Exponer una list de usuarios en Active Directory de forma segura

Así que tengo un entorno de Active Directory configurado, y está usando ADFS para permitir que las aplicaciones fuera de mi entorno utilicen cnetworkingenciales de mi AD.

Todo esto está bien y bien, pero lo que necesito es una forma de permitir que estas aplicaciones externas listen usuarios dentro de mi AD (cualquiera, o sólo en subsets específicos).

Mis limitaciones son que necesito limitar quién puede ver estas lists de usuarios (es decir, necesita ser seguro: necesito include en una list blanca las aplicaciones que tienen el permiso para hacerlo) y las aplicaciones externas están alojadas completamente separadas de mi AD entorno (diferentes serveres, dominios, networkinges, etc.). Puedo configurar AD tanto como me gusta, y tengo control total sobre las aplicaciones externas, pero no puedo cambiar la conectividad entre los dos (no puedo configurar VPN, etc.).

He jugado con la idea de LDAP, pero parece que no se recomienda exponer LDAP públicamente. Estoy considerando LDAPS, pero no estoy seguro de lo recomendado que es tampoco.

¿Alguien sabe si hay una manera estándar de hacer esto, o tiene alguna recomendación?

Un enfoque podría ser configurar un RODC en su propio perímetro (si no lo tiene ya), entonces permitir consultas LDAP allí sobre LDAPS (636 / tcp) de networkinges externas usando una count de usuario dedicada acceso) para las consultas. Por supuesto, estaría exponiendo una gran cantidad de su infraestructura de AD sólo para una aplicación para comprobar algo.

O usted podría progtwigr un informe generado automáticamente de las counts de usuario específicas junto con sus attributes requeridos y SFTP que dondequiera que la información es requerida y exponer cerca de nada de algo que no es absolutamente requerido.

No hay respuesta simple para un escenario como este, es necesario equilibrar la usabilidad vs security cuidadosamente.