Ich verwende den Active Directory Membership-Provider mit der folgenden Konfiguration:
Dies funktioniert perfekt, außer dass es erfordert, dass ALLE meine Benutzer in der OU "Product Users" sind, während ich tatsächlich alle meine Benutzer in verschiedenen Unter-OUs unter unserer "Product Users" organisieren möchte. Ist das möglich?
(Beachten Sie, dass dies eine teilweise Neupostierung der diese Frage ist, aber die Frage, die ich hier stelle, wurde dort nie beantwortet.)
Die Authentifizierung gegen AD erfolgt meines Wissens nach auf der Grundlage des Verbindungsbereichs. Das bedeutet im Wesentlichen, dass alles innerhalb des Kontexts des Verbindungsstrings berücksichtigt wird ...
Wenn Sie Ihre Verbindung wie folgt haben:
LDAP://domaincontroller/OU=Domain Users,DC=my,DC=domain,DC=com
dann wird jeder Benutzer authentifiziert, der Mitglied der Domäne ist.
Danach sollten Sie den Windows-Token-basierten Rollenanbieter hinzufügen und ihn etwa wie folgt konfigurieren ...
Dadurch wird die Anwendung nur für die Verwendung durch Domänenadministratoren und Benutzer innerhalb der OU "Product Users" und aller untergeordneten Elemente gesperrt.
Danach können Sie weitere "kontextbasierte" Überprüfungen für andere Funktionen durchführen z. B. ...
If(User.IsInRole("Product Admins"))
{
// do something groovy
}
else
throw new SecurityException();Was bedeutet das ...
Es bedeutet, dass Sie eine fein abgestimmte Kontrolle über die Sicherheit Ihrer Anwendungslogik basierend auf der Gruppenzugehörigkeit von Domänenbenutzern haben. Wenn ein Benutzer in Ihrer Domäne ist, wird er authentifiziert, aber möglicherweise nicht autorisiert (das hängt von der Konfiguration Ihres Rollenproviders ab).
Authentifizieren: Den Benutzer identifizieren.
Autorisieren: Berechtigungen / Zugriff für den Benutzer gewähren.
CodeJaeger ist eine Gemeinschaft für Programmierer, die täglich Hilfe erhalten..
Wir haben viele Inhalte, und Sie können auch Ihre eigenen Fragen stellen oder die Fragen anderer Leute lösen.
