Inconvenientes de usar ADFS para SSO para usuarios externos

0

¿Hay algún inconveniente para crear un bosque de AD separado para que los usuarios externos de la organización los autentiquen para acceder a algunas aplicaciones web? ¿Hay algún problema de rendimiento y sincronización cuando la cantidad de usuarios externos llega a más de 20,000 o 50,000?

¿Es una mala idea crear un dominio separado y autenticar usuarios externos contra AD y crear un SSO usando ADFS; ¿O tiene sentido utilizar soluciones de gestión de identidades y SSO de terceros como auth0, Okta, CA?

¿Qué beneficio obtendría si confío en estas soluciones comerciales de terceros?

    
pregunta Goli E 18.02.2015 - 23:54
fuente

1 respuesta

1

Las únicas razones para crear un dominio de AD separado es tener una política de contraseña diferente, para segmentar la replicación.

Puede minimizar el riesgo de un DC comprometido solo con un nuevo bosque. Cualquier dominio en un bosque puede resultar en credenciales de administrador de empresa comprometidas.

El servidor ADFS debe ser de confianza para ambos dominios, por lo que se necesita una confianza de dominio o una confianza de bosque. Si no haces esto, entonces el descubrimiento del reino de la casa se volverá difícil.

Si pretende utilizar MSFT en línea, Azure AD para la sincronización, se admiten varios dominios y bosques, pero es más complicado. Solo tenga en cuenta que cuando realiza la provisión en una ubicación (EE. UU.), No le permite compartir el mismo espacio de nombres en el Reino Unido. (por ejemplo, [email protected] es específico del país). Esta es una limitación temporal que se corregirá pronto.

¿ADFS vs Ping vs Auth0? Bueno, ¿con quién te estás integrando? ¿Cuáles son tus habilidades internas? ¿Tienen esos proveedores las protecciones PII que necesita?

Sí, AD puede escalar a más de un millón de objetos (el Ejército / Marina de los EE. UU. tiene un bosque de AD masivo). Esta información es de 2007, así que estoy seguro de que es mucho más alto ahora.

Pregunta para usted: ¿para qué tiene recursos: una infraestructura AD perfectamente robusta o dos infraestructuras? (por ejemplo, aislar las interrupciones / carga)

    
respondido por el random65537 19.02.2015 - 01:40
fuente

Lea otras preguntas en las etiquetas