.net 如何向客户验证用户'；s（远程）active directory服务器

我们正在开发一个web应用程序，该应用程序将托管在我们的网络上，但客户希望我们与他们的（远程）active directory“同步”

基本上，他们希望使用他们的广告凭证登录到我们的web应用程序

关键是web应用程序（我们的）和AD目录（他们的）位于两个完全独立且断开连接的网络上

您推荐哪些工具和/或策略来提供此服务

---

我们的Web应用程序是C.I/IIS。

< P>此场景是Windows身份基础（WIF）支持的主要方案之一，前提是它们可以将它们的广告暴露为安全令牌服务（STS）。他们可以使用ADFS 2来实现这一点。一般的方法称为身份联合。WIF与ASP.Net集成得非常好

网上有很多关于WIF和ADFS 2身份联合的文档。例如，请尝试并同时使用WIF SDK和Visual Studio工具

我的理解是，有三种可能的解决方案：

在域控制器上安装某些内容以捕获所有用户更改（添加、删除、密码更改）并将更新发送到远程服务器。不幸的是，网站无法知道初始用户密码——只有在更改后才知道新密码

为web服务器提供通过LDAP/WIF/ADFS连接到域控制器的访问权限。这可能意味着打开公司防火墙中的传入端口以允许特定的IP

否则，请绕过用户名/密码，改用。用户只需每3-6个月通过电子邮件对每台设备进行一次身份验证

---

我必须开始为即将到来的项目实施这一点，为了简单起见，我非常倾向于选项3。

这个问题与和非常相似