Authentifier à plusieurs unités d'organisation dans Active Directory

Question

J'utilise le fournisseur d'appartenances Active Directory avec la configuration suivante:

<connectionStrings> 
     <add name="MyConnString" connectionString="LDAP://domaincontroller/OU=Product Users,DC=my,DC=domain,DC=com" /> 
    </connectionStrings> 

    <membership defaultProvider="MyProvider"> 
    <providers> 
     <clear /> 
     <add name="MyProvider" connectionStringName="MyConnString" 
      connectionUsername="my.domain.com\service_account" 
      connectionPassword="biguglypassword" 
      type="System.Web.Security.ActiveDirectoryMembershipProvider, System.Web, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a" /> 
    </providers> 
    </membership> 

Cela fonctionne parfaitement, sauf qu'il exige que tous mes utilisateurs d'être dans les « utilisateurs du produit » OU quand j'aimerais réellement que tous mes utilisateurs soient organisés en plusieurs unités d'organisation enfants sous notre unité d'organisation "Product Users". Est-ce possible?

(Notez que ceci est une republication partielle de this question, mais la question que je pose ici n'a jamais été répondue.)

Answer 1

authentification contre AD se fait fonction de la portée de connexion que j'undetstand il. Essentiellement ce que cela signifie est que everyhting dans le contexte de la chaîne de connexion est considérée comme ...

si vous avez votre connexion comme:

LDAP: // domaincontroller/OU = Utilisateurs de domaine, DC = my, DC = domaine, DC = com

tout utilisateur sera alors authentifié qui est un membre du domaine.

à partir de là, vous devez ajouter le fournisseur de rôle basé sur les jetons Windows et configurer quelque chose comme ça ...

<!-- use windows authentication --> 
<authentication mode="Windows" /> 

<!-- use the Windows role provider -->  
<roleManager enabled="true" defaultProvider="AspNetWindowsTokenRoleProvider" /> 

<!-- global authorization rules --> 
<authorization> 
    <allow roles="Domain Admins, Product Users"/> 
    <deny users="*" /> 
</authorization> 

Ce verrouille l'application pour être uniquement utilisé par les administrateurs de domaine et les utilisateurs dans l'unité d'organisation « Les utilisateurs du produit "Et tous ses enfants récursivement. À partir de là, vous pouvez effectuer d'autres vérifications "contextuelles" pour d'autres fonctions, par ex. ...

If(User.IsInRole("Product Admins")) 
{ 
    // do something groovy 
} 
else 
    throw new SecurityException(); 

Qu'est-ce que cela signifie ...

Cela signifie que vous avez un contrôle précis à grain de la sécurité de votre logique applicative basée sur l'appartenance à un groupe d'utilisateurs de domaine, si un utilisateur est dans votre domaine ce les authentifiera, mais il ne les autorisera peut-être pas (ceci dépend de la configuration de votre fournisseur de rôle). Authentifier: Identifier l'utilisateur. Autoriser: accorder des autorisations/accès à l'utilisateur.