我有一个企业 Web 应用程序,它将通过以下方式与单点登录 (SSO) 服务集成集成 Windows 身份验证(IWA)。SSO 服务仅提供身份验证(不提供授权)。此 Web 应用程序将通过自定义授权模块处理授权。我们在 Windows 2003 上运行 IIS 6。
一旦用户通过 IWA 进行身份验证,IIS 默认将在登录用户的上下文中执行网页。因此,我们通常有一个 Active Directory 安全组对象,我们为其分配对网站目录的读取/执行权限 - 任何属于此指定安全组成员的用户对象都可以查看/执行网页。任何成功通过 AD 身份验证但不属于此安全组的 AD 用户都会收到 HTTP 401(访问被拒绝)。
但是对于这个项目,我们不想为指定的安全组添加/删除 AD 用户对象。我们的想法是为 Authenticated_Users 组分配对网站目录文件的读取/执行权限。这样,如果您可以进行身份验证,则默认情况下您将能够查看/执行页面请求。
这安全吗?从我的团队的角度来看,只要此 Web 应用程序中的授权模块能够正常工作,它就是安全的。
是否有其他人这样做,或者在 IIS 上使用集成 Windows 身份验证时您是否有其他方法来管理授权?
答案1
只要您的授权模块按宣传的那样工作,您就不会遇到任何问题。这是一个经常被忽视的分离(身份验证和授权)。您只需自己承担授权的责任(在应用程序内),但显然这就是您想要的!就像您说的那样,Windows 安全组所做的只是提供一种身份验证机制,它与您的应用程序内的实际权限无关。