代码之家  ›  专栏  ›  技术社区  ›  CamW

是否可以基于Active Directory(或其他SSO)身份验证来保护机密?

dpapi google-signin kerberos active-directory encryption
  •  -1
  • CamW  · 技术社区  · 6 年前

    我有一个应用程序,理想情况下,用户将使用AD登录。我还需要为每个用户存储一个加密密钥,该密钥应在存储之前进行加密。

    AD、kerberos或任何社交SSO提供的任何机制是否可以根据我的身份验证/授权为我提供一个秘密,我可以使用它来加密密钥?

    或者,是否有任何类似于DPAPI但可以跨设备可靠工作的API?

    最后,在AD中存储未加密的加密密钥会被视为不好的做法吗?在我看来,bitlocker有效地做到了这一点。

    3 回复  |  直到 6 年前
        1
  •  0
  •   CamW    6 年前

    到目前为止,我能找到的最好方法是使用Hashicorp Vault之类的东西,它允许针对AD用户存储密钥,并最终基于内存驻留密钥进行加密。

        2
  •  0
  •   Michael-O    6 年前

    您正在寻找Kerberos密钥表,是吗?

        3
  •  0
  •   Varad    6 年前

    Hashicorp Vault支持多个身份验证后端。LDAP就是其中之一。 还要看 t-vault . 它构建在Hashicorp Vault之上,它将为您提供一个良好的UI以及一个更高级别的抽象,称为安全。您可以为AD中的每个用户创建保险柜。授予用户或ldap组对保险柜的访问权限。

    您可以查看t-vault的快速演示 here .

    推荐文章
    Xyro  ·  Azure AD本地计算机限制
    1 年前
    rickymartino  ·  PowerShell Active Directory-无法在筛选器中为Get-ADUser使用数组值
    2 年前
    dezox  ·  如何对Active Directory对象创建进行单元测试?
    2 年前
    ynick  ·  C#:在AD中创建计算机对象失败,访问被拒绝
    2 年前
    user217648  ·  在AD中处理帐户的正确方法是为不同的应用程序使用SSO
    6 年前
    J Weezy  ·  Active Directory:调整函数性能以检索组成员
    6 年前
    J Weezy  ·  Active Directory:此处是否存在无效字符转义以及如何处理
    6 年前
    Our Man in Bananas  ·  PowerShell中Active Directory Get-ADComputer的LDAP查询
    6 年前
    Alok Patra  ·  如何将TFS与Active Directory(AD)集成
    6 年前
    user217648  ·  具有除AD以外的其他用户注册表的ADF
    6 年前
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号