我是系统管理员，正在与一个开发团队合作，该开发团队正在扩展一个可公开访问的 .net Web 应用程序，该应用程序当前使用表单身份验证，用户名/密码（散列）存储在 sql 数据库中。开发人员想从水晶报表转移到 SRSS，他们告诉我 AD 身份验证是 SRSS 和 webapp 之间共享凭据的要求。他们的建议是让 webapp 专门为此目的在 AD 域设置中创建/修改 AD 帐户。webapp 和 SRSS 服务器将在同一个域中。用于创建/修改用户的域凭据将存储在 Web 配置中，并且将使用凭据调用 API。

我不喜欢这个想法，但我很难说服他们不要使用这种架构。是否有任何 PCI 控制或类似受尊重的控制框架中禁止此架构的控制？还是我在用蚁丘造山？