Способ проверки подлинности, используемый правилом веб-публикации (включая правила публикации веб-узлов Microsoft SharePoint и доступа веб-клиентов Microsoft Exchange), указывается в параметрах веб-прослушивателя, используемого правилом. Настройки веб-прослушивателя определяют способ получения и проверки учетных данных клиента. Однако делегирование учетных данных настраивается с помощью правила, а не веб-прослушивателя. Дополнительные сведения о делегировании учетных данных см. в разделе Делегирование учетных данных.
Дополнительные сведения о проверке подлинности см. в разделе Обзор проверки подлинности клиента.
В зависимости от выбранных параметров проверки подлинности становятся доступными дополнительные параметры. Примерами могут служить следующие случаи.
- Функция единого входа доступна только при выборе параметра
Проверка подлинности на основе HTML-форм.
- Проверка подлинности по одноразовому паролю RADIUS доступна
только при выборе параметра Проверка подлинности на основе
HTML-форм.
- Проверка учетных данных с помощью Active Directory по протоколу
LDAP доступна только при выборе параметра Проверка подлинности
HTTP с обычной проверкой подлинности или параметра Проверка
подлинности на основе HTML-форм.
Правило публикации с веб-прослушивателем, настроенным на определенный метод проверки учетных данных, должно применяться к набору пользователей, допускающим использование данного метода. Например, правило публикации с веб-прослушивателем, настроенным на проверку учетных данных LDAP, должно применяться к набору пользователей, состоящему из пользователей LDAP. В этот набор не могут входить пользователи Active Directory.
 Важно. |
|---|
| При включении функции единого входа необходимо указать домен единого входа. При указании общего домена, например .condoso.com, веб-обозреватель сможет отправлять файл cookie единого входа Шлюз Microsoft Forefront Threat Management любому веб-узлу в домене, создавая угрозу безопасности. |
Допустимые сочетания учетных данных
клиента и методов делегирования
Указанный в веб-прослушивателе метод проверки подлинности также определяет параметры делегирования проверки подлинности, которые могут быть использованы в правилах публикации. В следующей таблице представлены допустимые сочетания методов проверки подлинности и делегирования.
| Получение учетных данных клиента | Служба проверки подлинности | Делегирование | Комментарий |
|---|---|---|---|
|
Проверка подлинности на основе форм Обычная |
Active Directory LDAP (Active Directory) RADIUS |
Без делегирования, но клиент может выполнять проверку подлинности напрямую Без делегирования, клиент не может выполнять проверку подлинности напрямую Обычная NTLM Согласование Ограниченное делегирование Kerberos |
Функция единого входа поддерживается для проверки подлинности на основе форм, но не поддерживается для обычной проверки подлинности. Может потребоваться дополнительный сертификат клиента (двухфакторная проверка подлинности). |
|
Дайджест Встроенная |
Active Directory |
Без делегирования, но клиент может выполнять проверку подлинности напрямую Без делегирования, клиент не может выполнять проверку подлинности напрямую Ограниченное делегирование Kerberos |
|
|
HTML-форма с одноразовым паролем |
RSA SecurID RADIUS OTP |
Без делегирования, но клиент может выполнять проверку подлинности напрямую Без делегирования, клиент не может выполнять проверку подлинности напрямую Ограниченное делегирование Kerberos |
Поддерживается функция единого входа. |
|
HTML-форма с набором дополнительных учетных данных |
RSA SecurID RADIUS OTP |
Без делегирования, но клиент может выполнять проверку подлинности напрямую Без делегирования, клиент не может выполнять проверку подлинности напрямую Обычная NTLM Согласование Ограниченное делегирование Kerberos |
Поддерживается функция единого входа. |
|
Сертификат клиента |
Active Directory |
Без делегирования, но клиент может выполнять проверку подлинности напрямую Без делегирования, клиент не может выполнять проверку подлинности напрямую Ограниченное делегирование Kerberos |