我需要实施一个可以从公司外部访问的公司网站.要求用户能够使用与访问公司网络(Active Directory)时相同的凭据登录.我最初想到使用ADFS,但似乎我无法访问有关其他用户的信息.我需要能够列出其他用户,获取他们所属的组,等等.我也可能需要修改服务器中用户的信息.
我没有任何与Active Directory相关的经验.直接使用LDAP和自定义身份验证是更好的选择吗?有任何建议或更正吗?
解决方法
Active Directory联合身份验证服务(ADFS)主要用于身份验证.它不是元目录,不能用于从Active Directory返回通用信息.
通过LDAP访问Active Directory可能是您想要的方向,因为它允许您查询用户帐户(和其他对象)的属性.请注意,正确地与复杂的AD林(特别是与Forest Trusts的林)进行互操作并非易事.如果您正在开发一个始终在单域环境中运行的内部使用应用程序,那么您将不必面对这种复杂性.但是,如果您正在考虑构建待售产品,那么您将很好地了解Active Directory及其复杂的部署类型. (我曾经使用过很多声称“与Active Directory进行LDAP集成”的产品,但却发现它们在处理相当常见的配置(如多域环境)时会崩溃.甚至不让我开始关于对多森林环境的不良支持……)