La mia organizzazione ha un sistema di autenticazione utente interno condiviso tra un numero molto elevato di sistemi interni.
Uno di questi sistemi deve recuperare le informazioni dall'account di scambio dell'utente connesso. Registrato qui significa connesso al sistema - il client non è necessariamente una macchina Windows sul nostro dominio. Tuttavia, la mappatura a un utente Windows valido è nota.
Sto cercando di trovare un modo sicuro per gestirlo senza richiedere all'utente di autenticarsi manualmente con entrambi i set di credenziali. I due suggerimenti sono:
- Memorizza la password di scambio di testo normale degli utenti nel client o nel server del servizio utilizzato per accedere allo scambio. Ovviamente se tale servizio dovesse essere compromesso, ciò comporterebbe la violazione delle password.
- Utilizza un account autorizzato a impersonare tutti gli utenti. Se questo fosse compromesso, tutti i dati di scambio sarebbero stati compromessi.
Nessuno dei due è esattamente allettante. C'è un modo per passare il nostro token esistente per lo scambio e avere un plugin di scambio o una chiamata di servizio per verificarlo?