In primo luogo, non sono sicuro che questa sia una scheda valida per porre questa domanda - forse dovrebbe essere richiesta su StackOverflow?
Panoramica sul caso d'uso, ciò che stiamo cercando di ottenere:
Due server, su due domini diversi; Disponibile solo dall'interno (intranet)
- SharePoint 2013, sul link ; (Autenticazione basata sulle attestazioni)
- ASP.NET Web Api, su link (? autenticazione); Abilitato CORS per origine sharepoint.
Accesso utente a SharePoint, clic sul pulsante - chiama richiesta CORS Ajax a api.mydomain.com.
Il problema è, quale autenticazione per l'API Web dovremmo usare? L'utente non deve compilare due richieste di accesso ... Ci sono pochi candidati:
- Kerberos - tuttavia, per quanto ne so, richiederà agli utenti finali di configurare i nostri server come "siti attendibili", in Firefox, IE / Chrome e anche alcune modifiche regedit in Chrome ... Forse c'è un modo per evitare una configurazione così complicata per gli utenti finali?
- OAuth2 - anche se non ho idea di come usarlo con ActiveDirectory
- Utilizza l'autenticazione basata su attestazioni da SharePoint - potremmo inserire il token AJAX da STS, quindi il token sarà disponibile da JS - non è un problema di sicurezza?
- Autenticazione personalizzata (vorrebbe evitare questo a tutti i costi)
- La tua idea?
Non possiamo usare ADFS perché SharePoint 2013 ha problemi con esso.
Cosa ne pensi? Quale opzione sarà la migliore per noi e per gli utenti finali?