовным. Использование https://msdn.microsoft.com/en-us/library/aa479086.aspx в качестве начальной точки. Думаю, я могу управлять базой данных.

Где я действительно борется, как лучше всего защитить эту систему. Глядя на варианты, доступные мне в visual studio (2015), я считаю, что лучший вариант для меня - использовать ADF в On-Premise. Мой босс уже положил ногу на Azure, поэтому, к сожалению, не вариант, у нас в значительной степени есть собственная серверная ферма в доме, которая больше чем способна разместить это. Настоящая стикер здесь, мой SA в значительной степени сказал, что это не его проблема, если вы хотите ADFS и веб-сервер, вы разобрались. По крайней мере, он дал мне хорошую новую виртуальную VM с Win2012R2, но не хочет, чтобы с ней что-то было больше.

Итак, вопросы

1. ли ADFS даже необходимо в этом случае, или я лучше иметь дело с этим все через стандартный AD или какой-либо другой оснастки? И даже если это возможно, это хорошая идея?
2. Во время разработки/тестирования, хорошо ли использовать сертификат самоподписывания или . У меня возникнут проблемы с ошибками сертификата?
3. При настройке ADFS запрашивается имя службы федерации. В senario выше, где я использую его для аутентификации веб-приложения, ли он когда-либо экспонируется непосредственно конечному пользователю? Они будут что нужно ввести этого в их браузера? и будет ли лучше иметь внешние записи DNS для этого?

Answer 1

Мой 2 цента:

1. Там будет кривым обучение, но если все пользователи хранятся в AD, с использованием ADFS даст вам некоторые преимущества, такие как единый вход, федерации против других провайдеров, если это вам когда-нибудь понадобится это позже.
2. Использование самоподписанных сертификатов во время разработки/тестирования в порядке. Вы можете отключить проверку отзыва сертификатов на стороне ADFS.
3. Нет, это имя службы федерации не распространяется на конечных пользователей. Я бы предположил, что у вас есть внешние записи DNS для вашей ADFS, потому что ваши пользователи должны получить к нему доступ извне. Короче говоря, пользователю редко приходится вводить URL-адрес ADFS. Вместо этого ему или ей необходимо получить доступ к сайту поставщика услуг и перенаправить его на сайт ADFS.

Answer 2

Это становится более распространенным сценарием и может быть легко обработан AD FS.В идеале, что вы хотели бы сделать, это:

• развертывания AD FS фермы
• Настройка веб-приложения доверять своим ADFS STS
• Всякий раз, когда вам нужно добавить клиента, который будет использовать ваш мульти-арендатора приложение, добавьте доверие федерации к этому клиенту (т. е. доверие федерации между AD FS и AD FS клиента)

Это гарантирует, что вам не придется иметь дело с управлением идентификацией для каждого отдельного пользователя при добавлении клиент. Когда клиент пытается войти в ваш WebApp, он будет аутентифицирован против своей службы федерации Active Directory, и ваш AD FS получит маркер и подпишет его и представит в веб-приложение. Это даст им SSO, который все начали ожидать как де-факто :)

Самостоятельно подписанные сертификаты - Как сказал Thuan, это нормально использовать их во время тестирования, просто убедитесь, что все ваши тестовые поля настроены на доверять сертификату или иначе вы будете видеть, что соединение падает все вокруг

Название службы федерации - Как поясняется в сводке настройки выше, имя службы федерации никогда не должно быть подвержено конечному пользователю из организации клиента. Насколько ему известно, он подвергается аутентификации против своей АФФ, поскольку он привык к этому уже.

Вы можете рассмотреть вопрос о развертывании AD FS в лазури: AD FS deployment in Azure