瞭解租用戶成員資格
租用戶成員資格代表身分識別提供者生態體系內兩種資產之間的單向連結:
-
身分識別提供者的資產 - 例如使用者帳戶、群組或資源。
-
「租用戶」資產 - 代表包含此資產的更廣泛實體或網域。「租用戶」的本質取決於特定的身分識別提供者。
此租用戶成員資格有助於您識別資產及其租用戶之間的關係,進而深入瞭解資產組織和階層。
將資產連結至租用戶
對於 Active Directory (AD),資產是使用資產的可辨別名稱 (DN) 連結至其租用戶 (AD 網域)。DN 提供目錄結構中資產位置的相關階層資訊,可用於判斷租用戶。
識別租用戶
當資產符合 AD 物件 (例如,使用者或群組) 時,其租用戶識別如下:
-
擷取資產的可辨別名稱。
-
從 DN 中的網域元件 (DC) 項目識別租用戶。
範例
-
資產 DN:CN=UserA,CN=Users,DC=tenable,DC=corp
-
租用戶:DC=tenable,DC=corp (代表 AD 網域)。
特殊案例:瞭解樹系根網域連結
在某些情況下,Active Directory (AD) 資產及其租用戶 (網域) 之間的關係可能因 AD 處理特定物件的方式而未能遵循預期的結構。為了清楚起見,本節將更詳細地說明這些「特殊情況」。
什麼是樹系根網域?
Active Directory 樹系是由一或多個依階層組織的網域所組成。樹系根網域是此階層中最頂層的網域,包含樹系中的所有其他網域。AD 中的某些物件會在其可辨別名稱中參照樹系根網域,即使這些物件屬於不同網域。此行為會影響識別租用戶的方式。
特殊情況產生的方式
從資產的可辨別名稱 (DN) 識別租用戶時,網域元件 (DC=...) 通常會指出資產的網域。然而也有例外狀況:
-
全樹系設定物件
-
某些 AD 物件與適用於整個樹系而非特定網域的組態或設定相關聯。
-
這些物件的可辨別名稱結尾為:
-
CN=Configuration,DC=...
-
-
此類物件會連結至樹系根網域,而非其「真正的」網域。
-
範例
DN:CN=Configuration,DC=forestRoot,DC=com
租用戶:樹系根網域 (DC=forestRoot,DC=com)。
-
樹系 DNS 區域
-
某些物件會管理在整個樹系中共用的 DNS 區域。其可辨別名稱結尾為:
-
DC=ForestDnsZones,DC=...
-
-
這些物件與樹系根網域 (而非其特定網域) 相關聯。
-
範例
DN:DC=ForestDnsZones,DC=forestRoot,DC=com
租用戶:樹系根網域 (DC=forestRoot,DC=com)。
為什麼這很重要
瞭解這些特殊情況對於準確解譯租用戶成員資格至關重要。主要影響包括:
-
租用戶識別可能與預期不同
-
看似屬於特定網域的物件可能反而會連結至樹系根網域。
-
「Configuration」或「ForestDnsZones」命名內容中的物件連結至樹系根網域,這是因為其作用範圍為全樹系。
-
-
階層和範圍說明
-
與樹系根網域相關的物件通常具有更廣泛的適用性,因為它們管理或代表樹系層級的設定。
-
-
用於疑難排解和稽核
-
對這些案例的錯誤解譯可能導致在稽核網域結構或解決身分相關問題時發生錯誤。
-
瞭解這些細微差別後,您就可以放心地解譯研究發現,並在稽核和疑難排解工作中保持準確性。
Tenable 身分識別總管選擇「租用戶」作為根容器名稱的原因
這是每個身分識別提供者 (IdP) 的根容器的通用、非 IdP 專屬名稱,可確保其能夠跨不同系統 (例如「Entra 租用戶」和「AD 網域」) 運作。
之所以選擇「租用戶」這個術語,是因為它在身分管理中廣為人知、跨平台中立,且與 Microsoft Entra 等現有標准保持一致。如此可確保管理不同 IdP 實作的清晰度、一致性和彈性。