Web Parts, SSO and Security Policy
Written by: Rickie Lee (rickieleemail at yahoo.com)
缺省情况下,WSS_Minimal和WSS_Medium不允许访问SSO功能,为了授予访问权限,需要修改策略文件(Policy files)或创建定制的策略文件。
SSO使用ticket(票证)系统来访问credentials(凭据)。Web Parts向SSO请求ticket,随后使用ticket访问数据区的credentials。SingleSignonPermission类决定SSO的访问权限,通过枚举值(Minimal, Credentials, Administer)决定授权级别。
必须同时在<SecurityClasses>和<PermissionSet>节添加适当元素:
1.向 <SecurityClasses> 部分添加:
<SecurityClass Name="SingleSignonPermission"
Description="Microsoft.SharePoint.Portal.SingleSignon.Security
.SingleSignonPermission, Microsoft.SharePoint.Portal.SingleSignon.Security,
Version=11.0.0.0, Culture=neutral, PublicKeyToken= 71e9bce111e9429c"/ >
增加对SingleSignonPermission的引用。
2.向 <PermissionSet> 部分(特别是名称为 ASP.Net 的 PermissionSet 部分)添加:
<IPermission class="SingleSignonPermission" version="1" Access=" Administer" />
上述权限中的访问修饰符可以设置为"Minimal"、"Credentials"或"Administer",如下所示:
Minimal
允许用户保留票证。
Credentials
允许用户获取票证。
Administer
允许用户配置 SSOSrv 服务并维护应用程序和凭据。
一旦策略文件修改完成,需要重启IIS。
***
为了方便,可以先备份wss_mediumtrust.config文件,然后在上面修改。
C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\60\config\ wss_mediumtrust.config