我们有一个使用声明身份验证的 SharePoint 2010 Extranet Web 应用程序。
我们的网站在成员 SharePoint 组中有 NTLM 用户。我们的库的“人员”列仅限于成员组。我们希望允许 FBA 用户在填写商品元数据时选择成员组中的 NTLM 用户。问题是 FBA 用户可以在人员选择器中看到 NTLM 用户,但是当他们选择他们时,用户并没有解决。我意识到我们可以通过将 NTLM 添加到 Extranet 区域来解决这个问题,但如果可能的话,我们不希望这样做。
我的问题是:
这是适合自定义声明提供程序的场景吗?
这是可以通过 peoplepicker-searchadforests 属性解决的问题吗?(我无法理解这个属性正在发挥作用的真实世界示例)
这就是我理解人员选择器工作的方式。我不是 100% 肯定,所以不要把它当成绝对真理:)
基本上,在 Extranet 应用程序的上下文中,所有标准选择器都完全不知道内部 AD 的存在。您在人员选择器中获得的“点击”可以在 SiteUsers 列表和/或个人资料数据库中找到。
“这个问题可以通过 peoplepicker-searchadforests 属性解决吗?” 我不这么认为,我认为即使您能够让人员选择器搜索其他广告也可能会给出一些非常奇怪的结果,例如能够将人员权限添加到某个对象,但使用 FBA 声明前缀,不等于使用 NTLM 登录时的用户。(使用 NTLM 和 Claims 登录的用户在技术上是不同的用户。)
“这是适合自定义索赔提供者的场景吗?” 我不这么认为:(
您可以为您创建的人员选择器执行一个技巧(即您有一个自定义页面或 web 部件或带有人员选择器的东西),您可以设置几个属性来更改检索用户的位置。例如,您可以设置像“WebApplication”或类似的属性,基本上使选择器在内部应用程序的上下文中工作,尽管当前用户已登录外部应用程序。
我在想也许有某种方法可以在 Extranet 应用程序上启用 NTLM 成员资格提供程序,但实际上并没有启用最终用户身份验证。这听起来并非不可能,但我不确定这将如何完成。