Entrusted authenticatie van de gebruiker in een Active Directoy applicatie

De meeste toepassingen die ontwikkeld zijn voor bedrijven hebben een access control functie bij het opstarten: om toegang te krijgen tot het programma moet u beschikken over het recht om deze te gebruiken. Wat is er normaal?

Voor de programmeur van de applicatie is het verleidelijk om een eigen authenticatie procedure op te starten. Is dit niet gewoon het wiel heruitvinden? Is het zelfs nodig om dit nieuwe programma met een houten wiel uit te rusten?

Het opleggen van authenticatieregels

In termen van gebruikersauthenticatie kunnen er meerdere vragen gesteld worden. Het is waarschijnlijk dat onze toegewijde programmeur, die handelt in het kader van de toepassing, niet de tijd zal nemen om deze vragen te beantwoorden:

• Welke complexiteit moet het wachtwoord opgelegd krijgen?
• Wat is de levensduur van een wachtwoord?
• Waar en hoe de wachtwoorden opslaan? (Zeker niet in plaine text in de gegevensdatabank)
• Wat doen na een aantal x foutief inloggen? Account blokkeren?
• Indien ja, voor hoelang?
• …

Delegeren van deze kwesties:

En wat als de oplossing gewoon afzien van dit aspect is?

Het volstaat om dit gewoon toe te vertrouwen aan een domein controller die aanwezig is in het Windows netwerk. Active Directory kan fungeren als een LDAP-server en omgaan met alle door de gebruiker opgelegde verificatie-controles.
Zo worden bovenstaande vragen beantwoord in de lokale manager (wachtwoordbeleid en accountvergrendelingsbeleid) voor het bevestigen van bijhorende parameters.

In termen van programmatie

De .NET-ontwikkeling is zeer eenvoudig op dit nieveau: de namespace System.DirectoryServices.AccountManagement bevat een goed gevulde toolkit, waarmee de programmeur met een minimum aan code de gebruikerscredentials kan verifiëren.
Voor andere ontwikkelingsplatformen zijn er een groot aantal LDAP-bibliotheken waarmee je hetzelfde resultaat kan bereiken.

Waarom zou je dit zelf doen, als er anderen zijn die dit beter kunnen.

En de veiligheid van deze infrastructuur?

We kunnen het niet genoeg benadrukken:

Een Active Directory domein moet worden beperkt tot een intranet, dus gelimiteerd tot een lokaal netwerk.

Het is ondenkbaar dat dit domein blootgesteld zou worden aan IP-poorten die verbonden zijn met het publieke internet.
Voor gebruikers vanop afstand, moet er VPN worden ingesteld. De authenticatie op domeinniveau zal werken door middel van deze VPN.

Het beheren van gecentraliseerde autorisatie, da's nog makkelijker!

De authenticatie vanuit dit perspectief, Active Directory wordt de locatie voor het configureren van toegangsrechten. In het bijzonder elementen van de IT-infrastructuur of toegangsrechten voor een applicatie.
Het is eenvoudig om een groep te configureren voor een applicatie door deze toe te passen op het Active Directory, vervolgens kan je de gebruikers in deze groep selecteren die toegang hebben tot deze applicatie.

Dit zorgt voor extra comfort voor de gebruikers: één enkele manier om jezelf te identificeren voor alle aangeboden diensten van het bedrijf.
Wanneer een gebruiker het bedrijf verlaat, moet deze gebruiker op non-actief gezet worden binnenin het domein, dit zorgt ervoor dat alle toegang ontnomen wordt. Het is dus niet meer nodig om de linker en rechtermachtigingen te wijzigen in de diverse toepassingen waartoe de gebruiker toegang had.