Windows Server 2012 R2
IIS 8.5
Internet Explorer 11
Eu tenho um aplicativo da Web IIS que oferece suporte à autenticação do Windows (provedores: Negotiate, NTLM).
Eu tenho um caso de uso em que um determinado usuário tem várias contas. Suas configurações do IE consideram o site como uma zona de "intranet local" e, como tal, tentam fazer logon automaticamente com o nome de usuário com o qual ele está conectado ao Windows. Ele precisa usar sua outra conta para se autenticar corretamente no site, mas não recebe uma solicitação de desafio para inserir a credencial. Quando isso acontece, o site retorna imediatamente um erro 403 e pronto.
Existe uma maneira de configurar o site IIS para desafiar o usuário a autenticar em vez de desistir? Não consigo remover o endereço do site da Zona "Intranet Local" em seu navegador devido às políticas de segurança e, da mesma forma, não consigo alterar a política de logon automático para toda a Zona da Intranet Local.
Existe outra maneira?
Não há nada na configuração do IIS que influencie como um navegador obtém as credenciais a serem enviadas ao servidor.
Uma solução alternativa para o seu problema é:
Certifique-se de que a conta do Windows necessária para fazer login no site também seja um usuário no sistema operacional Windows do usuário.
Faça com que o usuário inicie uma instância separada do IE nessa segunda conta de usuário e, se configurado para fazer login automaticamente, ele deverá funcionar sem inserir as credenciais novamente.