为本地授权配置依赖方时的最佳实践
Best practices when configuring relying party for on-premise authorization
我在公司内部创建了一个网站,该网站利用我们的活动目录服务器进行身份验证。我担心使用 "localhost" 域设置依赖方的安全性。
我几乎完全按照 this guide 进行设置。您会注意到页面的一半左右,有一个设置开发环境的步骤,localhost:44336 作为依赖方。
我担心有人可以轻松获取我们的联合元数据文档的位置,然后简单地使用同一端口滚动他们自己的项目并访问我们的活动目录。这是一个有效的担忧,还是我什么都不担心?除了在此配置中必须使用 localhost 之外,还有什么更好的选择?
是的,它很安全。元数据文档仅描述有关端点和活动目录颁发的令牌的信息。它本身并没有任何敏感信息。
实际的身份验证仍将由 AD 处理,除非好奇的用户已经有办法成功地针对您的 AD 进行身份验证,否则他连接到该文档是毫无用处的。
他们可能会创建一个使用您的身份验证协议的应用程序吗?当然可以,但是如果没有人能够真正针对它进行身份验证,那又有什么意义呢。允许这种行为发生是 ADFS 的要点之一。
我在公司内部创建了一个网站,该网站利用我们的活动目录服务器进行身份验证。我担心使用 "localhost" 域设置依赖方的安全性。
我几乎完全按照 this guide 进行设置。您会注意到页面的一半左右,有一个设置开发环境的步骤,localhost:44336 作为依赖方。
我担心有人可以轻松获取我们的联合元数据文档的位置,然后简单地使用同一端口滚动他们自己的项目并访问我们的活动目录。这是一个有效的担忧,还是我什么都不担心?除了在此配置中必须使用 localhost 之外,还有什么更好的选择?
是的,它很安全。元数据文档仅描述有关端点和活动目录颁发的令牌的信息。它本身并没有任何敏感信息。
实际的身份验证仍将由 AD 处理,除非好奇的用户已经有办法成功地针对您的 AD 进行身份验证,否则他连接到该文档是毫无用处的。
他们可能会创建一个使用您的身份验证协议的应用程序吗?当然可以,但是如果没有人能够真正针对它进行身份验证,那又有什么意义呢。允许这种行为发生是 ADFS 的要点之一。