我们正在部署需要用户名/密码登录的 Web 应用程序。我们还在管理支持 Web 应用程序的基础设施。
我已经研究过,但无法找到任何与最佳实践相关的资源,以确定这些帐户是否应该成为单独的身份验证域的一部分。
我正在寻找任何能够说明客户端服务(Web 应用程序)和基础设施管理使用相同身份验证域所带来的风险的文档。
我担心的风险是,如果客户端服务身份验证被黑客入侵,攻击者可能会获得基础设施管理员的凭证。从那里,攻击者可以控制整个基础设施,而不仅仅是客户端服务(Web 应用程序)。
如果我们有两个不同的身份验证域(没有共享的帐户信息),那么这种风险就会大大降低。有没有最佳实践文档可以说明这一点?
编辑 该信息不必特定于 MS AD 或 LDAP,它是关于帐户类型/目的分离的更一般的信息。