Que peut-on faire pour vous aider aujourd'hui?

Prise en charge de l'approbation de MyWorkDrive Active Directory

Tu es là:
< Retour

MyWorkDrive prend en charge le placement dans un domaine de ressources de confiance Active Directory avec les limitations suivantes. SAML/SSO ne fonctionne qu'avec les approbations bidirectionnelles. Avec les approbations unidirectionnelles, les utilisateurs peuvent uniquement se connecter à l'aide du nom d'utilisateur/mot de passe - SAML/SSO n'est pas pris en charge car il nécessite l'emprunt d'identité de l'utilisateur dans le domaine du compte de confiance par le serveur MWD situé dans le domaine de ressources, ce qui n'est pas autorisé. Les fiducies bidirectionnelles sont l'option préférée. Les approbations bidirectionnelles prennent en charge l'authentification sélective pour limiter les autorisations du domaine de ressources sur le domaine du compte de confiance et peuvent être ajustées selon les besoins. *Cet article suppose que les approbations sont déjà actives et que tous les redirecteurs conditionnels DNS sont en place.

 

Options de serveur MyWorkDrive requises :

  1. Les groupes locaux ne sont pas pris en charge et doivent être supprimés des autorisations ou des partages NTFS - Utilisez uniquement des groupes de sécurité d'utilisateurs basés sur un domaine ou des utilisateurs.
  2. Les groupes de domaines dans le domaine de ressources qui contiennent des utilisateurs ou des groupes dans le domaine approuvé (groupes dans un groupe) ne sont pas pris en charge ou nécessaires - ajoutez les groupes de domaines approuvés directement aux autorisations NTFS sur le partage et dans MyWorkDrive.
  3. Pour améliorer les vitesses de connexion, déplacez le domaine du compte de confiance en haut de l'ordre de recherche de domaine sur chaque serveur MWD (paramètres, ordre de recherche de domaine).
  4. Pour améliorer les vitesses de connexion, un contrôleur de domaine Trusted Account doit être accessible via une connexion réseau rapide et à faible latence.

Paramètres d'approbation de forêt bidirectionnelle

Dans ce cas, l'approbation est créée sur le domaine de compte approuvé DC (le client) pointé vers le domaine de ressources (où réside le serveur MWD). Les approbations bidirectionnelles prennent en charge l'authentification sélective pour limiter les autorisations du domaine de ressources sur le domaine du compte approuvé.

Avec les approbations bidirectionnelles, les utilisateurs peuvent se connecter à l'aide d'un nom d'utilisateur/mot de passe ou SAML/SSO. SAML/SSO est pris en charge lorsque le bon Délégation est configuré pour permettre au serveur MWD de se faire passer pour des utilisateurs sur tous les serveurs de fichiers situés dans le domaine de ressources.

Formats de nom de connexion pris en charge : FWA\Nom d'utilisateur, nom d'utilisateur@fwa.local, SamAccountName sans domaine : "Nom d'utilisateur" - lorsque le domaine de l'utilisateur est ajouté en haut de l'ordre de recherche de domaine MWD, adresse e-mail (suffixes UPN alternatifs).

Aux fins de cet article, les domaines Active Directory sont les suivants :

Domaine du compte de confiance : "FWA" FWA.local, filewebaccess.net

Domaine de ressources : MWF, MWF.local

Exemple de paramètres d'approbation bidirectionnelle :

 

 

Paramètres d'approbation de domaine externe à sens unique

Les approbations unidirectionnelles fonctionnent uniquement avec la connexion par nom d'utilisateur/mot de passe et nécessitent les options/paramètres de gestion suivants :

  1. Il est nécessaire que l'administration du serveur MyWorkDrive soit effectuée avec un compte du domaine de compte approuvé (le compte du domaine de ressources n'a pas les autorisations pour lire l'utilisateur/les utilisateurs/groupes de partage NTFS lors de la modification/création de nouveaux partages).
  2. Pour les approbations unidirectionnelles, il est nécessaire d'ajouter le compte d'utilisateur administrateur du domaine de confiance qui sera utilisé pour administrer MyWorkDrive au groupe d'administrateurs locaux sur le serveur MWD pour permettre la connexion au panneau d'administration MWD et gérer les partages.
  3. Pour les approbations unidirectionnelles, l'administration doit être effectuée après la connexion au panneau d'administration MWD pour ajouter/modifier des partages en tant que compte d'administration des utilisateurs du domaine du compte de confiance.

 

Dans ce cas, nous configurons une approbation sortante unidirectionnelle vers le domaine de ressources MWD à l'aide d'une approbation de domaine externe.

Avec les approbations unidirectionnelles, les utilisateurs ne peuvent se connecter qu'en utilisant le nom d'utilisateur/mot de passe - SAML/SSO n'est pas pris en charge car il nécessite l'usurpation de l'identité de l'utilisateur dans le domaine du compte de confiance par le serveur MWD situé dans le domaine de ressources, ce qui n'est pas autorisé.

Formats de nom de connexion pris en charge : FWA\Nom d'utilisateur, nom d'utilisateur@fwa.local, SamAccountName sans domaine : "Nom d'utilisateur" - lorsque le domaine du compte de confiance est ajouté en haut de l'ordre de recherche de domaine MWD et que le nom d'utilisateur est unique dans les deux domaines.

Formats de nom de connexion non pris en charge : adresse e-mail à moins qu'elle ne corresponde au domaine racine du domaine de compte (les suffixes UPN alternatifs ne sont pas pris en charge car il n'existe aucun moyen d'acheminer les suffixes de nom de domaine avec des approbations de domaine externes)

Exemple de paramètres d'approbation sortante unidirectionnelle du domaine de ressources :

Ceci est créé du point de vue du contrôleur de domaine du domaine de ressources MWD pour approuver le domaine des utilisateurs.

Exemple de paramètres d'approbation entrante unidirectionnelle du domaine des utilisateurs :

Ceci est créé du point de vue du contrôleur de domaine du compte de confiance FWA pour approuver le domaine de ressources.