En primer lugar, no estoy seguro de si este es un foro válido para hacer esta pregunta. ¿Tal vez debería preguntarse en StackOverflow?
Descripción general del caso de uso, lo que intentamos lograr:
Dos servidores, en dos dominios diferentes; Disponible solo desde el interior (intranet)
- SharePoint 2013, en enlace ; (Autenticación basada en notificaciones)
- ASP.NET Web Api, en enlace (? autenticación); CORS habilitado para el origen de SharePoint.
El inicio de sesión del usuario en SharePoint, hace clic en el botón: llama la solicitud CORS Ajax a api.mydomain.com.
El problema es, ¿qué autenticación para la API web deberíamos usar? El usuario no debería tener que completar dos solicitudes de inicio de sesión ... Hay pocos candidatos:
- Kerberos: sin embargo, por lo que sé, requerirá que los usuarios finales configuren nuestros servidores como 'sitios confiables', en Firefox, IE / Chrome y también algunas modificaciones regedit en Chrome ... ¿Tal vez haya una manera de evitar una configuración tan complicada para los usuarios finales?
- OAuth2: aunque no tengo idea de cómo usarlo con ActiveDirectory
- Use autenticación basada en notificaciones de SharePoint: podríamos colocar dentro del token AJAX de STS, por lo tanto, el token estará disponible desde JS. ¿No es un problema de seguridad?
- Autenticación personalizada (le gustaría evitar esto a toda costa)
- ¿Tu idea?
No podemos usar ADFS porque SharePoint 2013 tiene problemas con él.
¿Qué piensas al respecto? ¿Qué opción será la mejor para nosotros y para los usuarios finales?