จนถึงปัจจุบัน ฉันเคยใช้ ADFS สำหรับแอปพลิเคชันที่รับรู้การอ้างสิทธิ์เท่านั้น
ตอนนี้ฉันกำลังดูการใช้งานสำหรับแอปพลิเคชันที่ไม่มีการอ้างสิทธิ์
ฉันได้อ่านแล้วว่าเซิร์ฟเวอร์ WAP จะต้องเข้าร่วมโดเมนสำหรับสิ่งนี้ เพื่อให้สามารถดำเนินการมอบสิทธิ์แบบจำกัด Kerberos ได้
ก่อนหน้านี้ฉันได้รับแจ้งว่าเซิร์ฟเวอร์ที่เข้าร่วมโดเมนไม่ควรอยู่ใน DMZ สมมติว่าคำแนะนำยังคงเป็นแนวทางปฏิบัติที่ดีที่สุด วิธีใดที่ปลอดภัยที่สุดในการปรับใช้เซิร์ฟเวอร์ WAP ที่เข้าร่วมโดเมนใน DMZ ..... และมีการกำหนดค่าทางเลือกใดบ้างที่ยังคงอนุญาตการตรวจสอบสิทธิ์สำหรับแอปพลิเคชันที่ไม่รับรู้การอ้างสิทธิ์
ขอบคุณสำหรับความช่วยเหลือของคุณ
วิธีใดที่ปลอดภัยที่สุดในการปรับใช้โดเมนที่เข้าร่วมเซิร์ฟเวอร์ WAP ใน DMZ
หากคุณต้องมีเซิร์ฟเวอร์ที่เข้าร่วมโดเมนใน DMZ อย่างแน่นอน อย่าใส่ตัวควบคุมโดเมนแบบเขียนได้ใน DMZ - ตัวควบคุมโดเมนแบบอ่านอย่างเดียวเท่านั้น โดยทั่วไป เซิร์ฟเวอร์ที่เข้าร่วมโดเมนใน DMZ จะเพิ่มความเสี่ยงด้านความปลอดภัย ดังนั้นในแง่ของความปลอดภัยควรหลีกเลี่ยงหากเป็นไปได้
และมีการกำหนดค่าทางเลือกใดบ้างที่ยังคงอนุญาตการตรวจสอบสิทธิ์สำหรับแอปพลิเคชันที่ไม่รับรู้การอ้างสิทธิ์
พร็อกซีแอปพลิเคชัน Azure AD จะเป็นทางเลือกที่ดี รองรับ SSO ที่หลากหลาย รวมถึง Kerberos และกฎความปลอดภัยขั้นสูง (พร้อม การเข้าถึงแบบมีเงื่อนไขของ Azure AD). นอกจากการควบคุมความปลอดภัยขั้นสูงแล้ว ประโยชน์หลักคือ - คุณไม่ต้องวางเซิร์ฟเวอร์ใดๆ ไว้ใน DMZ หรือเปิดพอร์ตขาเข้าใดๆ บนไฟร์วอลล์ของคุณ มันมีข้อควรพิจารณาและข้อจำกัดในตัวมันเอง ซึ่งอาจมีผลกับกรณีของคุณหรือไม่ก็ได้ ขึ้นอยู่กับตัวแอปพลิเคชัน ภูมิศาสตร์ของผู้ใช้ และปัจจัยอื่นๆ
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
