了解租户成员身份

租户成员身份代表身份提供程序生态系统内两种资产类型之间的单向链接:

  1. 来自身份提供程序的资产 - 例如用户帐户、组或资源。

  2. “租户”资产 - 代表包含该资产的更广泛的实体或域。“租户”的性质取决于具体的身份提供程序。

这种租户成员身份有助于识别资产及其租户之间的关系,提供关于资产组织和层次结构的见解。

将资产链接到租户

对于 Active Directory (AD),资产通过标识名 (DN) 链接到其租户(AD 域)。DN 提供有关资产在目录结构中位置的层次信息,可用于确定租户。

识别租户

当资产对应于 AD 对象(例如用户或组)时,其租户的识别方式如下:

  • 提取资产的标识名

  • 根据 DN 中的域组件 (DC) 条目来识别租户。

示例
  • 资产 DN:CN=UserA,CN=Users,DC=tenable,DC=corp

  • 租户:DC=tenable,DC=corp(代表 AD 域)。

特殊情况:了解林根域链接

在某些情况下,Active Directory (AD) 资产与其租户(域)之间的关系可能不会遵循预期的结构,这是由于 AD 处理某些对象的方式所导致的。为清楚起见,此部分内容将更详细地说明这些“特殊情况”。

什么是林根域?

Active Directory 林由一个或多个按层次结构组织的域组成。林根域是此层次结构中最顶层的域,包含林中的所有其他域。AD 中的一些对象在其标识名中引用了林根域,即使它们实际上属于不同的域。此行为会影响识别租户的方式。

特殊情况是如何产生的

从资产的标识名 (DN) 中识别租户时,域组件 (DC=...) 通常指示资产的域。但是,也有例外情况:

  1. 林范围的配置对象

    • 某些 AD 对象与适用于整个林而非特定域的配置或设置相关联。

    • 这些对象的标识名结尾如下:

      • CN=Configuration,DC=...

    • 此类对象链接到林根域,而不是它们的实际域。

示例
  • DN:CN=Configuration,DC=forestRoot,DC=com

  • 租户:林根域 (DC=forestRoot,DC=com)。

  1. 林 DNS 区域

    • 某些对象管理在整个林中共享的 DNS 区域。其标识名的结尾如下:

      • DC=ForestDnsZones,DC=...

    • 此类对象与林根域相关联,而非其特定域。

示例
  • DN:DC=ForestDnsZones,DC=forestRoot,DC=com

  • 租户:林根域 (DC=forestRoot,DC=com)。

重要性

了解这些特殊情况对于准确解读租户成员身份至关重要。主要影响包括:

  1. 租户识别可能与预期不同

    • 看似属于特定域的对象可能实际上链接到了林根域。

    • 由于对象整个林范围内的作用域,“Configuration”或“ForestDnsZones”命名上下文中的对象会链接到林根域

  2. 层次结构和范围说明

    • 与林根域关联的对象通常具有更广泛的应用性,因为它们管理和代表林级别的设置。

  3. 在故障排除和审计中使用

    • 在审计域结构或对身份相关问题进行故障排除时,对这些情况的错误解读可导致错误。

通过了解这些细微差别,您可以自信地解读发现结果,并保持审核和故障排除任务的准确性。

为何 Tenable 身份资源管理器选择“租户”作为根容器名称

这是为每个身份提供程序 (IdP) 的根容器选择的一个通用而非特定于 IdP 的名称,以确保它能在不同的系统中通用,例如“Entra 租户”和“AD 域”。

之所以选择术语“租户”,是因为它在身份管理领域广为人知、跨平台中立,并且已经与 Microsoft Entra 等现有标准保持一致。这可确保管理多种 IdP 实现时的清晰性、一致性和灵活性。