我们运行的是 2003R2 版 AD。我正在进行 Google Directory Sync,之后计划使用 Google Apps 的 SSO,然后我计划将我们 3 个全球站点连接起来。
碰巧的是,今天我们的防火墙(Fortigate)停止工作了(发生在午夜)。
这让我想到,我不能指望 SSO 能够起作用,如果我的 AD/网络/防火墙崩溃了,那么就没有人可以登录阅读他们的电子邮件。
- 真的吗?
- 在这种情况下,我可以将我的 AD 身份验证/凭证从公司带给第三方吗?
- 如果是,其影响是什么?优点是什么?缺点是什么?
- 这会对我的主要内部网产生什么影响?(主办公室有 60 名员工 + 服务器)
谢谢
答案1
回答您的问题:
- 取决于发生了什么以及随之而来的一切
- 在某种程度上,这称为联合身份验证,但它使用不同的协议。例如 SAML、WS-Fed、OpenAuth/ID。只有某些应用程序可以支持此功能(通常只是 Web)。Windows 本身不支持这种设计。您必须选择一个身份提供商,例如 Google 或 Live ID 或...
- 参见上文。这也意味着您可能会遇到合规性问题等。大多数事情都需要配置,这可能会变得非常棘手。
- 这取决于您的内部网如何工作。如果所有云托管应用程序都支持联合,那么这将非常有效。如果内部托管应用程序不支持必要的协议,那么您就完蛋了。
就我个人而言,我很喜欢这个想法(这也是我的专业领域),但由于遗留软件、合规性问题以及缺乏文档(巨大的问题),这可能是一个痛苦的过程。