我正在研究的项目应该再次验证用户AD。我之前从未使用AD,也没有在使用AD的组织中工作,所以这是我的愚蠢问题:如果涉及AD,谁管理角色,组和用户的应用程序?我有责任为网站管理员提供用户界面以将AD用户分配到我的应用角色,或者AD管理员应该负责创建我的应用所需的适当群组并在那里分配现有的AD用户吗?
这个部门的最佳做法是什么?
一旦注意到 - 这不是内部应用程序,因此它应该与现有AD一起使用。问题是我是否期望像“教师”和“学生”这样的角色(只是为了说明这一点),我是否可以期望IT人员在AD中创建适当的组并为其分配用户?
答案 0 :(得分:1)
我认为您不应该为活动目录提供Gui。大多数使用活动目录的组织使用标准的活动目录工具对其进行管理。
如果你想处理小商店的情况。然后将组设置为应用程序DB的内部组。您仍然可以使用活动目录用户。但是组管理和成员资格将在您的应用程序内部。这将避免处理活动目录的复杂规则的大多数问题,并且仍然可以从单点登录中受益。
还有一点需要注意。组名称应该是可自定义的。大多数地方都有组名的命名约定。
答案 1 :(得分:0)
这实际上取决于谁拥有AD,以及谁将负责管理用户帐户。如果此AD与您的公司域名隔离,并且您希望您的支持或销售人员或其他业务人员管理帐户,那么请务必创建一个管理工具。
如果您尝试与现有的AD绑定,那么您应该与IT部门密切合作,他们可能会想要以自己的方式创建帐户(特别是如果您使用现有的凭据)。
基本上,这归结为您的IT运营方式,以及您使用的AD和运行公司网站的AD的关系到底是什么。
根据您的其他信息,我认为您需要提供管理控制台。特别是如果你想针对那里的小商店。您的解决方案应该使其成为可选项,因此如果他们想要使用管理UI,但如果IT部门想要使用Powershell,他们也可以这样做。
答案 2 :(得分:0)
如果您正在为其他公司编写此应用程序,我认为您可以假设他们将负责管理AD用户和群组。您只需要与客户协调应用将使用的角色/组。