Расширение безопасности Active Directory с действиями и ролями

Question

Мы создаем приложение интрасети, которое будет использовать интегрированную проверку подлинности Windows. Приложению потребуются специальные действия и роли для защиты различных частей и функций.

Моей идеей является расширение активного каталога путем хранения ролей и действий в другой базе данных, связанной с пользователем активного каталога с использованием SID. Таким образом, мы знаем, кем является пользователь, и получить его разрешенные роли (с действиями) из нашей базы данных без особых хлопот.

Как вы думаете, это хороший подход или есть лучшие способы борьбы с этими вещами?

Я прочитал этот пост: User Group and Role Management in .NET with Active Directory
Но Active Directory не поддерживает программно создания ролей и нет никакой поддержки пользовательских действий вообще.

Answer 1

Несколько вариантов на ум:

• вы можете использовать ADAM (ака AD LDS) для вашего магазина ролей - модель программирования такая же, как AD, что приятно;
• Вы могли бы нам AzMan (aka Authorization Manager) - он прекрасно сочетается с ASP.NET, и вы можете использовать его со встроенным ролевым провайдером. Он может хранить свои данные в XML или в AD. Кроме того, EntLib поставляется с оберткой AzMan, поэтому у вас есть другой способ ее использования. Мне очень нравится AzMan, потому что вы можете вносить изменения в роли пользователя на лету.