Nutzung von Windows-Benutzerkonten und Active Directory-Integration
Sie benötigen Authentifizierungs- und Berechtigungsmerkmale in .NET-Anwendungen. Ihre Organisation verwaltet bereits Benutzerkonten über ein Active Directory.
Nutzen Sie die vorhandenen Windows-Benutzerkonten!
Dieses erspart Ihnen den Aufwand für die Erstellung und Pflege einer völlig neuen Benutzerliste. Sie brauchen nur ein einziges Benutzerverzeichnis mittels Active Directory zu verwalten, und Sie implementieren auf diese Weise Einmalanmeldungen (Single Sign-On) für ihre .Net-Anwendungen. .
SSO & AD (Single Sign-On & Active Directory) können unter folgenden Bedingungen eine leistungsstarke Kombination bilden:
- Alle Benutzer besitzen ein Windows-Benutzerkonto
- Alle Windows-Benutzerkonten sind im selben Verzeichnis oder in derselben Gruppe von Verzeichnissen definiert (innerhalb einer „Forest“-Gesamtstruktur).
- Die von der Windows-Authentifizierung bereitgestellte Sicherheitsstufe entspricht den Sicherheitsanforderungen. Für streng vertrauliche Anwendungen kann es erforderlich sein, die Windows-Authentifizierung durch einen zweite Authentifizierungstyp zu ergänzen, beispielsweise mittels Smartcard oder Biometrie.
Visual Guard .Net bietet zudem eine einsatzbereite Lösung für Einmalanmeldungen (Single Sign-On, SSO). Weitere Informationen zu den Vorteilen von SSO finden Sie im Whitepaper
Wie arbeitet Visual Guard bei Einmalanmeldungen (Single Sign-On)?
Verwendung von Windows-Benutzerkonten:
- Ein Windows-Administrator legt für jeden Benutzer ein Windows-Benutzerkonto innerhalb des Active Directory an.
- Diese Benutzerkonten werden dann in Visual Guard importiert.
- Rollen werden in Visual Guard mit Berechtigungen erstellt, die den erforderlichen Zugriffsrechten entsprechen.
- Jedem Konto werden der Autorisierung entsprechende Rollen zugewiesenen.
- Benutzer starten Windows-Sitzungen wie gewohnt über ihre Windows-Benutzerkennung und ihr Kennwort.
- Startet ein Benutzer eine Anwendung, ermittelt Visual Guard die ID des Windows-Benutzerkontos und überprüft, ob dieses auf die Anwendung zugreifen darf.
- Ist dies der Fall, lädt Visual Guard die dem Benutzerkonto erteilten Benutzerberechtigungen und passt die Anwendung entsprechend an.
- Im Ergebnis brauchen die Benutzer sich nur beim Start einer Windows-Sitzung anzumelden und können auf diese Weise nahtlos mit allen autorisierten Anwendungen arbeiten, die sie ohne wiederholte Angabe von Anmeldeinformationen öffnen können.
Verwendung von Windows-Benutzergruppen:
- Ein Windows-Administrator legt für jeden Benutzer ein Windows-Benutzerkonto innerhalb des Active Directory an.
- Diese Benutzerkonten werden durch den Windows-Administrator dann Windows-Benutzergruppen zugewiesen.
- Diese Windows-Benutzergruppen werden in Visual Guard importiert.
- Jeder Windows-Benutzergruppe werden der Autorisierung entsprechende Rollen zugewiesenen.
- Benutzer starten Windows-Sitzungen wie gewohnt über ihre Windows-Benutzerkennung und ihr Kennwort.
- Startet ein Benutzer eine Anwendung, ermittelt Visual Guard die ID des Windows-Benutzerkontos und ruft über das Active Directory die dem Benutzerkonto zugewiesenen Benutzergruppen ab.
- Visual Guard verifiziert dann, ob eine dieser Gruppen auf die Anwendung zugreifen darf.
- Ist dies der Fall, lädt Visual Guard die der Benutzergruppe erteilten Berechtigungen und passt die Anwendung entsprechend an.
- Im Ergebnis können die Benutzer nahtlos arbeiten und die Entwickler brauchen nicht länger einzelne Benutzerkonten zu verwalten, sondern nur Gruppen, was den Pflegeaufwand reduziert. Mit anderen Worten: Die Erstellung und tägliche Pflege von Benutzerkonten kann ausschließlich im Active Directory erfolgen.
Hinweise
- Visual Guard erlaubt auch die Verwendung einer Kombination aus Windows-Benutzerkonten und Windows-Benutzergruppen, falls Ihnen dieses die Umsetzung Ihrer Zugriffsrichtlinien erleichtert.
- Die Active Directory-Integration und SSO-Implementierung stellt ein extrem leichtes Verfahren dar.