Аутентификация SAML и Windows - Применение разрешений дважды?

Question

Наша ферма SharePoint состоит из нескольких веб-приложений - мы хотели бы предоставить опыт SSO для наших сотрудников, независимо от того, работают ли они с неуправляемой машины (Ex: Home PC) или управляемой машиной (Ex: Work PC).

Мы достигли бы этого, используя SAML-аутентификацию (через ADFS) для неуправляемых машин и аутентификации Windows для управляемых машин.Если бы мы могли реализовать это, это означает, что мы должны применить разрешения дважды для каждого пользователя.Пример: для сотрудника A для доступа к сайту A, мы должны применить претензию идентификатора (что было бы по электронной почте A Performent A в нашем случае) и Samaccountname для аутентификации Windows в качестве разрешений на сайте A?

Мы будем лучше просто предоставить один путь для аутентификации - Saml Authentication для ненужных и управляемых ПК?Как другие компании имеют дело с этой проблемой?

Спасибо.

Answer 1

The best approach is SAML for all users. With ADFS & IE setup correctly, the managed PC log-in experience can be seamless (Integrated NTLM), which is likely what you are looking for.

Answer 2

You should be understanding the concept of Authentication Providers in Sharepoint which makes use of claims based authentication. For your requirement you need to implement SSO for your application which would be done by STS in Sharepoint 2010.You need to implement and get the SAML2.0 token from Identity provider(that is where your employees login externally) and convert (email/roles other claims) to SAML1.1 token because Sharepoint does not understand SAML 2.0.So you need to write a code for this conversion.Then run the powershell scripts so that your web application can trust the claims. http://technet.microsoft.com/en-us/library/ff607753.aspx

For internal users use the windows authentication(working url) . No need to have 2 permissions.

Refer:Active Directory Federation Services and SharePoint