Несколько входов в систему для открытия офисных документов, сохраненных в библиотеке документов в SharePoint 2010 с использованием проверки подлинности на основе утверждений

Question

Нашей средой является Sharepoint 2010 с созданным веб-приложением (и семейством сайтов сверху) с использованием аутентификации на основе утверждений. Первый сайт использует порт 881. Он использует встроенную проверку подлинности Windows. Создается другое веб-приложение, расширяющее первое приложение с использованием порта 882. Этот сайт использует проверку подлинности на основе форм, поставщиком членства является System.Web.Security.ActiveDirectoryMembershipProvider с именем admembers. Я отключил клиентскую интеграцию на обоих сайтах.

Когда я захожу на сайт 881 в моей корпоративной сети, захожу на машину с той же учетной записью домена, которую использует sharepoint, я могу открыть файл Office, сохраненный в библиотеке документов, и впоследствии он открывается в соответствующем приложении Office. , не спрашивая меня, войдите снова. Но если я войду в Sharepoint с компьютера, который не входит в нашу сеть, или войду в компьютер с учетной записью, которая не является учетной записью домена, мне снова будет предложено войти в систему при открытии документа Office. Если я выбираю вариант сохранения, он не запрашивает, но если я выбираю открыть в диалоговом окне, я вынужден снова ввести свои учетные данные домена.

Когда я захожу на сайт 882, который использует FBA, у меня возникает та же проблема. Если я открываю документ Office, открывается соответствующее приложение Office и запрашивает мои учетные данные, показывая мне диалоговое окно с загруженной страницей входа. Если я решу сохранить файл, мне не будет предложено войти в систему, и файл будет сохранен в локальной папке.

Я не могу ожидать, что мои пользователи, находящиеся вне сайта, будут снова входить в систему каждый раз, когда открывают документ Office, например Work, Excel, Powerpoint и т. Д. Я пробовал множество исправлений, включая отключение интеграции клиента, изменение режима обработки браузера строгий / разрешающий), изменение настроек интернет-обозревателя (для встроенной проверки подлинности Windows), изменение встроенного сайта проверки подлинности Windows для использования базовой проверки подлинности, даже взлом страницы с помощью jquery для вызова функции JavaScript sharepoint, которая выполняет функцию «загрузить копию». Ни одна из них не работает: при выборе «открытия» документа Office в браузере пользователь должен снова войти в систему или просто закрыть диалоговое окно без входа в систему (если интеграция клиента для зоны отключена).

Я хочу добиться этого с помощью аутентификации Windows или аутентификации на основе форм.

Помощь!

Answer 1

Я нашел этот ответ в аналогичном посте, который, казалось, решил проблему для меня, когда я тестировал его.Суть в том, что вам нужно отрицать опции HTTP-глаголов и PROPFIND в IIS.Сказав это, я не гуру IIS и не совсем уверен, что это значит или на что еще это может повлиять.Кто-нибудь еще может пролить свет на это?

Немного предыстории, я использую SharePoint 2010 на сайте FBA.

Answer 2

Если это sharepoint 2010, попробуйте это.Get-SPSecurityTokenServiceConfig Посмотрите на ваше значение UseSessionCookies в выходных данных.Если True, примените приведенный ниже PowerShell.

$sts = Get-SPSecurityTokenServiceConfig
$sts.UseSessionCookies = $false
$sts.Update() 

Если UseSessionCookies имеет значение true, вам нужно будет войти в любой документ, который вы хотите загрузить ...

Answer 3

У вас есть три стандартных варианта использования:

1. Доступ сотрудников к интрасети
2. Сотрудник удаленного доступа
3. Партнерский удаленный доступ

Доступ сотрудников к интрасети

Обычно это всегда работает из коробки, и похоже, что это работает для вас.

Удаленный доступ сотрудника

Единственный способ, которым я видел эту работу (и я пробовал много способов), - это получить TMG или ISA. По сути, ISA настраивается в аутентификации FORMS с использованием SSL, он фиксирует детали аутентификации и затем передает их на сервер sharepoint. (и другие серверы, если они у вас есть, например, OWA для почтовых веб-частей sharepoint) Если вы выберете опцию «Это частный компьютер» на экране входа в систему ISA, документы Office будут использовать файл cookie для аутентификации и не будут запрашивать другой вход в систему. У меня было так много проблем, но как только я установил TMG, все они ушли. Я бы не рекомендовал другой подход сейчас.

Дополнительным бонусом этого метода является то, что удаленные сотрудники рассматриваются как та же учетная запись, что и пользователь интрасети. То, как вы настраиваете отдельное веб-приложение, означает, что это будут разные учетные записи, поэтому такие вещи, как [checkout /ifiedby / madeby / personalization] будут разными учетными записями (хотя они выглядят одинаково)

Удаленный доступ партнера

Это может никогда не сработать на некоторых клиентах (особенно на Vista), так как IE необходимо разделить аутентификацию с Office