Uso de la autenticación AD en una aplicación web de acceso público

5

Soy un administrador de sistemas que trabaja con un equipo de desarrollo que está extendiendo una aplicación web .net de acceso público que actualmente usa la autenticación de formularios con nombres de usuario / contraseñas (hash) almacenados en una base de datos SQL. A los desarrolladores les gustaría pasar de Crystal Reports a SRSS y me dicen que la autenticación AD es un requisito para que las credenciales se compartan entre SRSS y la aplicación web. Su propuesta es que la aplicación web cree / modifique las cuentas de AD en una configuración de dominio de AD específicamente para este propósito. Los servidores webapp y SRSS estarán en el mismo dominio. Las credenciales de dominio utilizadas para crear / modificar el usuario se almacenarán en la configuración web y se llamará a una API con las credenciales.

No me gusta la idea pero me cuesta trabajo convencerlos de que no utilicen esta arquitectura. ¿Hay controles o controles PCI en marcos de control respetados de manera similar que prohíban esta arquitectura? ¿O estoy haciendo una montaña de una colina de hormigas?

    
pregunta securityishard 27.07.2011 - 18:54
fuente

1 respuesta

3

Además de la regla muy básica de "no almacenar credenciales en archivos de configuración" ...

No estoy completamente seguro de lo que pensaba el equipo de desarrollo, pero puede usar la autenticación de formularios con SSRS: enlace .

Es un diseño bastante peludo, especialmente si está diseñado para continuar utilizando SQL para almacenar los usuarios. Ahora, migrar a usar AD para todos los usuarios, y permitir que el usuario que está conectado actualmente acceda a SSRS con el token dado es una arquitectura bastante estándar. De esa manera, nunca almacenarás credenciales.

    
respondido por el Steve 27.07.2011 - 19:52
fuente

Lea otras preguntas en las etiquetas