使用基本身份验证和集成身份验证

Question

如果用户从我们的组织内部访问我们的SharePoint站点，我们希望使用集成的Windows身份验证，而当有人试图从我们的组织外部进行身份验证时，我们希望使用基本身份验证(使用SSL)。在阅读中，IE似乎无论如何都会尝试Windows身份验证，而忽略来自我们组织外部的基本身份验证。这是不可取的，因为用户需要在域中输入登录框(用户因此致电我们的帮助台而臭名昭著)。Basic Auth允许我们指定默认域。Windows身份验证不会执行此操作。因此，需要对外部使用基本身份验证，对内部使用Windows身份验证。

在网络内部启用Windows身份验证和在网络外部启用基本身份验证的解决方案是什么？我是否需要在IIS中设置两个独立的站点(一个用于windows身份验证，另一个用于基本身份验证)？这是否需要2个不同的主机名？

这里有没有我没有想到的解决方案？

谢谢大家。

Answer 1

假设:您希望所有用户(包括内部和外部用户)都在同一个Active Directory域中进行身份验证。

如果主要目标是让外部用户能够在不键入域名的情况下登录，则可以使用ISA服务器。

通过将内部DNS直接指向Sharepoint服务器，您可以让内部用户直接连接到sharepoint服务器。因此，windows auth将为它们工作。

然后，外部用户可以指向您的ISA服务器(通过DNS)，并且ISA可以配置为显示Sharepoint的登录页面，其中不需要域名。(这是他们正在填写的web表单，但身份验证是针对Active Directory进行的)。

让ISA以这种方式工作有点棘手，因为您必须在Sharepoint中正确设置AAM。如果您使用的是SSL或SQL Reporting Services，则会更加棘手。主要的问题是，没有任何有意义的错误消息告诉您哪里出了问题。但这是可能的。:)

我们已经设置好了，它工作得很好，但要让它正常工作肯定是一件痛苦的事情。

Tim

Answer 2

Windows身份验证使用协议来协商将使用哪种身份验证方法。我以前错过，但我认为如果不使用两个单独的虚拟目录(如果您愿意，它们可以指向相同的物理目录)，您就不能同时使用这两个目录。其想法是为每个应用程序配置不同的身份验证机制。

Answer 3

为了在SharePoint站点上配置不同的身份验证方法(假设您谈论的至少是IIS2007)，您将需要扩展web应用程序，这将导致在SharePoint中创建其他站点。您需要不同的主机名，一个用于内部，另一个用于外部。

扩展后，需要配置备用访问映射(这是通过中央管理完成的)。然后可以在管理中心的“身份验证提供程序”部分中配置身份验证提供程序。然后，将为外部站点配置基本身份验证(确保使用SSL，因为基本身份验证以明文发送登录信息)，并将内部站点配置为集成Windows身份验证。这里有几个值得注意的资源：

http://technet.microsoft.com/en-us/library/cc262309%28office.12%29.aspx http://go.microsoft.com/fwlink/?LinkID=79589

希望这能有所帮助。