Autenticazione SAML e Windows - Applicazione delle autorizzazioni due volte?

Question

La nostra azienda agricola SharePoint è composta da più applicazioni Web - Vorremmo fornire un'esperienza SSO per i nostri dipendenti se lavorano da una macchina non gestita (ex: home PC) o macchina gestita (EX: Work PC).

Comprenderemmo questo utilizzando l'autenticazione SAML (tramite ADFS) per le macchine non gestite e l'autenticazione di Windows per le macchine gestite.Se dovessimo implementarci, significa che dovremmo applicare le autorizzazioni due volte per ogni utente.Esempio: per il dipendente A per accedere al sito A, dovremmo applicare l'affermazione dell'identificatore (che sarebbe l'e-mail del dipendente A e-mail nel nostro caso) e il SamAccountName per l'autenticazione di Windows come autorizzazioni sul sito A?

Stiamo meglio per fornire un singolo percorso per l'autenticazione - Autenticazione SAML per PC non gestito e gestito?Come fanno le altre aziende con questa sfida?

Grazie.

Answer 1

The best approach is SAML for all users. With ADFS & IE setup correctly, the managed PC log-in experience can be seamless (Integrated NTLM), which is likely what you are looking for.

Answer 2

You should be understanding the concept of Authentication Providers in Sharepoint which makes use of claims based authentication. For your requirement you need to implement SSO for your application which would be done by STS in Sharepoint 2010.You need to implement and get the SAML2.0 token from Identity provider(that is where your employees login externally) and convert (email/roles other claims) to SAML1.1 token because Sharepoint does not understand SAML 2.0.So you need to write a code for this conversion.Then run the powershell scripts so that your web application can trust the claims. http://technet.microsoft.com/en-us/library/ff607753.aspx

For internal users use the windows authentication(working url) . No need to have 2 permissions.

Refer:Active Directory Federation Services and SharePoint