Single Sign On zwischen zwei Webanwendungen?
https://sharepoint.stackexchange.com//questions/67891
-
10-12-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
In meiner SharePoint 2013 Serverfarm habe ich zwei Webanwendungen:
- Einfaches Intranetportal (
http://portal) - Meine Websites (
http://portal:8080)
Das Problem besteht darin, dass Benutzer sich bei jeder Anwendung authentifizieren müssen.Sie erforschen zum Beispiel den 1.Anwendung und wenn sie zu 2 geht.(klickt auf den Namen des anderen Benutzers und wird zu „Meine Websites“ weitergeleitet) Sie müssen sich erneut authentifizieren.
Ich möchte, dass der Anmeldebildschirm einmal aufgerufen wird.Wie kann ich dieses Problem der doppelten Authentifizierung lösen?
Lösung
Wenn Sie nur die Standard-Windows-Authentifizierung verwenden, sollte dies überhaupt kein Problem darstellen – selbst bei anspruchsbasierter Authentifizierung.Stellen Sie sicher, dass sich die SharePoint-URLs in der „Intranetzone“ des Browsers befinden und Ihre Benutzer automatisch angemeldet werden – auch ohne Kerberos.Für dieses grundlegende Szenario benötigen Sie kein ADFS oder einen anderen Identitätsanbieter.
Andere Tipps
ODER ... Sie könnten KEINE PORT-Nummern für Ihre MySite-Webanwendung verwenden und entweder eine eindeutige URL wie erstellen http://mysite oder http://my (oder was auch immer für Ihre Organisation und Kultur funktioniert).Legen Sie dann vertrauenswürdige Sites fest.
ODER: Wenn es sich bei den Benutzern um Nicht-Domänenbenutzer handelt (die neue Domäne löst eine Authentifizierungsaufforderung aus, wenn Sie den Host wechseln), können Sie den MySite-Host unter einem verwalteten Pfad unter dem Host erstellen, den Sie bereits erstellt haben.Erstellen Sie einen verwalteten Pfad wie http://portal/my und richten Sie dann einen Wildcard-verwalteten Pfad für ein http://portal/my/personal für alle persönlichen Websites.
Bei dieser Konfiguration werden Sie nur einmal dazu aufgefordert.
(Ich hasse es, Portnummern in „öffentlichen“ SharePoint-URLs zu sehen …)
Sie müssen ADFS mit SharePoint konfigurieren.Im Wesentlichen handelt es sich um eine Art Anspruchsauthentifizierung mit einer erwähnten konzeptionellen Komplettlösung Hier
Dies ist ein Auszug aus MSDN, der explizit den Fluss eines einzelnen Benutzers von einer Web-App zu einer anderen in SharePoint erwähnt
In diesem Walkthrough besucht John zwei SharePoint-Webanwendungen und besucht die A-Portal SharePoint-Webanwendung und besucht dann die A-Techs SharePoint-Webanwendung.
John besucht die a-Portal SharePoint-Webanwendung.
- John navigiert zur Team-Site in der a-Portal SharePoint-Webanwendung.
– John wurde noch nicht authentifiziert, daher leitet SharePoint seinen Browser an ADFS weiter.
- John gibt seine Adatum-Domain-Anmeldeinformationen ein;
– ADFS validiert die Anmeldeinformationen, stellt ein SAML-Token aus, das seine Ansprüche enthält, und leitet den Browser an den SharePoint STS (den „/_trust/“-Endpunkt in der SharePoint-Webanwendung) weiter.
– ADFS erstellt außerdem ein SSO-Cookie, damit es erkennen kann, ob es John bereits authentifiziert hat.
– Der SharePoint STS validiert das Token von ADFS und gibt ein FedAuth-Cookie für die a-Portal SharePoint-Webanwendung aus, das einen Verweis auf Johns Ansprüche im SharePoint-Token-Cache enthält.
– SharePoint überprüft, ob John Zugriff auf die Team-Websitesammlung hat, und leitet seinen Browser auf die Website um.
John besucht die SharePoint-Webanwendung von a-Techs.
- John navigiert zur Team-Site in der SharePoint-Webanwendung von a-Techs.
– John wurde für diese SharePoint-Webanwendung noch nicht authentifiziert, daher leitet SharePoint seinen Browser an ADFS um.
– ADFS erkennt das SSO-Cookie, das es in Schritt 1-c ausgegeben hat, und leitet den Browser mit einem neuen SAML-Token an den SharePoint STS weiter.
– Der SharePoint STS validiert das Token von ADFS und gibt ein FedAuth-Cookie für die a-Techs SharePoint-Webanwendung aus, das einen Verweis auf Johns Ansprüche im SharePoint-Token-Cache enthält.
– SharePoint überprüft, ob John über ausreichende Berechtigungen für den Zugriff auf die Team-Websitesammlung verfügt, und leitet seinen Browser auf die Website um.
http://msdn.microsoft.com/en-us/library/hh446525.aspx
Dies gibt Ihnen einen ziemlich guten Überblick darüber, was Sie tun müssen.Kurzgesagt:
1) Richten Sie SharePoint für die Anspruchsauthentifizierung ein, wobei sich jede Webanwendung bei Active Directory authentifiziert (oder bei einem benutzerdefinierten Anbieter, wenn Sie möchten).
2) Konfigurieren Sie den Security Token Service so, dass alle auf dem gleichen Stand sind
Nicht einfach, sollte aber machbar sein.Versuchen Sie es bitte zunächst in einer Entwicklungsumgebung, da ein Fehler die Authentifizierung sehr beeinträchtigen kann.
Verwenden Sie die ADFS-Authentifizierung. Dies sollte Ihr Problem lösen.Lassen Sie mich wissen, wenn Sie weitere Informationen benötigen
