Active directory 基于广告组的授权

我们正在开发一个内部应用程序，但必须可以从Internet访问。我们已经使用OpenID Connect对用户进行身份验证。用户必须在IAM平台（ISAM IBM Security Access Management）中拥有有效帐户，才能登录到应用程序。当用户浏览到应用程序时，他们将被重定向到我们的IAM平台登录页面。一旦他们输入他们的凭证，他们将能够进入应用程序

现在，我们希望获得某种基于广告组用户所属的授权。我们如何才能做到这一点？用户经过身份验证并重定向到应用程序后，应用程序是否需要从AD获取信息？怎么做

有两种选择

1） 或者只允许登录相应广告组中的人员， 在这种情况下，您的OpenID Connect必须能够从IAM请求组信息，或者IAM设置为仅允许登录相应的广告组

2） 或在进入应用程序时检查广告组

这通常在应用程序端完成，特定编程取决于应用程序，但通常应用程序需要向AD发出LDAP请求，以检查用户是否是特定组的成员，例如：

有两种选择

1） 或者只允许登录相应广告组中的人员， 在这种情况下，您的OpenID Connect必须能够从IAM请求组信息，或者IAM设置为仅允许登录相应的广告组

2） 或在进入应用程序时检查广告组

这通常在应用程序端完成，特定编程取决于应用程序，但通常应用程序需要向AD发出LDAP请求，以检查用户是否是特定组的成员，例如：

---

您在OIDC中使用的客户端堆栈是什么？为什么这个标签是ADFS？您在OIDC中使用的客户端堆栈是什么？为什么要将其标记为ADFS？关于选项1，我想说的是，它与对应用程序的访问无关。在IAM平台中拥有帐户的所有用户都可以访问该应用程序。问题是，我们可以做些什么来让属于广告组1的一些用户只看到第1页、第2页和第3页。而属于广告组2的用户只能看到第2、5和6页。关于选项2，我们是否需要在应用程序端进行一些配置，例如连接到域或其他东西。@user217648，这取决于您的详细设置。但通常LDAP查询必须使用一些AD帐户连接到LDAP服务器进行身份验证。因此，您必须为您的应用程序设置广告帐户。这并不意味着应用程序的服务器必须位于域中，只是该应用程序在进行LDAP查询时提供了AD帐户和密码。关于选项1，我想说的是，它与对应用程序的访问无关。在IAM平台中拥有帐户的所有用户都可以访问该应用程序。问题是，我们可以做些什么来让属于广告组1的一些用户只看到第1页、第2页和第3页。而属于广告组2的用户只能看到第2、5和6页。关于选项2，我们是否需要在应用程序端进行一些配置，例如连接到域或其他东西。@user217648，这取决于您的详细设置。但通常LDAP查询必须使用一些AD帐户连接到LDAP服务器进行身份验证。因此，您必须为您的应用程序设置广告帐户。这并不意味着应用程序的服务器必须位于域中，只是该应用程序在进行LDAP查询时提供AD帐户和密码。