我们有多个本地 Web 应用程序针对 Active Directory 后端使用基于表单的身份验证。
我们的新安全政策要求每个用户每次登录时使用不同的密码网络地点。
问题是,Active Directory 只允许每个用户帐户一个密码。
有人能帮我找到一个解决方案,让每个用户在每个网站上使用相同的用户名但使用不同的密码吗?
答案1
Our new security policy requires that each user uses different passwords for each sites.
那么您无法使用 Active Directory 身份验证,除非您为每个用户设置多个用户帐户。
答案2
我认为这个问题的真正答案是打电话给制定这项政策的天才,并反驳说应该表述为“每个账户使用不同的密码”。我认为才是真正的目的。人们不应该在不同的账户之间重复使用密码。
然后更进一步,建议将所有身份验证统一到一个帐户。使用 MFA 更容易确保安全,更容易终止访问,更容易以丢失密码的形式解决,更容易配置/取消配置 - 并且(当站点/提供商支持时)可以删除通常具有易于暴力破解的固定密码的应用程序本地帐户。
按照安全团队的“要求”行事意味着每个外部网站的密码都不同,不与 SSO/SAML/OIDC 集成,经常被遗忘,很少更新。
不夸张地说,这是一项非常糟糕的政策(无论如何,适用于使用相同身份验证源的内部站点)。它需要创建多个本地帐户,然后在终止时必须禁用/停用所有帐户 - 让您处于危险之中。更不用说 - 不可能针对所有各种解决方案维护统一的密码策略。
答案3
为什么不直接创建不同的域呢?您可以将每个应用程序验证到特定的域。
在某些情况下,你可以在两个域中使用相同的用户名,因此同一个用户名可以有不同的密码但确保你阅读信任关系在那之前。
高血压