Utilizzo dell'autenticazione AD in una webapp pubblicamente accessibile

5

Sono amministratore di sistema che lavora con un team di sviluppo che sta estendendo un'app web .net pubblicamente accessibile che attualmente utilizza l'autenticazione dei moduli con nomi utente / password (hash) memorizzati in un database sql. Gli sviluppatori vorrebbero passare da report Crystal a SRSS e mi dicono che l'autenticazione AD è un requisito per le credenziali da condividere tra SRSS e webapp. La loro proposta è di fare in modo che la webapp crei / modifichi gli account AD in una configurazione di dominio AD appositamente creata per questo scopo. La webapp e i server SRSS si troveranno nello stesso dominio. Le credenziali di dominio utilizzate per creare / modificare l'utente verranno memorizzate nella configurazione Web e verrà richiamata un'API con le credenziali.

Non mi piace l'idea, ma ho difficoltà a convincerli a non usare questa architettura. Ci sono controlli o controlli PCI in quadri di controllo di tutto rispetto che proibiscono questa architettura? O sto facendo una montagna da una formica?

    
posta securityishard 27.07.2011 - 18:54
fonte

1 risposta

3

Oltre alla regola base di "non memorizzare le credenziali nei file di configurazione" ...

Non sono del tutto sicuro di ciò che stava pensando il team di sviluppo, ma puoi utilizzare l'autenticazione basata su form con SSRS: link .

È un design piuttosto peloso, specialmente se è progettato per continuare a utilizzare SQL per memorizzare gli utenti. Ora, la migrazione all'utilizzo di Active Directory per tutti gli utenti e il fatto che l'utente attualmente connesso acceda a SSRS con il token indicato è un'architettura piuttosto standard. In questo modo non memorizzi mai le credenziali.

    
risposta data 27.07.2011 - 19:52
fonte