locked
Настройка Forefront Identity Manager 2010 RRS feed

  • Вопрос

  • Добрый день.

    Есть задача настроить Forefront Identity Manager 2010 на работу со сторонним web-приложеним. Web-приложение настроено таким образом, что учетные данные пользователей берутся из домена windows.
    Основная задача состоит в следующем:
    Пользователь работающий на машине в домене в системе(предположим WinXP) войдя в браузер и подключившись к web-приложению не вводит данные в форму (Имя пользователя и Пароль) осуществляет доступ к web-приложению под учетными данными которые он вводит при входе в WinXP.

    Как настроить Forefront Identity Manager 2010 для решения данной задачи?

    Посмотрел информацию на technet, но все равно остались вопросы, что именно нужно задействовать в FIM 2010.

    Также интересует, насколько хорошо подойдет Forefront Identity Manager 2010 для решения данной задачи или есть другие решения?



    Описание тестового сервера:
    Windows 2008 R2 x64:
    - SQL 2008 R2 x64;
    - AD;
    - Exchange 2010;
    - Web-приложение (аутентификацию к которому и
      нужно настроить);
    - Share Point Services 3.0 x64;
    - Forefront Identity Manager 2010.

    Описание клиента:
    Windows XP или Seven машина входящая в домен windows:
     - Браузер IE8 или другой

    15 сентября 2010 г. 7:35

Ответы

  • Для того, чтобы максимально точно ответить на Ваш вопрос необходимо сделать уточнение: использует ли искомое веб-приложение службу каталога Active Directory в качестве центра аутентификации?

    Если да, то для решения поставленной задачи не нужен ни FIM, ли любой другой дополнительный продукт. Необходимо лишь настроить на веб-сервере, обслуживающем искомое веб-приложение, возможность аутентификации пользователей по протоколам NTLM/Kerberos (Integrated Windows Authentication). В этом случае пользователь при открытие веб-приложения будет прозрачно проходит процедуру аутентификации на контроллере домена AD с теми верительными данными, которые он указал при регистрации в локальной системе.

    Если же веб-приложение НЕ использует службу каталога Active Directory в качестве центра аутентификации, но при этом умеет аутентифицировать пользовательские запросы по протоколам NTLM/Kerberos (Integrated Windows Authentication), реализовать прозрачную аутентификацию пользователей можно за счет синхронизации БД учетных записей пользователей этого веб-приложения с каталогом AD. В этом случае для решения поставленной задачи отлично подойдет служба Synchronization Service продукта Forefront Identity Manager 2010.

    Если у Вас всё же остались вопросы - не стесняйтесь, я к Вашим услугам :)


    SINITSYN.ORG /{Бинарный} Форпост/ - Блог с фокусом на ISA Server, Forefront TMG, RMS и Windows Security
    • Помечено в качестве ответа Nikita PanovModerator 23 сентября 2010 г. 8:51
    22 сентября 2010 г. 21:44

Все ответы

  • Есть специалисты по Forefront Identity Manager 2010 ?

     

    HELP

    16 сентября 2010 г. 12:53
  • Есть мнение, что данную задачу FIM 2010 решить не сможет.

     

    Кто-нибудь может это опровергнуть или подтвердить? Какие есть мнения?

     

     

     

    p.s. хотя за неделю обсуждения пока мнения, только мои)) специалисты по forefront IM откликнитесь...

    20 сентября 2010 г. 15:02
  • Для того, чтобы максимально точно ответить на Ваш вопрос необходимо сделать уточнение: использует ли искомое веб-приложение службу каталога Active Directory в качестве центра аутентификации?

    Если да, то для решения поставленной задачи не нужен ни FIM, ли любой другой дополнительный продукт. Необходимо лишь настроить на веб-сервере, обслуживающем искомое веб-приложение, возможность аутентификации пользователей по протоколам NTLM/Kerberos (Integrated Windows Authentication). В этом случае пользователь при открытие веб-приложения будет прозрачно проходит процедуру аутентификации на контроллере домена AD с теми верительными данными, которые он указал при регистрации в локальной системе.

    Если же веб-приложение НЕ использует службу каталога Active Directory в качестве центра аутентификации, но при этом умеет аутентифицировать пользовательские запросы по протоколам NTLM/Kerberos (Integrated Windows Authentication), реализовать прозрачную аутентификацию пользователей можно за счет синхронизации БД учетных записей пользователей этого веб-приложения с каталогом AD. В этом случае для решения поставленной задачи отлично подойдет служба Synchronization Service продукта Forefront Identity Manager 2010.

    Если у Вас всё же остались вопросы - не стесняйтесь, я к Вашим услугам :)


    SINITSYN.ORG /{Бинарный} Форпост/ - Блог с фокусом на ISA Server, Forefront TMG, RMS и Windows Security
    • Помечено в качестве ответа Nikita PanovModerator 23 сентября 2010 г. 8:51
    22 сентября 2010 г. 21:44
  • Спасибо за помощь!

    Решил попробовать вариант с настройкой веб-сервера. Есть один вопрос.

    Если пользователи находяться в разных доменах ( и например в разных лесах).

    Каким образом нужно будет настраивать веб-сервер, чтобы пользователи в разных доменах/лесах имели возможность прозрачно аутентифицироваться?

     

    p.s. Данное веб-приложение использует службу каталога Active Directory в качестве центра аутентификации.

    27 сентября 2010 г. 13:05
  • Вам нужно будет спланировать и организовать, так называемую, cross-forest authentication. То есть настроить доверительные отношения между лесами/доменами для того, чтобы пользователи с учетными записями из одного леса имели возможность получения доступа к ресурсам из другого леса.

    Для более детального понимания этого процесса рекомендую к ознакомлению следующий раздел библиотеки TechNet - What Are Domain and Forest Trusts?


    SINITSYN.ORG - Блог с фокусом на ISA/TMG, IAG/UAG, DirectAccess, PKI, RMS и Windows Security
    6 октября 2010 г. 16:16
  • Спасибо за помощь!
    7 октября 2010 г. 6:32