跨多个域的SharePoint（WSS）身份验证

Question

首先，我们有一个基于WSS 3.0的Intranet站点，该站点位于DOMAIN_A.LOCAL中的服务器上，并设置为使用集成Windows身份验证根据DOMAIN_A.LOCAL的 Active Directory用户帐户对用户进行身份验证。

此设置适用于使用DOMAIN_A.LOCAL中的AD帐户登录Windows的用户，但是当用户尝试使用来自其他域（即DOMAIN_B.LOCAL ）的AD帐户从登录到Windows的PC访问该站点时发生以下问题：

1. 用户必须手动输入其凭据作为DOMAIN_A \\ UserName而不仅仅是UserName ，否则，Internet Explorer会自动插入DOMAIN_B并导致身份验证失败。

2. 登录后，如果用户执行了某些操作，要求浏览器将其身份验证传递到客户端应用程序，例如单击文档库中的Microsoft Office文档以打开它进行编辑，则会显示无效凭据（可能是DOMAIN_B ）会自动传递，从而迫使用户再次手动输入其DOMAIN_A凭据。

我的问题是，这是：

使用集成Windows身份验证时是否有任何方法可以实现“默认域”行为（如使用基本明文身份验证时可以这样做），以便DOMAIN_B上的用户在用户名之前不输入域， DOMAIN_A是自动插入吗？

当然，我意识到这种部署可能存在致命缺陷，因此我也愿意接受不同实现的建议。

总之，主要问题源于两个不同类型的用户需要访问一个SharePoint站点上的相同内容。 DOMAIN_A中的用户都有自己的全职工作站，他们自己登录Windows。 遗憾的是， DOMAIN_B中的用户必须使用使用在SharePoint中没有权限的通用“kiosk”类型帐户登录的共享计算机 - 因此要求DOMAIN_B用户在访问SharePoint中的给定页面时必须按需提供其凭据。 我想为DOMAIN_A的“静态”用户保留集成Windows身份验证的便利性，同时最大限度地减少DOMAIN_B中 “kiosk”用户必须忍受的手动身份验证的数量。

Answer 1

DOMAIN_A.LOCAL必须信任DOMAIN_B.LOCAL ，否则来自DOMAIN_B.LOCAL的用户将接收凭据提示，因为他们的DOMAIN_B.LOCAL帐户在DOMAIN_A.LOCAL中未知。

鉴于DOMAIN_B.LOCAL适用于kisok用户，您可能不希望信任此域。

您需要将Web应用程序扩展到新区域，并实现基于表单的身份验证，或使用Windows身份验证与反向代理（如ISA服务器）。

Answer 2

我在互联网上搜索具有多个域的SharePoint用户帐户，并且遇到了一个名为Microsoft Front End Identity Manager的有趣工具。 你听说过吗？

所以......如果您使用多林部署，其中用户帐户分布在两个或多个林中。 当两个组织合并并需要从两个组织访问域时，通常会出现这种情况。 您可以使用用户对象中的可分辨名称（ms-ds-Source-Object-DN）属性在用户帐户之间创建关联。 在此关联中，一个帐户被视为主帐户，其他帐户被视为主帐户的备用帐户。 有一个名为Microsoft Front End Identity Manager的工具可在用户帐户对象之间创建此关系。 Microsoft前端Identity Manager的一个功能是SharePoint服务器可以维护用于标识配置文件的备用帐户的列表。 当您使用任一帐户查找用户的配置文件时，SharePoint服务器将返回主帐户配置文件示例（域\\用户名）。

Answer 3

可能不是您想听到的内容，但您可能希望采用基于表单的身份验证。

Answer 4

不幸的是，如果您想保留Microsoft Office集成（这是您想要的），您将不得不坚持使用Windows身份验证。 使用表单身份验证将删除您似乎希望保留的大多数功能， 此处有更多信息。

理想情况下，您希望使用Jason提到的建议，这将是某种反向代理。 但是，如果您还没有类似ISA服务器的东西，可能会有成本影响，所以实际上DOMAIN_B可能最好学会在用户名之前键入DOMAIN_B \\。