Active-Directory
2 個域 - 1 個 ADFS - 1 個 SharePoint - 1 個身份驗證方式
我想知道如果可能的話:
我有 1 個 AD 域:InternalDomain。我想創建一個輔助域:CustomersDomain。我希望我的SharePoint能夠對來自 InternalDomain 和 CustomersDomain 的使用者進行身份驗證。
- 內部員工將使用InternalDomain直接連接到 SharePoint 。(我猜是 DNS 問題)
- 來自外部的客戶或員工將通過 WAP 和 ADFS 伺服器與 [內部| 客戶]域(公共 IP 和 DNS)
但是,這是一個很好的方案,以便:
- 管理客戶廣告賬戶
- 管理 SharePoint 中的客戶身份驗證
- 從外部管理員工身份驗證
因此,我的客戶 AD 將僅儲存用於為客戶登錄 SharePoint 的憑據,沒有更多權限。我的內部廣告使用者(或其中一些)將能夠創建新的客戶帳戶。而且,一些客戶將能夠創建新帳戶或至少要求。
問我是不是不夠理解。這個想法很簡單:處理員工 AD 帳戶(AD 伺服器上沒有更改)、處理客戶帳戶、處理身份驗證的最佳方法都是使用 SharePoint。
這是可能的,一種方法是:
創建從客戶域到內部域的單向信任。
在客戶域中安裝您的 SharePoint 場。因為域之間存在信任,內部使用者也將能夠連接到它。
配置您的 DNS、防火牆、反向代理和 co 以將流量路由到您的伺服器場,具體取決於流量來自何處。
請注意,在此設置中您不需要 ADFS。
如果您的域之間沒有信任,那麼您將需要 2 個 ADFS 場(每個域一個),在它們之間創建信任,並且可能進行一些自定義以根據使用者的位置將使用者路由到正確的伺服器。它更複雜。
Microsoft 提供了一個名為“SharePoint 2010 產品的外聯網拓撲”的圖表,您可以查看它以找到更多想法(在 technet 上可用,這是第 3 個)。