我们正在开发一个内部应用程序,但必须可以从Internet访问 . 我们使用OpenID Connect对用户进行身份验证 . 用户必须在我们的IAM平台(ISAM IBM Security Access Management)中拥有有效帐户才能登录该应用程序 . 当用户浏览到该应用程序时,他们将被重定向到我们的IAM平台登录页面 . 一旦他们输入凭证,他们就可以进入申请 .
现在我们希望根据AD组用户所属的某种授权 . 我们怎样才能实现它?用户通过身份验证并重定向到应用程序后,应用程序是否需要从AD获取信息?怎么样?
1 回答
有两种选择 .
1)只允许相应AD组中的登录人员,在这种情况下,您的OpenID Connect必须能够从IAM请求组信息,或者IAM设置为仅允许登录相应的AD组;
2)或在进入申请时检查AD组 .
这通常在应用程序端完成,特定编程依赖于应用程序,但通常应用程序需要向AD发出LDAP请求以检查用户是否是特定组的成员,例如:
How to write LDAP query to test if user is member of a group?