人们选择器可以解析FBA扩展站点中的NTLM用户

时间:2012-04-12 13:01:28

标签: sharepoint

我们有一个使用声明身份验证的SharePoint 2010 Extranet Web应用程序。

  • Intranet区域正在使用混合身份验证(针对内部AD的NTLM和针对单独AD的FBA)。
  • Extranet区域仅对单独的AD使用FBA。

我们在Members SharePoint组中拥有拥有NTLM用户的网站。我们的图书馆有" Person" colums仅限于Members组。我们希望允许FBA用户在填充项元数据时选择成员组中的NTLM用户。问题是FBA用户可以在人员选择器中看到NTLM用户,但是当他们选择它们时,用户不会被解析。我意识到我们可以通过将NTLM添加到Extranet区域来解决这个问题,但是如果可能的话,不想这样做。

我的问题是:

这是一个适合自定义声明提供程序的场景吗?

这是一个可以通过peoplepicker-searchadforests属性解决的问题吗? (我还没有能够了解这个属性正在发挥作用的真实世界的例子)

1 个答案:

答案 0 :(得分:1)

这就是我理解人们选择器的作用。我不是百分百肯定所以不要把它当作绝对真理:)

基本上,在Extranet应用程序的上下文中,所有标准选择器都完全不知道内部AD存在。您在人员选择器中获得的“命中”可在SiteUsers列表和/或配置文件数据库中找到。

“这是一个可以通过peoplepicker-searchadforests属性解决的问题吗?” 我不这么认为,我认为即使你能够让人们选择搜索其他AD可能会给出一些非常奇怪的结果,比如能够为某些对象添加人员权限,但是使用FBA声明前缀,使用NTLM登录时不等于用户。 (使用NTLM和Claims登录的用户在技术上是不同的用户。)

“这是一个自定义声明提供程序适合的场景吗?” 我不这么认为:(

您可以为您创建的人选择器做一个技巧(即您有自定义页面或webpart或带有人员选择器的东西),您可以设置几个属性来更改用户的检索位置。例如,您可以设置像“WebApplication”或类似的属性,基本上使选择器像在内部应用程序的上下文中一样工作,尽管当前用户在外部应用程序上登录。

我在想的可能是有一些方法可以在外联网应用程序上启用NTLM成员资格提供程序,但实际上没有启用最终用户身份验证。这听起来不太可能,但我不确定如何做到这一点。