Во-первых, я новичок в AD; Я знаю, как настроить базовый домен, но это все.
Я запускаю службу хостинга для некоторых приложений Windows. Разрешения пользователей основаны на группах безопасности Active Directory.
Допустим, у меня есть Contoso.local в качестве леса — имя NetBIOS CONTOSO. Я хочу предоставить SaaS, в котором клиенты могут синхронизировать своих пользователей и/или группы Active Directory с моим AD, сохраняя при этом свое собственное имя NetBIOS. Например, если бы у меня был клиент, которого где-то в земном шаре звали Acme, домен его леса был Acme.local, а имя NetBIOS было ACME, то я бы хотел, чтобы у Джона Доу была возможность войти в мою SaaS как ACME\John.Doe вместо меня для управления всеми пользователями моих клиентов и требует от Джона входа в систему как CONTOSO\John.Doe. Идея здесь — белая маркировка.
Сразу же вы, вероятно, подумаете AD FS, но моя SaaS не поддерживает Federated Services.
Я мог бы настроить другой контроллер домена в своей сети для репликации против моего клиента, но это кажется излишним. И я не знаю, как этого добиться.
Нет ли возможности для моей AD просто синхронизировать и/или аутентифицировать пользователей и группы другого домена? (Мне также нужны группы, потому что в зависимости от роли безопасности пользователь имеет доступ к определенной информации.) Могу ли я настроить Trust или LDS для выполнения этой задачи?
Если да, а если нет, пожалуйста, дайте предложения. Некоторые практические советы также будут высоко оценены!
Спасибо, Джошуа
