我需要实现一个可以从公司外部访问的公司网站。要求用户能够使用与访问公司网络 (Active Directory) 相同的凭据登录。我最初考虑使用 ADFS,但似乎无法访问有关其他用户的信息。我需要能够列出其他用户、获取他们所属的组等。我也可能需要修改服务器中有关用户的信息。
我对 Active Directory 没有任何经验。直接使用 LDAP 进行自定义身份验证是更好的选择吗?有什么建议或更正吗?
答案1
Active Directory 联合身份验证服务 (ADFS) 主要与身份验证有关。它不是元目录,不能用于从 Active Directory 返回通用信息。
通过以下方式访问 Active DirectoryLDAP可能是您想要的方向,因为它允许您查询用户帐户(和其他对象)的属性。请注意,与复杂的 AD 林(特别是具有林信任的林)正确互操作并非易事。如果您正在开发始终在单域环境中运行的内部使用应用程序,则不必应对这种复杂性。但是,如果您正在考虑构建用于销售的产品,那么您最好学习大量有关 Active Directory 及其复杂部署类型的知识。(我使用过很多声称“LDAP 与 Active Directory 集成”的产品,结果发现它们在处理相当常见的配置(例如多域环境)时会崩溃。甚至不要让我开始谈论对多林环境的糟糕支持......)