Единый вход между двумя веб-приложениями?
https://sharepoint.stackexchange.com//questions/67891
-
10-12-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianВопрос
В моей ферме серверов SharePoint 2013 есть два веб-приложения:
- Простой интранет-портал (
http://portal) - Мои сайты (
http://portal:8080)
Проблема в том, что пользователи должны проходить аутентификацию в каждом приложении.Например, они исследуют 1.приложение и когда они перейдут на 2.(нажимает на имя другого пользователя и перенаправляется на личные сайты) им необходимо снова пройти аутентификацию.
Я хочу, чтобы экран входа в систему появлялся один раз.Как я могу решить эту проблему двойной аутентификации?
Решение
Если вы просто используете аутентификацию Windows по умолчанию, это вообще не должно быть проблемой - даже при аутентификации на основе утверждений.Убедитесь, что URL-адреса SharePoint находятся в «зоне интрасети» браузера, и ваши пользователи должны входить в систему автоматически — даже без Kerberos.Для этого базового сценария вам не понадобится ADFS или какой-либо другой поставщик удостоверений.
Другие советы
ИЛИ... вы НЕ МОЖЕТЕ использовать номера ПОРТА для своего веб-приложения MySite и либо создать уникальный URL-адрес, например http://mysite или http://my (или что-то еще, что подходит вашей организации и культуре).Затем установите доверенные сайты.
ИЛИ, если пользователи не являются пользователями домена (в новом домене будет выдаваться запрос на аутентификацию при переключении хостов), вы можете создать хост MySite по управляемому пути под уже созданным вами хостом.Создайте управляемый путь, например http://portal/my а затем настройте управляемый путь с подстановочными знаками для http://portal/my/personal для всех личных сайтов.
При такой конфигурации запрос будет предложен только один раз.
(Ненавижу видеть номера портов в «общедоступных» URL-адресах SharePoint...)
Вам необходимо настроить ADFS с SharePoint.По сути, это тип проверки подлинности утверждений с упомянутым концептуальным пошаговым руководством. здесь
Это отрывок из MSDN, в котором явно упоминается переход одного пользователя из одного веб-приложения в другое в SharePoint.
Посещая два веб-приложения SharePoint в этом прохождении, Джон посещает веб-приложение A-Portal SharePoint, а затем посещает веб-приложение A-Techs SharePoint.
Джон посещает веб-приложение SharePoint a-Portal.
— Джон просматривает сайт группы в веб-приложении a-Portal SharePoint.
— Джон еще не прошел проверку подлинности, поэтому SharePoint перенаправляет его браузер в ADFS.
- Джон вводит свои учетные данные домена Adatum;
— ADFS проверяет учетные данные, выдает токен SAML, содержащий его утверждения, и перенаправляет браузер на STS SharePoint (конечная точка «/_trust/» в веб-приложении SharePoint).
— ADFS также создает файл cookie единого входа, чтобы определить, прошел ли он уже аутентификацию Джона.
— SharePoint STS проверяет токен из ADFS и выдает файл cookie FedAuth для веб-приложения SharePoint a-Portal, который содержит ссылку на утверждения Джона в кэше токенов SharePoint.
— SharePoint проверяет, имеет ли Джон доступ к семейству веб-сайтов группы, и перенаправляет его браузер на этот сайт.
Джон посещает веб-приложение a-Techs SharePoint.
— Джон просматривает сайт группы в веб-приложении a-Techs SharePoint.
— Джон еще не прошел проверку подлинности для этого веб-приложения SharePoint, поэтому SharePoint перенаправляет его браузер в ADFS.
— ADFS обнаруживает файл cookie единого входа, созданный на шаге 1-c, и перенаправляет браузер с новым токеном SAML на STS SharePoint.
— SharePoint STS проверяет токен из ADFS и выдает файл cookie FedAuth для веб-приложения SharePoint a-Techs, который содержит ссылку на утверждения Джона в кэше токенов SharePoint.
— SharePoint проверяет, имеет ли Джон достаточные разрешения для доступа к семейству веб-сайтов группы, и перенаправляет его браузер на этот сайт.
http://msdn.microsoft.com/en-us/library/hh446525.aspx
Это дает вам довольно хорошее представление о том, что вам нужно сделать.В двух словах:
1) Настройте проверку подлинности SharePoint on Claims, чтобы каждое веб-приложение проходило проверку подлинности в Active Directory (или, если хотите, у пользовательского поставщика).
2) Настройте службу токенов безопасности, чтобы все были на одной странице.
Сделать это непросто, но должно быть осуществимо.Попробуйте сначала в среде разработки, так как сбой может быть довольно хрупким для аутентификации.
Используйте аутентификацию ADFS, это должно решить вашу проблему.Дайте мне знать, если вам нужна дополнительная информация
