Gestion des rôles avec Active Directory ?

Bonjour,

Par habitude je sécurise chacune de mes applis ASP en me basant sur l'authentification windows du domaine.

Pour chacune de mes applis de gestion, j'ai une BDD associée. Dans ces BDD j'ai une table utilisateur, dans laquelle j'associe les informations des utilisateur à leurs login (authentification windows). J'ai ensuite une table Role qui est associé aux utilisateurs.

Quand un user se connecte, je prends son login que je vais rechercher dans la table utilisateur et je trouve ainsi ses droits (roles).

Pour la plupart des applis ça va, j'ai une 15aine de user. Mais pour l'intranet par exemple: plus de 1600 personnes. Dans ce dernier cas, j'ai chargé ma table utilisateur en récupérant les infos de l'active directory.

Au fur et à mesure que les appli métiers s'enchainent, la gestion des droits devient un véritable calvaire... : Droit d'admin sur telles applis, suppression des droit dans l'autre, depart/arrivée des utilisateurs .......

Finalement, je me dis que le plus simple serait peut etre de baser tous les droits de mes applis directement à partir de l'active directory. Par exemple en créant des groupes utilisateur qui correspondent actuellement à mes roles en bases. Quand un utilisateur se connecte, je n'ai alors plus qu'à regarder s'il fait parti du bon groupe dans l'AD (exemple : Groupe: Intranet>Rédacteur....)

Que pensez-vous de cette gestion des droits, vous, comment faites vous pour gérer les droits des utilisateurs, sans avoir à répliquer et doublonner les infos dans tous les sens ?

Merci de votre aide (désolé pour le bavardage :p )

Salut Mandotnet,

Je pense que dans ton cas, La gestion des roles dans AD est la meilleures solution pour plusieurs raison,,,

• Gestion Centralisée par l'AD,
• Pas de redondance
• Flexibilité

Tu reste très flexible si tu as pluieurs appli web. tu va gérer les droits dans un seul endroit et non pour chaque site distinctement...

Merci bossun,

ça me parait en effet une "bonne" solution et pourtant ça ne semble pas courant dans les développements. Je trouve pas mal de documentation sur Authorization Manager (AzMan), mais rien qui traite du sujet récemment.

Il y a aussi le Security Block de l'entreprise library mais je n'ai pas encore trouvé de doc pour ce bloc.

Est-ce que des personnes ici utilisent:

• L'authorization manager
• ou AzMan
• ou security block (entlib) ?
• ou .. ?

Quels avantages pour la sécurité et la gestion des rôles ? Est-ce que cela pose des problèmes ?

Merci par avance pour vos contributions.

Salut Mandotnet,

Nous dans l'entreprise où je travaille on utilise Visual Guard. Au départ là où je travaille ils avaient commencé à développer leur propre solution en interne pour sécuriser l'application développée... mais ça demandait trop de travail, trop de temps, trop d'investissement... nous avons beaucoup d'utilisateurs... et puis un jour le chef du projet a reçu un emailing sur Visual Guard... et on a gardé cette solution qui était prête a être utilisé. Alors bien sûr le logiciel est payant donc à toi de voir si ça correspond à tes besoins...
Ce qui a plu a notre chef de projet c'est qu'on a pu l'integrer à notre application sans aucun développement suplementaire et en plus la gestion des utilisateurs (authentification, rôles, permissions, accès...) est devenu nettement plus simple qu'avant.

De ce que j'ai pu voir, une méthode courante est une base de sécurité séparée des applis, ce qui permet de centraliser ces données là (1 seule base) tout en ce laissant des possibilités d'amélioration (parce qu'on contrôle la base totalement).