У нас есть клиент, который хочет, чтобы их пользователи использовали разные учетные записи для почты SharePoint Online и Exchange / Office 365 (как бы странно это ни звучало, для этого есть законная причина). Все учетные записи находятся в одном домене, и клиент настроил ADFS со своим клиентом. Все статьи и сообщения, которые я могу найти в Интернете, посвящены прямо противоположному этому сценарию (либо SSO, либо несколько доменов с одним клиентом).
Мне интересно, можем ли мы настроить SharePoint Online и Exchange с разными идентификаторами области (или чем-то подобным), чтобы можно было активировать ADFS для использования другого механизма аутентификации для одной области по сравнению с другой.
****Редактировать****
Согласно комментариям ниже, здесь немного больше цвета для причины, по которой нужны два идентификатора области (или любой другой механизм для решения проблемы). У клиента в организации есть два типа учетных записей пользователей. Большинство из них являются стандартными обычными учетными записями пользователей, которые получают доступ к O365 через систему единого входа, предоставляемую ADFS.
Другие типы пользователей обычно не входят на рабочие станции и не имеют собственных рабочих столов. Эти пользователи используют общие рабочие станции, которые постоянно входят в систему под общими учетными записями. Когда эти пользователи получают доступ к общим рабочим станциям (в комментариях ниже я называл их киосками, но это небольшое искажение), а затем пытаются получить доступ к O365, ADFS регистрирует пользователей как общую учетную запись. Это нормально, когда пользователи переходят в SharePoint Online для главной страницы портала (при переходе на защищенные дочерние сайты пользователи получают страницу с отказом в доступе, но есть возможность войти в систему как другой пользователь), но не когда они пытаются получить доступ к электронной почте. (они получают страницу с ошибкой, потому что у общей учетной записи нет почтового ящика и нет средств для повторной аутентификации).
Изначально я подумал, что если бы мы могли использовать два IdP (или один сервер ADFS с двумя RP), тогда мы могли бы использовать SSO / WIA для области SharePoint, а затем использовать формы auth для области Exchange. Другая мысль, которая у меня возникла, заключалась в использовании правила утверждения в ADFS (они находятся в ADFS 3 / 2012R2) для принудительной авторизации форм, если UPN пользователя соответствует шаблону. Последним решением, которое у меня было, было использование GPO для отключения единого входа в IE для общих учетных записей.
Ответ любезно предоставлен Джеспер Штал.
Вам нужно будет поиграть с зонами IE, чтобы сломать токен аутентификации на машинах киоска, вы можете легко добиться этого с помощью групповой политики.
Объяснение: ваши пользователи попытаются получить доступ к Office 365, они будут перенаправлены в ADFS для проверки подлинности, ADFS прочитает их TGT-билет Kerberos, создаст токен и отправит его в Office 365 для дальнейшей обработки.
Решение: Чтобы избежать отправки токена зарегистрированного пользователя на киоск-машинах из ADFS в Office 365, вам нужно будет указать IE НЕ отправлять зарегистрированное имя пользователя / пароль в ADFS, а вместо этого открыть окно входа для сидящего пользователя на передней панели машины, чтобы использовать свое собственное имя пользователя / пароль, это может быть достигнуто следующим образом:
Для пользователей на их выделенных машинах: поместите ссылки ADFS в "Зона местной интрасети", В этом случае будет включен единый вход.
Для киосков: поместите ссылки ADFS в "Доверенные сайты"зона, это нарушит единый вход, и пользователям будет предложено указать имя пользователя и пароль при каждом посещении Office 365.
Что касается использования групповой политики для размещения сайтов в зонах, я бы рекомендовал использовать "Реестр"предприятия, использующие следующее:
Key Location: Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\YOURADFSLINK
Value Name: http
Value Type: REG_DWORD
Value Data: 1 or 2
«Значение данных» 1 означает «Зона локальной интрасети, 2 означает« Зона надежных сайтов ».