跨多個域的SharePoint（WSS）身份驗證

Question

首先，我們有一個基於WSS 3.0的Intranet站點，該站點位於DOMAIN_A.LOCAL中的服務器上，並設置為使用集成Windows身份驗證根據DOMAIN_A.LOCAL的 Active Directory用戶帳戶對用戶進行身份驗證。

此設置適用於使用DOMAIN_A.LOCAL中的AD帳戶登錄Windows的用戶，但是當用戶嘗試使用來自其他域（即DOMAIN_B.LOCAL ）的AD帳戶從登錄到Windows的PC訪問該站點時發生以下問題：

1. 用戶必須手動輸入其憑據作為DOMAIN_A \\ UserName而不僅僅是UserName ，否則，Internet Explorer會自動插入DOMAIN_B並導致身份驗證失敗。

2. 登錄后，如果用戶執行了某些操作，要求瀏覽器將其身份驗證傳遞到客戶端應用程序，例如單擊文檔庫中的Microsoft Office文檔以打開它進行編輯，則會顯示無效憑據（可能是DOMAIN_B ）會自動傳遞，從而迫使用戶再次手動輸入其DOMAIN_A憑據。

我的問題是，這是：

使用集成Windows身份驗證時是否有任何方法可以實現“默認域”行為（如使用基本明文身份驗證時可以這樣做），以便DOMAIN_B上的用戶在用戶名之前不輸入域， DOMAIN_A是自動插入嗎？

當然，我意識到這種部署可能存在致命缺陷，因此我也願意接受不同實現的建議。

總之，主要問題源於兩個不同類型的用戶需要訪問一個SharePoint站點上的相同內容。 DOMAIN_A中的用戶都有自己的全職工作站，他們自己登錄Windows。 遺憾的是， DOMAIN_B中的用戶必須使用使用在SharePoint中沒有權限的通用“kiosk”類型帳戶登錄的共享計算機 - 因此要求DOMAIN_B用戶在訪問SharePoint中的給定頁面時必須按需提供其憑據。 我想為DOMAIN_A的“靜態”用戶保留集成Windows身份驗證的便利性，同時最大限度地減少DOMAIN_B中 “kiosk”用戶必須忍受的手動身份驗證的數量。

Answer 1

DOMAIN_A.LOCAL必須信任DOMAIN_B.LOCAL ，否則來自DOMAIN_B.LOCAL的用戶將接收憑據提示，因為他們的DOMAIN_B.LOCAL帳戶在DOMAIN_A.LOCAL中未知。

鑒於DOMAIN_B.LOCAL適用於kisok用戶，您可能不希望信任此域。

您需要將Web應用程序擴展到新區域，並實現基於表單的身份驗證，或使用Windows身份驗證與反向代理（如ISA服務器）。

Answer 2

我在互聯網上搜索具有多個域的SharePoint用戶帳戶，並且遇到了一個名為Microsoft Front End Identity Manager的有趣工具。 你聽說過嗎？

所以......如果您使用多林部署，其中用戶帳戶分布在兩個或多個林中。 當兩個組織合並並需要從兩個組織訪問域時，通常會出現這種情況。 您可以使用用戶對象中的可分辨名稱（ms-ds-Source-Object-DN）屬性在用戶帳戶之間創建關聯。 在此關聯中，一個帳戶被視為主帳戶，其他帳戶被視為主帳戶的備用帳戶。 有一個名為Microsoft Front End Identity Manager的工具可在用戶帳戶對象之間創建此關系。 Microsoft前端Identity Manager的一個功能是SharePoint服務器可以維護用於標識配置文件的備用帳戶的列表。 當您使用任一帳戶查找用戶的配置文件時，SharePoint服務器將返回主帳戶配置文件示例（域\\用戶名）。

Answer 3

可能不是您想聽到的內容，但您可能希望采用基於表單的身份驗證。

Answer 4

不幸的是，如果您想保留Microsoft Office集成（這是您想要的），您將不得不堅持使用Windows身份驗證。 使用表單身份驗證將刪除您似乎希望保留的大多數功能， 此處有更多信息。

理想情況下，您希望使用Jason提到的建議，這將是某種反向代理。 但是，如果您還沒有類似ISA服務器的東西，可能會有成本影響，所以實際上DOMAIN_B可能最好學會在用戶名之前鍵入DOMAIN_B \\。