Authentification SAML et Windows - Appliquer deux fois les autorisations?
https://sharepoint.stackexchange.com//questions/93895
-
10-12-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
Notre ferme SharePoint est composée de multiples applications Web - nous souhaitons offrir une expérience SSO pour nos employés, qu'ils travaillent à partir d'une machine non gérée (ex: home PC) ou de machine gérée (EX: PC de travail).
Nous allions accomplir cela à l'aide de l'authentification SAML (via des ADFS) pour les machines non gérées et l'authentification Windows pour les machines gérées.Si nous devions mettre en œuvre cela, cela signifie-t-il que nous devrions appliquer deux autorisations deux fois pour chaque utilisateur.Exemple: Pour les employés A pour accéder au site A, devrions-nous appliquer la revendication d'identifiant (qui serait le courrier électronique d'un employé dans notre cas) et le samaccompountName pour l'authentification Windows comme autorisation sur site A?
Nous ferons mieux de fournir un seul chemin d'accès à l'authentification - Authentification SAML pour les PC non gérés et gérés?Comment les autres entreprises traitent-elles de ce défi?
merci.
La solution
The best approach is SAML for all users. With ADFS & IE setup correctly, the managed PC log-in experience can be seamless (Integrated NTLM), which is likely what you are looking for.
Autres conseils
You should be understanding the concept of Authentication Providers in Sharepoint which makes use of claims based authentication. For your requirement you need to implement SSO for your application which would be done by STS in Sharepoint 2010.You need to implement and get the SAML2.0 token from Identity provider(that is where your employees login externally) and convert (email/roles other claims) to SAML1.1 token because Sharepoint does not understand SAML 2.0.So you need to write a code for this conversion.Then run the powershell scripts so that your web application can trust the claims. http://technet.microsoft.com/en-us/library/ff607753.aspx
For internal users use the windows authentication(working url) . No need to have 2 permissions.
