مصادقة SAML و Windows - تطبيق الأذونات مرتين؟
https://sharepoint.stackexchange.com//questions/93895
-
10-12-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
تتكون مزرعة SharePoint الخاصة بنا من تطبيقات ويب متعددة - نود أن نقدم تجربة SSO لموظفينا سواء كانوا يعملون من جهاز غير مدار (EX: Home PC) أو الجهاز المدار (EX: PC Work PC).
سنقوم بإنجاز هذا باستخدام مصادقة SAML (عبر ADFS) للآلات غير المدارة ومصادقة Windows للأجهزة المدارة.إذا كنا ندير هذا، فهل هذا يعني أننا سيتعين علينا تطبيق الأذونات مرتين لكل مستخدم.مثال: بالنسبة للموظف A للوصول إلى موقع A، هل يتعين علينا تطبيق مطالبة المعرف (التي ستكون البريد الإلكتروني للموظف A في علمنا) ومصادقة SamAccountName ل Windows كأذول في الموقع A
نحن نكون أفضل حالا لتوفير مسار واحد للمصادقة - مصادقة SAML لجهاز الكمبيوتر غير الملتزمين والمدير؟كيف تتعامل الشركات الأخرى مع هذا التحدي؟
شكرا لك.
المحلول
The best approach is SAML for all users. With ADFS & IE setup correctly, the managed PC log-in experience can be seamless (Integrated NTLM), which is likely what you are looking for.
نصائح أخرى
You should be understanding the concept of Authentication Providers in Sharepoint which makes use of claims based authentication. For your requirement you need to implement SSO for your application which would be done by STS in Sharepoint 2010.You need to implement and get the SAML2.0 token from Identity provider(that is where your employees login externally) and convert (email/roles other claims) to SAML1.1 token because Sharepoint does not understand SAML 2.0.So you need to write a code for this conversion.Then run the powershell scripts so that your web application can trust the claims. http://technet.microsoft.com/en-us/library/ff607753.aspx
For internal users use the windows authentication(working url) . No need to have 2 permissions.
