Tenemos una aplicación web existente y queremos migrar desde una solución de autenticación personalizada a los Servicios de federación de Active Directory para que nuestras organizaciones asociadas puedan administrar la autorización de sus usuarios de su lado.¿Es una mala práctica poner usuarios externos en Active Directory?
En este momento, el sitio usa tablas de bases de datos personalizadas para administrar usuarios y lógica personalizada para administrar la autenticación y la autorización.
Además de las organizaciones asociadas que autenticarán a sus usuarios y obtendrán acceso a través de ADFS, tenemos usuarios internos que están en nuestro dominio de Active Directory. Estos usuarios también pueden ser autenticados a través de ADFS.
Nuestra pregunta gira en torno a nuestros usuarios externos. Este sitio también permite que las personas se registren. Estas personas no tienen ninguna organización para la que trabajan, por lo que no podemos usar ADFS para manejar su autenticación.
Como necesitamos apoyar a estas personas, necesitamos administrar sus cuentas de usuario.
ADFS solo se puede conectar a las tiendas de cuentas de Active Directory o del modo de aplicación de Active Directory.
Dado que ADFS solo es compatible con estas tiendas de cuentas, parece que la solución lógica es crear cuentas para usuarios externos en nuestro dominio de Active Directory.
Esto significa que actualizaríamos nuestras páginas de registro para crear nuevas cuentas de usuario en Active Directory activo en lugar de crear nuevos registros en nuestra base de datos personalizada.
Entonces, ¿es esta una mala práctica? ¿Debería AD utilizarse para usuarios externos a la propia organización? ¿Cómo manejan otros este tipo de situaciones cuando usan ADFS?
El enlace de ADAM está roto. Ese conjunto de servicios (ADAM en Win Svr 2003) parece haber cambiado de nombre [Servicios de directorio ligero de directorio activo] (http://technet.microsoft.com/en-us/windowsserver/dd448612.aspx) en Win Server 2008+. – yzorg