我们构建了一个应用程序,该应用程序配置为使用我们的 AD 和 SAML 进行单点登录。我们使用 Duo 进行 2FA。因此,我们域中的所有用户都可以使用他们的常规工作帐户访问该应用程序。
但是,一些外部人员也需要访问该应用程序的请求已经到来。该应用程序的开发人员已声明他们不想通过应用程序本身来维护用户,这就是我们将其联合到我们的 AD 的原因。我们该怎么做呢?
我不想在 AD 中创建新用户并使用我公司的电子邮件地址为他们提供一个帐户,因为这将非常难以管理。
我正在考虑创建广告“联系人”而不是用户。这样我就可以添加“[email protected]”并将该帐户放入任何 OU 中以进行访问等。但是,有人告诉我 AD 联系人没有 SID 安全标识符,因此他们将无法登录任何资源。是否有任何替代解决方案,我不必在我们的 AD 中创建和管理新用户?
谢谢!
你是正确的联系人无法登录但创建联系人实际上并不比创建具有限制性权限的域用户(仅限域用户组)更多的管理开销,我会沿着这条路走下去。希望这可以帮助。
我找到的最佳解决方案是使用“访客帐户”。您从 Azure 门户创建来宾用户,启用条件访问策略以确保对所有来宾帐户实施 2FA。即使不是 Duo,只要客人使用 2FA,我就很高兴。这似乎是最好的解决方案。干杯!