Qual è la procedura migliore per creare un'app in grado di autenticarsi insieme agli utenti di AD e DB?

Il modo più semplice, e quello che ho usato prima, è quello di memorizzare tutti i dati dell'utente nel DB, ma se l'accesso utente è gestito tramite AD, lasciare un campo password nero in modo che l'applicazione sappia autenticarsi con AD invece di il DB (o usa un flag).

Dovrai memorizzare l'identificatore AD, che può essere dominio e sAMaccountname (per i sistemi meno recenti) o UserPrincipalName (se ne stai eseguendo di nuovi).

Ciò significa anche che è possibile accedere anche agli utenti che non sono memorizzati in AD, ad esempio un amministratore dell'applicazione locale, che è molto utile quando si tratta di installazione e test.

Non confondere l'autenticazione con l'autorizzazione. L'autenticazione sta verificando che l'utente sia chi dice di essere. L'autorizzazione sta concedendo o negando l'accesso in base alle autorizzazioni di detta persona. Verificando che la persona è chi dicono di essere attraverso Active Directory è molto autentica.

Come regola generale, non devi mai prendere scorciatoie per l'autenticazione. Presumo che non stiamo parlando di un problema di prestazioni con l'accesso ad Active Directory qui, quindi non abbiate paura di controllare ogni volta. Ciò implica anche che in caso di problemi di accesso ad Active Directory, nessuno può utilizzare il tuo programma. Questo è perfettamente accettabile!

Pertanto, dovresti davvero salvare qualsiasi informazione nel database riguardante un utente specifico dell'applicazione come le autorizzazioni, ma solo una volta che l'utente è autenticato.