IIS +集成Windows授权: Authenticated_Users的读取/执行权限安全吗？

Question

我有一个企业web应用程序，它将通过集成Windows认证 (IWA)与单点登录(SSO)服务集成。SSO服务仅提供身份验证(而不是授权)。此web应用程序将通过自定义授权模块处理授权。我们正在Windows 2003上运行IIS 6。

一旦用户通过IWA进行身份验证，IIS默认将在登录用户的上下文下执行网页。因此，通常我们有一个Active安全组对象，我们在网站目录上分配读取/执行权限--该指定安全组成员的任何用户对象都可以查看/执行该网页。任何成功地针对AD进行身份验证但不属于此安全组的AD用户都会获得HTTP 401 (访问被拒绝)。

但是，对于这个项目，我们不希望维护为指定的安全组添加/删除AD用户对象。我们的想法是为网站目录文件分配Authenticated_Users组读取/执行权限。这样，如果您可以进行身份验证，默认情况下您将能够看到/执行页面请求。

这安全吗？从我的团队的角度来看，只要这个web应用程序中的授权模块完成它的工作，它就是安全的。

是否还有其他人在使用IIS上的集成Windows身份验证时使用其他方法来管理授权？

Answer 1

只要您的授权模块如广告所示工作，您就不会有任何问题。这是一个经常被忽略的分离(身份验证和授权)。你只需在自己身上承担授权的责任(在应用程序中)，但这显然是你想要的！就像您说的，Windows安全组所做的就是提供一种与应用程序中的实际权限无关的身份验证机制。