AD Authentisierung

[DannyPhantom 1]

Hi,

 

Ich würde gerne einen AD Login für unsere Webseite implementieren.

Unsere Webseite liegt im moment leider nicht auf den Servern innerhalb des Hauses somit wollte ich erst einmal anfragen, welche Möglichkeiten es generell gibt, dass wir unsere Webseite mit unserer AD verknüpfen.
Ich denke, eine VPN zwischen dem entfernten Server und unserem würde wenig sinn ergeben, bezüglich der Erreichbarkeit unserer Webseite.
 

Eine LDAP Schnittstelle liegt bereits vor.

 

Bei meiner Recherche fand ich Auth0

(https://auth0.com) 
Ob dies jedoch etwas taugt, kann ich leider nicht beurteilen.

Mir ist bewusst, dass AD im eigentlichem Sinne nur für Interne Netze genutzt wird.
Aber vielleicht gibt es dennoch Möglichkeiten, dies zu realisieren,

viele Grüße,

Dan

bearbeitet 19. März 2017 von DannyPhantom

[magheinz 110]

was ist das eigentliche ziel und LDAP sollte gegen das AD funktionieren.

du kannst auch z.b. einen radius dazwischen hängen oder shiboleth aufsetzen. es gibg tausend möglichkeiten.

[DannyPhantom 1]

Das Ziel ist einfach, dass sich unsere Mitarbeiter über Ihre Firmen Anmeldedaten auch auf unserer Seite einloggen können.

Also es wäre schön, wenn man dies ermöglichen könnte.

Solang unsere AD aber nicht öffentlich zugänglich ist, werde ich wohl keine LDAP Einstellungen vornehmen können.

So, dass die Benutzer mit unserer Webseite Synchronisiert werden. Bzw. ein Login ermöglicht wird.

 

[Dukel 451]

Das Konzept würde ich sicherheitstechnisch nochmal überdenken.

Was spricht gegen eigene Accounts für die Mitarbeiter? Benötigen alle Zugriff auf diese Webseite?

[NilsK 2.930]

Moin,

 

was ist das für eine Webseite? Welche Technik steht dahinter?

 

Dem Szenario nach könnte SAML bzw. ADFS passen: Anmelden bei einer externen Webseite mit internen Konten, ohne dass die internen Kontendaten das Netzwerk verlassen. Frag also den Hersteller der Web-Software, ob diese SAML unterstützt.

 

Die Technik ist in der Einarbeitung nicht ganz ohne, aber für sowas gibt es ja Dienstleister. ;) Wenn es einmal eingerichtet ist, besteht i.d.R. kaum noch Pflegebedarf.

 

Gruß, Nils

[DannyPhantom 1]

Das Konzept würde ich sicherheitstechnisch nochmal überdenken.

Was spricht gegen eigene Accounts für die Mitarbeiter? Benötigen alle Zugriff auf diese Webseite?

 

Es wäre einfacher, wenn wir das alles über eine Art Single Sign On handhaben könnten.

Diese müssten ja wiederum separat angelegt werden.

Es geht ja im allgemeinen um Arbeitsminimierung, da wir auch vorhaben mehrere Mitarbeiter zu verwalten. (50 - 150)

 

Für jeden einzelnen alles zu delegieren, wäre Arbeit. 

Zum Thema Sicherheit, aus diesem Grunde frage ich hier an.

Den internen Ablauf kann ich verwalten, aber mit externen Anbindungen habe ich keine Erfahrungen.

 

 

 

 

was ist das für eine Webseite? Welche Technik steht dahinter?

 

Unsere Webseite basiert auf Invisionpower.

Wir setzen auf einige selbst entwickelte Plugins, automatische Buchhaltung, An & Verkauf von Waren und einer automatischen Preiskalkulation die sich dem Markt angliedert.

 

Die Seite selbst liegt auf einem Windows Server bei Strato über iis, falls dies hilfreich sein könnte.

 

Die Technik ist in der Einarbeitung nicht ganz ohne, aber für sowas gibt es ja Dienstleister.  ;) Wenn es einmal eingerichtet ist, besteht i.d.R. kaum noch Pflegebedarf.

 

Dies wäre ja nicht das Problem, danke dir um deine Hilfe.

 

IPB unterstützt halt von Haus aus eine LDAP Anbindung. 

SAML habe ich leider nicht auffinden können. 

bearbeitet 19. März 2017 von DannyPhantom

[NilsK 2.930]

Moin,

 

laut Webseite unterstützen die "signing in via social networks" - dahinter wird sich vermutlich sowas wie SAML verbergen. Eine LDAP-Integration von einer fremdgehosteten Seite an euer internes AD wollt ihr jedenfalls nicht, das wäre sicherheitstechnisches Roulette.

 

Gruß, Nils