Iis 使用IdentityServer和Active Directory的SSO

我们已经使用IdentityServer4创建了一个SSO解决方案。我们的公共/附属用户通过存储在数据库中的帐户进行身份验证，我们的公司/内部用户通过其Active Directory帐户进行身份验证

我们面临的问题是，当我们将IdentityServer解决方案托管在DMZ（不在我们的域上）上时，它无法访问Active Directory（在我们的域上）以验证用户的登录凭据和角色/声明

我的目标是知道这个问题的最佳解决方案

• 实施Active Directory联合身份验证服务的最佳做法是什么
• 我们是否需要在我们的域上托管IdentityServer，以便它具有AD访问权限，然后创建第二个应用程序以在外部托管并调用实际的IdentityServer
• 我们的网络团队是否可以实施一个安全的解决方案来允许外部服务器访问我们域上的AD（即：以某种方式授予IIS应用程序池标识的AD权限）

对这里的最佳实践有点茫然。不确定这是否是我们的网络/运营团队或开发团队的问题

---

提前感谢。

IdentityServer 4支持将UI（登录页面）部署为单独的应用程序。所以一种解决方案是在DMZ中有UI，另一种是在域中有服务器。

---

在所有其他情况下，您将为DMZ中的服务器提供数据库访问权限（这不是最好的做法）。

我对此一无所知，但有人告诉我，您可能希望查看Active DirectoryFederation服务……我将编辑我的帖子，将其包括在内，我们确实查看了一些，目前正在进一步研究。我们的网络团队担心这可能需要很长时间才能实现，但如果这是最好的解决方案，那么我们将继续推进。现在只是收集信息，看看是否有更好的选择，或者这确实是最好的解决方案。感谢您的输入：）