Autenticação Saml e Windows - aplicando permissões duas vezes?
-
10-12-2019 - |
Pergunta
Nosso farm do SharePoint consiste em vários aplicativos da Web - gostaríamos de fornecer uma experiência de SSO para nossos funcionários se eles estão trabalhando em uma máquina não gerenciada (ex: home pc) ou máquina gerenciada (ex: PC de trabalho).
Vamos realizar isso usando a autenticação SAML (via ADFS) para máquinas não gerenciadas e autenticação do Windows para máquinas gerenciadas.Se fôssemos implementar isso, isso significa que teríamos que aplicar as permissões duas vezes para cada usuário.Exemplo: Para o funcionário A para acessar o site A, teríamos que aplicar a reivindicação do identificador (que seria o email do funcionário do nosso caso) e o SamaccountName para a autenticação do Windows como permissões no site A?
Somos melhor apenas para fornecer um único caminho para autenticação - Autenticação SAML para PCs não manganejados e gerenciados?Como outras empresas lidam com esse desafio?
Obrigado.
Solução
The best approach is SAML for all users. With ADFS & IE setup correctly, the managed PC log-in experience can be seamless (Integrated NTLM), which is likely what you are looking for.
Outras dicas
You should be understanding the concept of Authentication Providers in Sharepoint which makes use of claims based authentication. For your requirement you need to implement SSO for your application which would be done by STS in Sharepoint 2010.You need to implement and get the SAML2.0 token from Identity provider(that is where your employees login externally) and convert (email/roles other claims) to SAML1.1 token because Sharepoint does not understand SAML 2.0.So you need to write a code for this conversion.Then run the powershell scripts so that your web application can trust the claims. http://technet.microsoft.com/en-us/library/ff607753.aspx
For internal users use the windows authentication(working url) . No need to have 2 permissions.