我们有一个客户希望他们的用户使用SharePoint Online和Exchange / Office 365邮件的不同用户帐户(这听起来有点奇怪,这是合法的原因)。 所有的帐户都在同一个域中,客户已经与租户configurationADFS。 我可以在网上find的所有文章和post处理与此情况完全相反的情况(无论是SSO还是带有一个租户的多域)。
我想知道的是,如果我们可以使用不同的领域ID(或类似的)来configurationSharePoint Online和Exchange,以便ADFS可以被触发,从而为一个领域使用不同的身份validation机制。
****编辑****
下面的评论是一个更多的颜色,因为需要两个领域的ID(或任何其他机制来解决这个问题)。 客户在其组织中基本上有两种用户帐户。 大部分是通过ADFS提供的SSO访问O365的标准普通用户帐户。
其他types的用户通常不login到工作站,也没有自己分配的桌面。 这些用户使用共享的工作站,这些工作站在通用的公用帐户下不断login。 当这些用户访问共享工作站(我在下面的评论中将它们称为信息亭,但这是一个轻微的失实陈述),然后尝试访问O365,则ADFS将用户login为通用帐户。 当用户访问主要门户页面的SharePoint Online(当访问受保护的子站点时,用户获得访问被拒绝的页面,但有一个选项以另一个用户身份login时)时,用户无法访问电子邮件(他们得到一个错误页面,因为通用帐户没有收件箱,并且没有办法重新进行身份validation)。
我最初的想法是,如果我们可以使用两个IdP(或一个ADFS服务器与两个RP),那么我们可以使用SharePoint领域的SSO / WIA,然后使用表单身份validation的Exchange领域。 我的另一个想法是在ADFS中使用声明规则(它们位于ADFS 3 / 2012R2上),以在用户的UPN匹配模式时强制窗体身份validation。 我有一个最终的平底船解决scheme是使用GPO禁用公共帐户在IE浏览器的SSO。
答案是由Jesper Stahle提供 。
您将需要使用IE区域来打破自助terminal机器上的身份validation令牌,您可以使用组策略轻松实现此function。
说明 :您的用户将尝试访问Office 365,他们将被redirect到ADFS进行身份validation,ADFS将读取他们的Kerberos TGT票据,创build令牌并将其转发到Office 365以供进一步处理。
解决scheme :为避免将自助terminal机上的login用户的令牌从ADFS发送到Office 365,您需要告诉IE不要将login的用户名/密码发送到ADFS,而是要为用户打开login框坐在机器前面使用自己特定的用户名/密码,这可以通过以下方式实现:
对于专用计算机上的用户 :将ADFS链接放置在“ 本地Intranet区域 ”中,如果您这样做,将启用SSO。
对于自助服务terminal机器 :将ADFS链接放置在“ 受信任的站点 ”区域中,这将打破SSO,并且每当访问Office 365时,都会要求用户提供用户名/密码。
对于使用组策略将站点放入区域的问题,我build议使用“ 注册 ”input使用以下内容:
Key Location: Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\YOURADFSLINK Value Name: http Value Type: REG_DWORD Value Data: 1 or 2 “数值数据”1表示“本地Intranet区域”,2表示“可信站点区域”