У нас есть существующее веб-приложение, и мы хотим перенести его из специального решения для проверки подлинности в службы федерации Active Directory, чтобы наши партнерские организации могли управлять авторизацией своих пользователей на своей стороне.
В настоящий момент сайт использует пользовательские таблицы базы данных для управления пользователями и настраиваемой логикой для управления аутентификацией и авторизацией.
В дополнение к организациям-партнерам, которые будут аутентифицировать своих пользователей и получать доступ через ADFS, у нас есть внутренние пользователи, которые находятся в нашем домене Active Directory. Эти пользователи также могут быть аутентифицированы через ADFS.
Наш вопрос вращается вокруг наших внешних пользователей. Этот сайт также позволяет зарегистрировать людей. У этих лиц нет какой-либо организации, для которой они работают, поэтому мы не можем использовать ADFS для обработки их аутентификации.
Поскольку нам необходимо поддерживать этих людей, нам нужно управлять их учетными записями пользователей.
ADFS может подключаться только к хранилищам учетных записей приложений Active Directory или Active Directory.
Поскольку ADFS поддерживает только эти хранилища учетных записей, логическое решение заключается в создании учетных записей для внешних пользователей в нашем домене Active Directory.
Это означает, что мы обновили наши страницы регистрации, чтобы создавать новые учетные записи пользователей в активном Active Directory, а не создавать новые записи в нашей пользовательской базе данных.
Итак, это плохая практика? Должен ли AD использоваться для пользователей, внешних по отношению к одной организации? Как другие справляются с ситуацией такого типа при использовании ADFS?