използвайки както основно, така и интегрирано удостоверяване

Бихме искали да използваме интегрирано Windows удостоверяване, ако потребител има достъп до нашия сайт на SharePoint от нашата организация, и основно удостоверяване (чрез SSL), когато някой се опита да удостовери извън нашата организация. Четейки, изглежда, че IE ще опита Windows Auth независимо от всичко и ще игнорира Basic Auth извън нашата организация. Това е нежелателно, защото от потребителя се изисква да въведе ДОМЕЙНА в полето за вход (потребителите са известни с това, че се обаждат на нашето бюро за помощ за това). Основното удостоверяване ни позволява да посочим домейн по подразбиране. Удостоверяването на Windows не прави това. Оттук и желанието да се използва Basic Auth за вън, Windows Auth за вътре.

Какво е решението за активиране на Windows Auth в мрежата и Basic Auth извън нашата мрежа? Трябва ли да настроя два отделни сайта в IIS (един за удостоверяване на Windows, друг за основно)? Това ще изисква ли 2 различни имена на хост?

Има ли решение, за което не мисля тук?

Благодаря на всички.


windows iis sharepoint basic-authentication
person Kolten    schedule 28.07.2010    source източник

Отговори (3)


arrow_upward
2
arrow_downward

Предположение: искате всички потребители, вътрешни и външни, да се удостоверяват срещу един и същ домейн на Active Directory.

Ако основната цел е външните потребители да могат да влизат без да въвеждат името на домейна, можете да използвате ISA сървър.

Можете да накарате вътрешните потребители да се свързват директно към вашия Sharepoint сървър, като насочите вътрешния си DNS директно към вашия Sharepoint сървър. По този начин Windows auth ще работи за тях.

След това външни потребители могат да бъдат насочени към вашия ISA сървър (чрез DNS) и ISA може да бъде конфигуриран да показва страница за вход за Sharepoint, където не се изисква име на домейн. (Това е уеб формуляр, който те попълват, но удостоверяването се извършва срещу Active Directory).

Да накарате ISA да работи по този начин е малко трудно, защото трябва да получите правилните настройки на AAM в Sharepoint. И ако правите SSL или SQL Reporting Services, това е още по-сложно. Основният проблем е, че няма смислени съобщения за грешка, които да ви казват какво не е наред. Но е възможно. :)

Имаме тази настройка и работи страхотно, но определено беше трудно да започнем да работим правилно.

Tim
person CodeThug    schedule 29.07.2010
comment
Вместо да използвам ISA, не мога ли просто да „превъртя моя собствена“ страница за удостоверяване в ASP.NET? Имаме контрол върху външните и вътрешните DNS настройки, така че посочването не би било проблем. Не съм сигурен обаче в ползата от използването на ISA тук (имам малък опит с него) - какви предимства ми предлага в тази ситуация? - person Kolten; 29.07.2010

arrow_upward
1
arrow_downward

Удостоверяването на Windows използва протокол, за да договори кой метод за удостоверяване ще се използва. Грешил съм и преди, но не мисля, че можете да направите и двете, без да използвате две отделни виртуални директории (които могат да сочат към една и съща физическа директория, ако решите). Идеята е да конфигурирате различен механизъм за удостоверяване за всеки.

person kbrimington    schedule 28.07.2010
comment
Това ще изисква абсолютно 2 различни имена на домейни, нали? Един за вътрешен (internal.website.com) и външен (external.website.com)? Има ли някакъв начин да използвате едно име на домейн и за двете? Може да е глупав въпрос, тъй като не мога да измисля начин, освен може би 3-ти IIS запис за пренасочване въз основа на това дали Windows Auth се проваля или не? - person Kolten; 29.07.2010
comment
Само, може би, ако трябва да приложите тези настройки за удостоверяване на най-високо ниво. Трудно е, но бихте могли да помислите за въвеждане на собствен модул за удостоверяване. Това обаче би било да вземете протокола за сигурност в свои ръце, което би било неприятно. В нашата мрежа използваме интегрирано Windows Auth и нашите сървъри са надеждни (чрез групови правила), така че потребителите не трябва да предоставят ръчно идентификационни данни. Тази опция не е достъпна за вас? - person kbrimington; 29.07.2010

arrow_upward
1
arrow_downward

За да конфигурирате различни методи за удостоверяване на сайт на SharePoint (ако приемем, че говорите поне за SharePoint 2007), ще трябва да разширите уеб приложението, което води до допълнителни сайтове, създадени в IIS. Ще ви трябват различни имена на хостове, едно за вътрешно и едно за външно.

Веднъж разширено, съпоставянето на алтернативния достъп ще трябва да бъде конфигурирано (това се прави чрез Central Admin). След това доставчиците на удостоверяване могат да бъдат конфигурирани в секцията „Доставчици на удостоверяване“ в Central Admin. След това основното удостоверяване ще бъде конфигурирано за външния сайт (уверете се, че използвате SSL, тъй като основното удостоверяване изпраща информация за влизане в ясен текст), а вътрешният сайт ще бъде конфигуриран за интегрирано удостоверяване на Windows. Ето няколко ресурса, които си струва да се отбележат:

http://technet.microsoft.com/en-us/library/cc262309%28office.12%29.aspx http://go.microsoft.com/fwlink/?LinkID=79589

Надявам се това да помогне.

person Rob    schedule 29.07.2010