Single Sign On entre deux applications web ?
https://sharepoint.stackexchange.com//questions/67891
-
10-12-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
Dans ma batterie de serveurs SharePoint 2013, j'ai deux applications Web :
- Portail intranet simple (
http://portal) - Mes sites (
http://portal:8080)
Le problème est que les utilisateurs doivent s'authentifier auprès de chaque application.Par exemple, ils explorent le 1.application et quand ils passent à 2.(clique sur le nom des autres utilisateurs et est redirigé vers Mes sites), ils doivent s'authentifier à nouveau.
Je veux que l'écran de connexion soit invité une fois.Comment puis-je résoudre ce problème de double authentification ?
La solution
Si vous utilisez simplement l'authentification Windows par défaut, cela ne devrait pas poser de problème du tout, même avec une authentification basée sur les revendications.Assurez-vous que les URL SharePoint se trouvent dans la « zone intranet » du navigateur et que vos utilisateurs doivent être connectés automatiquement, même sans Kerberos.Pour ce scénario de base, vous n’avez pas besoin d’ADFS ou de tout autre fournisseur d’identité.
Autres conseils
OU... vous ne pouvez PAS utiliser de numéros de PORT pour votre application Web MySite et soit créer une URL unique comme http://mysite ou http://my (ou tout ce qui fonctionne pour votre organisation et votre culture).Définissez ensuite les sites de confiance.
OU, si les utilisateurs ne sont pas des utilisateurs de domaine (le nouveau domaine déclenchera une invite d'authentification lorsque vous changerez d'hôte), vous pouvez créer l'hôte MySite sous un chemin géré sous l'hôte que vous avez déjà créé.Créez un chemin géré comme http://portal/my puis configurez un chemin géré générique pour http://portal/my/personal pour tous les sites personnels.
Avec cette configuration, vous ne serez invité qu'une seule fois.
(Je déteste voir les numéros de port dans les URL SharePoint « publiques »...)
Vous devez configurer ADFS avec SharePoint.Il s'agit essentiellement d'un type d'authentification des revendications avec une procédure conceptuelle pas à pas mentionnée ici
Il s'agit d'un extrait de MSDN qui mentionne explicitement le flux d'un seul utilisateur d'une application Web à une autre dans SharePoint.
Visite de deux applications Web SharePoint dans cette procédure pas à pas, John visite l'application Web de SharePoint A-Portal, puis visite l'application Web A-Techs SharePoint.
John visite l'application Web a-Portal SharePoint.
- John accède au site de l'équipe dans l'application Web a-Portal SharePoint.
- John n'a pas encore été authentifié, SharePoint redirige donc son navigateur vers ADFS.
- John saisit ses identifiants de domaine Adatum ;
- ADFS valide les informations d'identification, émet un jeton SAML qui contient ses revendications et redirige le navigateur vers SharePoint STS (le point de terminaison "/_trust/" dans l'application Web SharePoint).
- ADFS crée également un cookie SSO afin de pouvoir reconnaître s'il a déjà authentifié John.
- Le SharePoint STS valide le jeton d'ADFS et émet un cookie FedAuth pour l'application Web SharePoint a-Portal qui contient une référence aux revendications de John dans le cache de jetons SharePoint.
- SharePoint vérifie que John a accès à la collection de sites Team et redirige son navigateur vers le site.
John visite l'application Web SharePoint d'a-Techs.
- John accède au site de l'équipe dans l'application Web SharePoint a-Techs.
- John n'a pas encore été authentifié pour cette application web SharePoint, SharePoint redirige donc son navigateur vers ADFS.
- ADFS détecte le cookie SSO qu'il a émis à l'étape 1-c et redirige le navigateur avec un nouveau jeton SAML vers SharePoint STS.
- Le SharePoint STS valide le jeton d'ADFS et émet un cookie FedAuth pour l'application Web SharePoint a-Techs qui contient une référence aux revendications de John dans le cache de jetons SharePoint.
- SharePoint vérifie que John dispose des autorisations suffisantes pour accéder à la collection de sites Team et redirige son navigateur vers le site.
http://msdn.microsoft.com/en-us/library/hh446525.aspx
Cela vous donne un assez bon aperçu de ce que vous devez faire.En un mot:
1) Configurez SharePoint sur l'authentification des revendications, chaque application Web s'authentifiant auprès d'Active Directory (ou d'un fournisseur personnalisé si vous préférez)
2) Configurez le service de jeton de sécurité pour que tout le monde soit sur la même longueur d'onde
Pas facile à faire, mais cela devrait être réalisable.Essayez d'abord dans un environnement de développement, car un échec peut être assez fragile pour l'authentification.
Utilisez l'authentification ADFS, cela devrait résoudre votre problème.Faites-moi savoir si vous avez besoin d'informations supplémentaires
