对AWS弹性豆柄的Windows身份验证(AD认证)

Question

我有一个带有现场Active身份验证的ASP.net MVC Web应用程序，我想把它移到AWS PaaS服务上。我的ASP.Net MVC web应用程序的SQL数据库将保留在房内.

我做了一些研究，发现AWS ECS是集装箱化的一个很好的特性。但我并不是在寻找IaaS方法。

我主要是寻找PaaS方法来迁移我的现场应用程序.

1. 的AWS弹性豆茎网站，我没有找到一个选项，以启用现场活动目录认证。有可能吗？

1. 还可以使用身份验证/AD
   1. 从AWSElasticBean秸秆网站连接到现场SQL server。

Answer 1

是。这是可能的。我在用它。这需要大量的研究和尝试与错误。由于我们的AWS云VPC与我们的on域不同，我们的用户也在on域中。

这是我的圈套。

我们已经在AWS域中(即XYZAWS )为我的组织XYZ设置了托管AD，XYZ与我们的one即XYZ域具有单向信任。

现在，当我们将.Net应用程序部署到启用了windows身份验证的EB (弹力豆杆)时，我们的EB服务器运行在AWS域中，即XYZAWS，而该EB服务器默认不是连接域，因此您需要首先域连接您的EB服务器，这个域连接将在AWS管理的AD (即XYZAWS域)上进行。

由于EB是与AWS管理的AD连接的域，因此不会对on用户进行身份验证，因此您需要模拟您的IIS应用程序池中的一个用户(On)。

例如，我正在用用户XYZ\ service - account -user模拟我的IIS标识池，正如我所说的，AWS管理的AD和one之间有单向信任，所以您的应用程序现在应该能够在-prem AD用户be上进行身份验证，因为您的应用程序运行在-prem AD服务帐户上。

您必须在登录到应用程序时包含域名，假设用户John必须登录到app，那么他必须使用用户名"XYZ\john“和密码登录才能让app对他进行身份验证。

我使用.ebextensions配置文件实现了整个设置的自动化。如果我在这上面写博客的话，会在这里更新的。