SharePoint 2010 - deux applications Web - Connexion unique -> Ai-je besoin d'une authentification basée sur les revendications?

Question

Nous prévoyons de créer deux applications Web SharePoint utilisant SharePoint 2010 Enterprise Edition. Tous les utilisateurs ayant accès à l'application Web 1 doivent également pouvoir accéder à l'application Web 2. Cette authentification doit être alimentée par le répertoire actif du serveur 2003.

-> ai-je besoin d'utiliser l'authentification basée sur les revendications? Si oui -> puis-je utiliser l'authentification basée sur Windows avec NTLM pour cela? La seule chose que je veux vraiment, c'est que les utilisateurs naviguant de l'application web 1 à l'application web 2 (et vice versa) ne doivent pas s'authentifier deux fois.

Je ne veux pas configurer Kerberos s'il n'est pas tout à fait necessare si ...

Pouvez-vous me donner des conseils? Merci!

EDIT:

ok - Je vais essayer d'être plus précis:

Dans notre environnement SharePoint 2010, nous avons deux applications web fonctionnant

http (s): //humanresources.domain.com http (s): //sales.domain.com Les deux sont exécutés sur le même IIS et ont des en-têtes d'hôte configurés (avec un certificat de domaine générique pour HTTPS).

Les deux applications offrent un lien vers l'autre application web (ventes -> humanresources et humanresources -> Ventes)

Maintenant, chaque fois que quelqu'un connecté aux ventes Accède humaresources, je ne veux pas que cette personne a besoin de se connecter encore. Par conséquent, je pensais que j'aurais besoin de l'authentification basée sur les revendications ??? ...

S'il vous plaît en lumière mon cerveau! : D

EDIT 2:

Merci pour vos réponses! @Panagiotis Kanavos - oui nous avons des utilisateurs qui accèdent au site de l'extérieur de notre environnement: 1) les utilisateurs qui ont une AD et travaillent sur leurs ordinateurs portables en dehors de notre bâtiment (par exemple: ils ont été toute la journée chez un client et travaillent à la maison pour les heures restantes) 2) Nous prévoyons d'avoir des utilisateurs sans AD Accound -> Authentification basée sur les formulaires: (par exemple: les clients accédant à nos protections du projet TFS 2010 pour avoir une vue d'ensemble du projet). Autant que je sache, si vous voulez FBA et WIN-Auth, vous devez configurer l'authentification basée sur les revendications ...

Cependant, la configuration d'une application Web avec l'authentification basée sur les revendications ne fonctionnait pas. J'ai choisi "Activer l'authentification Windows" avec "Authentification Windows intégrée -> NTLM" car nous n'avons pas configuré Kerberos (et j'aimerais le laisser comme ça ;-)).

Cependant, les utilisateurs ne pouvaient pas se connecter à cette application parfois, et cinq minutes après, cela a fonctionné. En outre, lorsque j'ai ajouté des autorisations à un utilisateur AD, SharePoint semblait enregistrer le jeton au lieu de l'ID de groupe/compte: par exemple: Au lieu de MyDomain \ user1, il enregistrait quelque chose comme "0 | = MyDomain \ user1" et pour les groupes même seulement sauvé des chaînes de caractères étranges "022-12.3"

Serait-ce le cas, que mon 2003 Windows AD ne supporte pas?

Answer 1

Si vous utilisez Active Directory et l'exécution des deux sites dans votre domaine vous ne devriez pas être mis au défi lorsque les utilisateurs ou l'autre site . Il devient tout simplement un problème de mise en œuvre sur qui a accès à quoi, que ce soit par des groupes AD ou des groupes SharePoint.

revendications authentification basée est un peu d'un autre animal. Vous devez avoir un jeton de sécurité qui contient un certain nombre de " revendications "à propos de l'utilisateur, par exemple UserA est un membre de HR et UserB est un membre des ventes.Après ces demandes, vous pouvez ensuite avoir votre site/application répondre en conséquence. C'est relativement nouveau pour SharePoint et Microsoft et c'est un peu la courbe d'apprentissage. Cela peut sembler plus logique si vous disposez d'un environnement en mode mixte, avec des accès AD et des utilisateurs basés sur des formulaires. Cependant, avec votre environnement hétérogène décrit, il ne semble pas que ce soit nécessaire.

Plus d'informations sur l'authentification SharePoint 2010 est disponible here.

John

Answer 2

La solution la plus simple est de créer un groupe AD avec les utilisateurs des deux sites et ajouter le groupe en tant qu'utilisateur au groupe Sharepoint membres de chaque site. De cette façon, les utilisateurs n'auront pas à se connecter car Sharepoint détectera automatiquement l'identité de l'utilisateur connecté. Pourquoi demandez-vous à propos de la connexion, des revendications et pourquoi utilisez-vous des certificats? Rien de tout cela n'est nécessaire dans un scénario intranet où la batterie et les utilisateurs se trouvent dans le même domaine ou si le domaine de la batterie approuve le domaine de l'utilisateur. Avez-vous des utilisateurs qui accèdent au site depuis l'extérieur de votre domaine?