귀하의 질문에 분명히 나에게 명확한 것은 아니지만 어쨌든 여기 어딘가에 대답이있을 수 있습니다.
Authentication Handler Overview 페이지에서 설명한 것처럼 AD FS 2.0에는 몇 가지 인증 메커니즘이 있습니다. 선택되는 항목은 "인증 요청에서 허용하는 항목"에 따라 결정됩니다. 이것은 사용자 브라우저의 HTTP 요청에 관한 것이 아니라 신뢰 당사자 (귀하의 경우에는 CRM 2011)에서 오는 로그인 요청에 관한 것입니다. 그리고 fallback이 없습니다. 네 개의 핸들러 각각에 대해 "이 아니라이 다음 처리기로 요청을 전달합니다."
예를 들어, CRM에서 AD FS (브라우저를 통해 전송 됨)에 대한 WS-Federation 로그인 요청에서 Windows 통합 인증이 정상적으로 작동하고 통합 처리기가 <localAuthenticationTypes> 목록 상단에있는 경우 , IWA는 항상 사용자를 인증하는 데 사용됩니다 (브라우저/서버 기능에 따라 NTLM 또는 Kerberos). 사용자가 "내부"인지 "외부"인지는 중요하지 않습니다.
다른 사용자에게 서로 다른 인증 방법을 사용 하시겠습니까? 그렇다면 선택한 인증 방법에 영향을 미치는 유일한 방법은 출처입니다. 이론적으로 CRM은 사용자 또는 사용자 브라우저의 일부 정보를 기반으로 인증 요청을 조정할 수 있습니다. CRM이 WIF를 기반으로하는 경우 WSFederationAuthenticationModule.RedirectingToIdentityProvider Event에서 요청 조작을 수행 할 수 있습니다. 동료는이 메커니즘을 사용하여 SharePoint에서 WIF 로그인 요청을 성공적으로 처리했습니다.
항상 에 로그인 하시겠습니까? 로그인 (브라우저에서 Windows 자격 증명 대화 상자를 가져 오는 것과 반대)? 우리의 경험에 따르면, IWA 협상이 클라이언트의 Windows 자격 증명이 실제로 유효하다는 것을 서버에 확신시키지 못하게하여 브라우저가 자격 증명을 명시 적으로 요청하도록하는 모든 종류의 이유가 있습니다. 가장 확실한 이유는 브라우저가 서버의 AD에 도달 할 수 없지만 더 많은 이유가 있다는 것입니다.
@ chris-w-mclean 명확한 질문 : "내부 및 외부 사용자"= "ADFS의 Active Directory에 연결할 수있는 사용자 및 사용할 수없는 사용자"? –
예. 내부는 도메인 구성원 컴퓨터에 로그온 한 사용자가 유효한 ntlm 자격 증명을 가지고 있음을 의미합니다. 외부는 사이트에 액세스하고 도메인 컴퓨터에 로그온하지 않았거나 도메인 컴퓨터에 로그온했지만 방화벽 외부에 있기 때문에 광고에 연결할 수없는 사용자입니다. –