2009-04-20 15 views
4

まず、少し背景:私たちはDOMAIN_A.LOCALに、サーバー上でホストされているとの認証に統合Windows認証を使用するように設定されたWSS 3.0に基づいて、イントラネットサイトを持っていますActive Directoryユーザーアカウントに対してユーザーはDOMAIN_A.LOCALです。のSharePoint(WSS)の認証

ユーザーが異なるからADアカウントを使用してWindowsにログインしてPCからサイトにアクセスしようとすると、この設定はDOMAIN_A.LOCAL からADアカウントを使用してWindowsにログインしているユーザーのためにうまく動作しますが、

ドメイン(すなわちDOMAIN_B.LOCAL)以下の問題が発生します。

  1. ユーザーが手動でDOMAIN_A \ユーザー名と資格情報を入力する必要がありますだけではなくUserNameがそうでないので、Internet Explorerが自動的にDOMAIN_Bを挿入し、認証が失敗します。

  2. ログインすると、ブラウザーでクライアントアプリケーションに認証を渡す必要がある場合(編集用に開くためにドキュメントライブラリ内のMicrosoft Officeドキュメントをクリックするなど)、ユーザーが表示されます。その無効な資格情報(おそらくDOMAIN_Bは)ので、手動で再びそのDOMAIN_A資格情報を入力するようにユーザーを強制的に、自動的に渡されます。

    (基本クリアテキスト認証を使用する場合に行うことができますように)ので、統合Windows認証を使用した場合の動作の「デフォルトドメイン」タイプを実装するためにどのような方法があります:

私の質問は、このですDOMAIN_B上のユーザーは、自分のユーザー名の前DOMAIN_Aをドメインに入らない場合は彼らのために自動的に挿入されていること?

もちろん、私はこの展開に致命的な欠陥があるかもしれないことを認識しているので、私は別の実装の提案も受け付けています。

要約すると、主な問題は、1つのSharePointサイトで同じコンテンツにアクセスする必要のある2種類の異なるユーザーが原因です。 DOMAIN_Aのユーザーは、すべて自分でWindowsにログインするフルタイムワークステーションを持っています。 DOMAIN_B、ユーザーが必要に応じて資格情報を提供しなければならないため、要件 - DOMAIN_Bのユーザーは、残念ながらSharePointで何の権限を持たない一般的な「キオスク」タイプのアカウントを使用してログオンしている共有コンピュータを使用する必要がありますSharePointの特定のページにアクセスするときにする「キオスク」のユーザーマニュアル認証の量を最小限に抑えながら、私は DOMAIN_B DOMAIN_Aの「静」のユーザーに対して統合Windows認証の利便性を維持したいと思い我慢しなければなりません。

答えて

4

DOMAIN_A.LOCALは彼らのDOMAIN_B.LOCALアカウントがDOMAIN_A.LOCAL内で不明であるため、それ以外の場合はDOMAIN_B.LOCALから、ユーザーがプロンプト資格をreceivieなり、DOMAIN_B.LOCALを信頼する必要があります。

DOMAIN_B.LOCALがkisokユーザーの場合、おそらくこのドメインを信頼したくないでしょう。

Webアプリケーションを新しいゾーンに拡張し、フォームベースの認証を実装するか、Windows認証をISAサーバーなどのリバースプロキシで使用する必要があります。

+0

* DOMAIN_B *を信頼して問題を解決できないその他の理由は、これらのアカウントにSharePointの権限がないことです。 * DOMAIN_B *アカウントは、個々のユーザーではなく、キオスクワークステーションを識別する一般的なログインです。 アプリケーションを新しいゾーンに拡張することを提案したら、別のゾーンを介して同じコンテンツに異なる認証方法を使用させることは可能ですか?もしそうなら、それは私が必要とするものかもしれません... –

+0

はい、それはまさに私が意味するものです。 ゾーンの計画に関するテクニックの記事、ISAを拡張して公開する方法については、次のURLを参照してください。http://technet.microsoft.com/en-us/library/cc288609.aspx – shufler

+0

ありがとう、Jason - これは必要なものです。私は今この設定をテストしています。 –

0

おそらくあなたが聞きたいものではありませんが、フォームベースの認証に頼ることができます。

+0

はい、それになるかもしれません。もちろん、ワークフローはDOMAIN_Aユーザーにとってはあまり便利ではありませんが、少なくともすべてはすべての人にとって基本的に機能するはずです。 –

0

残念ながら、Microsoft Officeとの統合を維持したい場合は、Windows認証を採用する必要があります。フォーム認証を使用すると、保存したいと思われる機能のほとんどが削除されます。詳細はhereです。

理想的には、Jasonが言及したリバースプロキシのような提案を使用したいと考えています。しかし、おそらくISA Serverのようなものをまだ持っていなければ、おそらくコストの意味があるでしょう。実際にはDOMAIN_Bのユーザ名の前にDOMAIN_B \をタイプすることを学ぶのが最善でしょう。

+0

多くの(ほとんどの?)Office統合機能をFBAで取得できます。 FBAでサインインして、あなたが誰であるか(クッキーを保存する)を覚えておいて、Officeアプリで使用する必要があるような注意点があります。 –

+0

@カーク - 実際に私が調べたことを確認するためにそれを見に行ったとき、私はそれを正しく説明していないことに気づいた。あなたはFBAについては当然のことですが、WAからのFBAへの切り替えだけでクライアントの統合が無効になり、後でそれを元に戻すことができます。 –

2

複数のドメインを持つSharePointユーザーアカウントをインターネットで検索していて、Microsoft Front End Identity Managerという興味深いツールが出てきました。聞いたことありませんか?

だからユーザーアカウントが2つ以上のフォレストに分散しているマルチフォレスト展開を使用している場合。これは、2つの組織が統合され、両方の組織のドメインにアクセスする必要がある場合によく見られます。ユーザーオブジェクト内の識別名(ms-ds-Source-Object-DN)属性を使用して、ユーザーアカウント間の関連付けを作成できます。この関連では、1つのアカウントはプライマリアカウントと見なされ、他のアカウントはプライマリアカウントの代替アカウントです。ユーザーアカウントオブジェクト間のこの関係を作成するためのMicrosoft Front End Identity Managerというツールがあります。 Microsoft Front End Identity Managerの1つの機能は、SharePointサーバーがプロファイルが識別される代替アカウントの一覧を保持できることです。いずれかのアカウントを使用してユーザーのプロファイルを検索すると、SharePointサーバーはプライマリアカウントのプロファイルの例(domain \ username)を返します。

関連する問題