從Web應用程序訪問Active Directory

Question

我真的被這個問題困住了。基本上，我有一個運行Active Directory的Windows 2008r2服務器。在另一臺服務器上（不在同一個域中）運行一個MVC3 Web應用程序。我想要做的是使用活動目錄對用戶進行身份驗證，並獲得一些基本信息，即employeeId。我也希望用戶能夠通過這個網絡應用程序更改他們的密碼。

這是一個自定義的Web應用程序，我不想使用交換等東西。

我通過在web.config中使用廣告連接字符串或在我的代碼中指定了管理員用戶名和密碼，在某種程度上實現了這一目標。但是，考慮到安全性，管理員帳戶可能會在某些時候更改密碼，這並不直觀。

我可能是錯的，但我想我想做的是有點向管理員角色的AD請求。

有什麼辦法可以做到這一點？

在此先感謝！ 乾杯

Answer 1

我會回答我自己的問題。

解決此問題的最佳方法是將ADFS 2.0與基於聲明的身份驗證一起使用。當用戶需要訪問時，他/她被重定向到ADFS 2.0的登錄頁面，並且只要用戶通過身份驗證，ADFS 2.0就會向用戶發送適當的聲明（加密）。這些聲明可以在使用WIF框架的MVC 3應用程序中使用，並且可以包含像employeeId，FirstName，LastName，Email，DN等的值......取決於如何爲特定應用程序設置ADFS 2.0。

希望這可以幫助別人。