IIS + zintegrowane uwierzytelnianie systemu Windows: czy uprawnienia do odczytu/wykonywania są bezpieczne dla uwierzytelnionych użytkowników?


Mam korporacyjną aplikację internetową, która zostanie zintegrowana z usługą logowania jednokrotnego (SSO) za pośrednictwem

Zintegrowane uwierzytelnianie systemu Windows
http://en.wikipedia.org/wiki/I ... ation
(IWA). SSO zapewnia tylko uwierzytelnianie (nie autoryzację). Ta aplikacja internetowa będzie obsługiwać autoryzację poprzez dedykowany moduł autoryzacji. Używamy usług IIS 6 w systemie Windows 2003.
Gdy użytkownik zostanie uwierzytelniony za pośrednictwem IWA, usługi IIS domyślnie uruchamiają stronę internetową w kontekście aktualnie zalogowanego użytkownika. Zwykle mamy obiekt grupy zabezpieczeń Active Directory, któremu przypisujemy uprawnienia do odczytu/wykonywania w katalogu serwisu WWW - każdy obiekt użytkownika, który członek tej przypisanej grupy zabezpieczeń może zobaczyć/uruchomić stronę internetową. Każdy użytkownik usługi AD, który pomyślnie uwierzytelnił się w usłudze AD, ale nie należy do tej grupy zabezpieczeń, otrzymuje protokół HTTP 401 (odmowa dostępu).
Jednak w tym projekcie nie chcemy obsługiwać dodawania/usuwania niestandardowych obiektów AD dla określonej grupy zabezpieczeń. Zamiast tego zdecydowaliśmy się nadać grupie Authenticated_Users uprawnienia do odczytu/wykonywania plików katalogu witryny. W ten sposób, jeśli możesz się uwierzytelnić, będziesz mógł domyślnie zobaczyć/wykonać żądanie strony.
To jest bezpieczne? Z punktu widzenia mojego zespołu jest bezpieczne, jeśli moduł autoryzacji w tej aplikacji internetowej wykonuje swoją pracę.
Czy ktoś inny to robi, czy masz inne podejście do zarządzania autoryzacją podczas korzystania ze zintegrowanego uwierzytelniania systemu Windows w usługach IIS?
Zaproszony:
Anonimowy użytkownik

Anonimowy użytkownik

Potwierdzenie od:

Dopóki Twój moduł autoryzacji działa zgodnie z reklamą, nie powinieneś mieć żadnych problemów. To oddzielenie (uwierzytelnianie i autoryzacja) jest często pomijane. Po prostu bierzesz odpowiedzialność za autoryzację (w aplikacji), ale oczywiście tego chcesz! Jak powiedziałeś, wszystko, co zrobi grupa zabezpieczeń systemu Windows, to zapewni mechanizm uwierzytelniania, który nie ma nic wspólnego z rzeczywistymi uprawnieniami w aplikacji.

Aby odpowiedzieć na pytania, Zaloguj się lub Zarejestruj się