我们构建了一个使用 AD 和 SAML 配置单点登录的应用程序。我们使用 Duo 进行 2FA。因此,我们域中的所有用户都可以使用他们的常规工作帐户访问该应用程序。
但是,我们收到了一些请求,一些外部人员也需要访问该应用程序。该应用程序的开发人员表示,他们不想通过应用程序本身来维护用户,这就是我们将其与 AD 联合的原因。我们该怎么做呢?
我不想在 AD 中创建新用户并为他们提供带有我公司电子邮件地址的帐户,因为这将非常难以管理。
我原本想创建一个 AD“联系人”,而不是用户。这样我就可以添加“[电子邮件保护]“并将该帐户放入任何 OU 中以进行访问等。但是,有人告诉我 AD 联系人没有 SID 安全标识符,因此他们将无法登录任何资源。有没有其他解决方案,让我不必在我们的 AD 中创建和管理新用户?
谢谢!
答案1
您说得对,联系人无法登录,但实际上创建联系人并不比创建具有限制权限(仅限域用户组)的域用户更具管理开销,我会选择这种方式。希望这能有所帮助。
答案2
我发现最好的解决方案是使用“来宾帐户”。从 Azure 门户创建来宾用户,启用条件访问策略以确保在所有来宾帐户上强制执行 2FA。即使不是 Duo,只要来宾使用 2FA,我就会很高兴。这似乎是最好的解决方案。干杯!