将外部用户放在Active Directory中是不好的做法？

我们有一个现有的Web应用程序,我们希望从自定义身份验证解决方案迁移到Active Directory联合身份验证服务,以便我们的合作伙伴组织可以管理其用户的授权.

现在,该站点使用自定义数据库表来管理用户和自定义逻辑来管理身份验证和授权.

除了将通过ADFS对其用户进行身份验证并获得访问权限的合作伙伴组织之外,我们还有位于Active Directory域中的内部用户.这些用户也可以通过ADFS进行身份验证.

我们的问题围绕着我们的外部用户.该网站还允许个人注册.这些人没有任何他们工作的组织,因此我们不能使用ADFS来处理他们的身份验证.

由于我们需要支持这些人,因此我们需要管理他们的用户帐户.

ADFS只能连接到Active Directory或Active Directory应用程序模式帐户存储.

由于ADFS仅支持这些帐户存储,因此逻辑解决方案似乎是在Active Directory域中为外部用户创建帐户.

这意味着我们将更新我们的注册页面以在活动Active Directory中创建新用户帐户,而不是在我们的自定义数据库中创建新记录.

那么,这是一种不好的做法吗？AD应该用于组织外部的用户吗？在使用ADFS时,其他人如何处理这种情况？

为外部用户创建新的AD林,您可能需要设置一些更好的安全性,但这两者可以进行无缝身份验证.

登录时你需要告诉他们使用不同的域名(例如你的普通用户使用'mycorp',外部使用'externalcorp'),否则它是完全透明的.