如果用户从我们组织内部访问我们的 SharePoint 站点,我们希望使用集成 Windows 身份验证,当有人尝试从我们组织外部进行身份验证时,我们希望使用基本身份验证(使用 SSL)。阅读,似乎 IE 无论如何都会尝试 Windows 身份验证,并忽略我们组织外部的基本身份验证。这是不可取的,因为用户需要在 DOMAIN 中输入登录框(用户因为此而致电我们的帮助台而臭名昭著)。基本身份验证允许我们指定默认域。Windows 身份验证不这样做。因此希望对外部使用基本身份验证,对内部使用 Windows 身份验证。
在网络内启用 Windows Auth 并在我们的网络外启用 Basic Auth 的解决方案是什么?我是否需要在 IIS 中设置两个单独的站点(一个用于 windows auth,另一个用于基本)?这需要 2 个不同的主机名吗?
有没有我没有想到的解决方案?
谢谢大家。
假设:您希望所有内部和外部用户都针对同一个 Active Directory 域进行身份验证。
如果主要目标是让外部用户能够在不输入域名的情况下登录,您可以使用 ISA 服务器。
您可以通过将内部 DNS 直接指向您的 Sharepoint 服务器,让内部用户直接连接到您的 Sharepoint 服务器。因此,windows auth 可以为他们工作。
然后可以将外部用户指向您的 ISA 服务器(通过 DNS),并且可以将 ISA 配置为显示不需要域名的 Sharepoint 登录页面。(这是他们正在填写的 Web 表单,但身份验证是针对 Active Directory 进行的)。
让 ISA 以这种方式工作有点棘手,因为您必须让 Sharepoint 中的 AAM 设置恰到好处。如果您正在使用 SSL 或 SQL Reporting Services,那就更棘手了。主要问题是没有有意义的错误消息告诉您出了什么问题。但这是可能的。:)
我们有这个设置,它工作得很好,但正确地工作绝对是一件痛苦的事。
Tim
Windows 身份验证使用协议来协商将使用哪种身份验证方法。我以前错了,但是我认为如果不使用两个单独的虚拟目录(如果您选择,它可以指向同一个物理目录),您就不能同时做到这两点。这个想法是您为每个配置不同的身份验证机制。
为了在 SharePoint 网站上配置不同的身份验证方法(假设您至少在谈论 SharePoint 2007),您将需要扩展 Web 应用程序,从而在 IIS 中创建其他网站。您将需要不同的主机名,一个用于内部,一个用于外部。
扩展后,将需要配置备用访问映射(这是通过 Central Admin 完成的)。然后可以在 Central Admin 的“身份验证提供程序”部分中配置身份验证提供程序。然后将为外部站点配置基本身份验证(确保使用 SSL,因为基本身份验证以明文形式发送登录信息),内部站点将配置为集成 Windows 身份验证。以下是一些值得注意的资源:
http://technet.microsoft.com/en-us/library/cc262309%28office.12%29.aspx http://go.microsoft.com/fwlink/?LinkID=79589
希望有帮助。