因此,我设置了一个 Active Directory 环境,并且它使用 ADFS 允许我的环境之外的应用程序使用来自我的 AD 的凭据。
这一切都很好,但我需要一种方法来允许这些外部应用程序列出我的 AD 中的用户(所有人,或者仅在特定子集中)。
我的局限性在于,我需要限制谁可以看到这些用户列表(即,它必须是安全的:我需要将有权限执行此操作的应用程序列入白名单),并且外部应用程序完全独立于我的 AD 环境(不同的服务器、域、网络等)托管。我可以随心所欲地配置 AD,并且可以完全控制外部应用程序,但我无法更改两者之间的连接(我无法设置 VPN 等)。
我曾经考虑过 LDAP,但似乎不建议公开 LDAP。我正在考虑 LDAPS,但我也不确定这是否值得推荐。
有人知道是否有一个标准的方法可以做到这一点,或者有任何建议吗?
答案1
一种方法是在其自己的边界上设置 RODC(如果您还没有),然后允许从外部网络通过 LDAPS(636/tcp)进行 LDAP 查询,使用专用用户帐户(只有域用户访问权限)进行查询。当然,您将暴露大量 AD 基础架构,只是为了让一个应用程序检查某些东西。
或者,您可以安排自动生成特定用户帐户及其所需属性和 SFTP 的报告,无论在哪里需要信息,都不会暴露任何不是绝对需要的信息。
对于这样的场景,没有简单的答案,您需要仔细权衡可用性和安全性。