Sharepoint 2013 sp1 RUS, windows server 2012.
Есть ли возможности аутентифицировать одного и того же доменного пользователя на один и тот же сайт через разные зоны? Например, Kerberos в windows домене в default-zone и Form Based Auth в Internet-zone, но чтобы это был один и тот же пользователь. А то получается, что если я использую аутентификацию через FBA, то это не тот же пользователь, что и аутентифицирующийся через Kerberos, хоть по настройкам эти методы аутентификации настроены на один и тот же Active Directory?
Или для этого решения FBA не подходит? Есть ещё SAML, может он это делает?
Проблема в том, что если уже настроены права, то нельзя переопределять провайдера аутентификации. И если изначально настроить пользователей в SharePoint через ntlm, то позже уже нельзя подключить ADFS и аутентифицировать пользователей через неё. Надо будет заново раздавать права, а именно это в моей задаче является невыполнимым. Поэтому ни зону ни провайдера я сменить не могу. Без смены провайдера нет решения?
В данный момент я решил задачу расширения аутентификации средствами IIS, под которым работает Sharepoint.
Захаров Александр: Не знаю на счет "потом подключить AD FS нельзя", делал проект сначала интранет, потом через реверс прокси AD FS подключили доступ через интернет и пользователи как были NTLM так и остались.
Виктор Бузин: Я не в курсе вашей конфигурации, но по мне так ADFS у вас лишнее звено. Что оно вам даёт? (риторический вопрос). Всё равно у вас осталось NTLM для аутентификации. Суть то в том и была, чтобы аутентифицировать одного и того же пользователя разными методами, т.е. для локальной сети - NTLM, а для внешней - FBA, но права выдавать только один раз.
Виктор Бузин: Это я знаю, но странно, что в самом Sharepoint встроенного такого механизма нет. Как раз именно этого мы и старались избежать. Пока прикрыли ntlm дополнительным одноразовым кодом для внешней сети, но совсем от ntlm пока не отказаться.
Простой
Средний
