マルチテナント環境のすべてのユーザー
-
09-12-2019 - |
質問
マルチテナント環境での認証に問題があります。私にはいくつかの個別の顧客がおり、全員がホスト環境内に独自の SharePoint 環境を持っています。AD では、クライアントごとに個別の OU を作成しました。各テナントのサブスクリプションは、それらの OU にマップされるように構成されています。これは期待どおりに機能します。ユーザー選択ツールにはその 1 つの OU のアカウントのみが表示され、他のアカウントは表示されません。
しかし、これは「すべてのユーザー」の主張には当てはまらないことに気づきました。「すべてのユーザー」にサイトへのアクセスを許可すると、クライアント A のアカウントが突然クライアント B のサイトにログインできるようになり、その逆も同様です。ログイン時に、SharePoint はユーザー名とパスワードが正しいかどうかのみをチェックし、ユーザーにクレームを発行すると思います。有効な申し立てを持つユーザーは自動的に「すべてのユーザー」に属するため、サイトへのアクセスが許可されます。ユーザーが実際に正しい AD ユニットに属しているかどうかを確認するチェックはないようです。
今、私はこれがa)予想される動作b)バグc)私たちの側の構成エラーであるかどうか疑問に思っています
良い解決策は、「すべてのユーザー」の代わりにグループを使用することです。ただし、その場合は、管理サイトから作成されるユーザーもそのグループに追加する必要があります。そして、それは私自身はもちろん、管理者を困らせたいことではありません。
解決
私も一緒に行きます a) 期待される動作
認証されたユーザーまたはすべてのユーザーのクレーム
SharePoint Server 2010では、認証されたユーザーなどの概念の実装サポートを可能にする特定の組み込みのクレームプロバイダーがいくつかあります。これは、All Users クレームとも呼ばれます。このシナリオを使用すると、特定の認証プロバイダーからすべてのユーザーに権利を付与できます。
すべてのユーザーの主張は、 NT AUTHORITY\Authenticated Users
したがって、できるすべてのユーザーにアクセスを許可することになります。 認証する ドメインに対して。
NT AUTHORITY\Authenticated Users とは何ですか?
ユーザー「NT Authority Authenticated Users」は、ドメインに正常にログオンできるすべてのドメインユーザーアカウントを表します。
他のヒント
ユーザープロファイルと認証という 2 つの異なるものを混同しています。マルチテナントを使用してセットアップするユーザー プロファイルは、さまざまな OU からインポートされたユーザーを、その OU によって作成されたサブスクリプションに単純に分割します。これにより、人物選択と人物検索がその特定のテナントのユーザーに制限されます。
認証は完全に別個のプロセスであり、IIS または ASP.NET パイプラインを使用して処理されます。ユーザーにサイトへのアクセスが許可されている場合 (この場合はすべてのユーザー)、指定した権限でアクセスできるようになります。