Новые возможности проверки подлинности для SharePoint 2013

SharePointSharePoint 2007SharePoint 2010SharePoint 2013

Опубликовано: 16 июля 2012 г.

Сводка. SharePoint 2013 содержит улучшения в инфраструктуре утверждений и функциях проверки подлинности, позволяющие использовать новые сценарии проверки вида сервер-сервер и проверки приложений.

Применимо к:  SharePoint Server 2013 Enterprise | SharePoint Server 2013 Standard | SharePoint Foundation 2013 

Улучшения проверки подлинности в SharePoint 2013 делают использование проверки на основе утверждений проще и добавляют новые сценарии и функции для Exchange Server 2013, Lync Server 2013 и приложений в Хранилище SharePoint или Каталог приложений. SharePoint 2013 предоставляет поддержку проверки подлинности вида сервер-сервер и поддержку проверки подлинности приложений с помощью веб-протокола Open Authorization 2.0 (OAuth 2.0). OAuth — это стандартный протокол, предоставляющий временную авторизацию на основе перенаправлений. Пользователь или веб-приложение, действующее на стороне пользователя, может запросить временный доступ к определенным сетевым ресурсам у владельца ресурса.

Поддержка протокола OAuth в SharePoint 2013 позволяет пользователям предоставлять приложениям в Хранилище SharePoint и Каталог приложений доступ к определенным, защищенным пользовательским ресурсам и данным (включая списки контактов, документы, фотографии и видеоролики) без необходимости для приложения получать, хранить и отправлять учетные данные пользователя. Протокол OAuth позволяет приложениям и службам действовать от лица пользователей для получения ограниченного доступа к ресурсам SharePoint. Например, пользователь может выдать разрешения приложению на предоставление доступа к определенной папке или библиотеке документов. Это позволяет приложению, например стороннему приложению печати фотографий, получать доступ и копировать файлы из папки по запросу пользователя без надобности использования или проверки учетных данных пользователя.

Проверка подлинности и авторизация пользователя в SharePoint 2013

Проверка подлинности пользователя в SharePoint 2013 — это процесс, в ходе которого проверяется личность пользователя, запрашивающего доступ к веб-приложению SharePoint. Поставщик проверки выдает пользователю маркер безопасности, содержащий допуски на основе утверждений о пользователе и используемый для проверки набора разрешений, назначенных пользователю. Авторизация пользователя в SharePoint 2013 — это процесс, в ходе которого определяются пользователи, способные выполнять заданные операции над определенным ресурсом в веб-приложении SharePoint. SharePoint 2013 поддерживает проверку подлинности пользователя на основе следующих методов.

  • Утверждения Windows

  • Утверждения на основе языка SAML

  • Утверждения подлинности на основе форм

Данные методы проверки подлинности на основе утверждений рекомендуются для использования в SharePoint 2013.

Функции проверки подлинности приложений и проверки вида сервер-сервер в SharePoint 2013 требуют использования проверки подлинности на основе утверждений. Теперь подобная проверка используется по умолчанию в новых веб-приложениях в SharePoint 2013. При создании веб-приложения в центре администрирования можно указать только методы проверки подлинности на основе утверждений. Несмотря на то, что классическая проверка подлинности Windows по-прежнему доступна в SharePoint 2013 и может быть задана в Windows PowerShell, мы рекомендуем использовать проверку подлинности на основе утверждений. Классическая проверка подлинности Windows считается устаревшей в SharePoint 2013.

Улучшения в инфраструктуре утверждений

SharePoint 2013 также содержит следующие улучшения в инфраструктуре проверки подлинности на основе утверждений

  • Более простая миграция с классического режима на метод, использующий утверждения Windows, благодаря новому командлету Convert-SPWebApplicationWindows PowerShell

    Миграцию можно выполнить для каждой базы данных контента и каждого веб-приложения. Это отличается от SharePoint 2010, где миграция выполнялась для каждого веб-приложения.

  • Маркеры входа теперь кэшируются в новой службе распределенного кэша

    SharePoint 2013 использует новую службу распределенного кэша для кэширования маркеров входа. В Продукты SharePoint 2010 маркеры входа хранятся в памяти каждого веб-сервера переднего плана. Каждый раз при обращении пользователя к определенному веб-серверу переднего плана возникает необходимость проверки подлинности. Если перед серверами используются средства балансировки нагрузки, то пользователи проходят проверку на каждом веб-сервере за средством балансировки, а это много повторных проверок. Для предотвращения повторных проверок и задержек, связанных с ними, рекомендуется включить и настроить функцию сходства для средств балансировки (также известную как липкие сеансы). При хранении маркеров входа в службе распределенного кэша в SharePoint 2013 настройка сходства для средств балансировки нагрузки больше не требуется. Кроме того, служба распределенного кэша дает преимущества при масштабировании и способствует меньшему использованию памяти в веб-серверах переднего плана.

  • Большее количество записей в журнал упрощает устранение проблем в процессе проверки подлинности

    SharePoint 2013 предоставляет намного больший уровень ведения журналов, чтобы помочь вам в устранении проблем при проверке подлинности. Примеры улучшенной поддержки журналов:

    • Отдельные, отсортированные по утверждениям, журналы для каждого режима проверки подлинности

    • Сведения о добавлении и удалении файлов cookie FedAuth из службы распределенного кэша

    • Сведения о причине невозможности использования файла cookie FedAuth (например, истечение срока действия или ошибка при расшифровке)

    • Сведения о том, куда перенаправляются запросы проверки подлинности

    • Сведения о сбоях при миграции пользователя в определенном семействе сайтов

Проверка подлинности вида сервер-сервер

SharePoint 2013 расширяет протокол OAuth для реализации проверки вида сервер-сервер, которая может использоваться в таких службах, как SharePoint 2013, для проверки других служб, вроде Exchange Server 2013 или Lync Server 2013, или служб, использующих подобный протокол.

SharePoint 2013имеет выделенную локальную службу маркеров безопасности сервер-сервер (STS), предоставляющую маркеры, содержащие утверждения о личности пользователя и обеспечивающие прошедший проверку кросс-серверный доступ. Эти утверждения используются другой службой для поиска данных пользователя в собственном поставщике удостоверений. Отношение доверия, установленное между локальной службой STS (сервер-серверной службой STS SharePoint 2013) и другой поддерживающей данный вид проверки службой (службой STS Exchange Server 2013 или Lync Server 2013), является ключевой функцией для выполнения проверки вида сервер-сервер. Для локальных разверток настраивается конечная точка JSON-метаданных другой подобной службы для установления отношения доверия. Для веб-служб экземпляр службы Windows Azure Access Control Service (ACS) действует как брокер доверия для обеспечения кросс-серверного взаимодействия для трех типов серверов.

Новая служба STS в SharePoint 2013 выдает маркеры доступа для проверки подлинности вида сервер-сервер. В SharePoint 2013 (и также в SharePoint 2010) поддерживаются доверенные поставщики удостоверений, соответствующие протоколу WS-Federation. Однако новая служба STS в SharePoint 2013 предоставляет функциональность только для предоставления временных маркеров доступа для доступа к службам, таким как Exchange Server 2013 и Lync Server 2013. Служба сервер-сервер STS не используется для проверки подлинности и не приводится на странице выполнения входа пользователей, интерфейсе пользователя поставщика проверки подлинности в Центр администрирования или в средстве выбора людей в Продукты SharePoint 2013.

Проверка подлинности приложения

SharePoint 2013 использует протокол OAuth 2.0 для авторизации запросов приложений в Хранилище SharePoint и Каталог приложений на доступ к ресурсам SharePoint от лица пользователя. Пользователь при установке дает разрешение приложениям в Хранилище SharePoint и Каталог приложений на доступ к ресурсам SharePoint от лица пользователя. Например, пользователь устанавливает приложение из Хранилище SharePoint. Сайт SharePoint содержит внедренный HTML-фрейм (IFRAME), который формируется приложением, для которого необходим доступ к списку пользователей. При отображении сайта в веб-браузере приложение обращается к серверу с SharePoint 2013, чтобы получить доступ к списку от лица пользователя. После получения приложением данных списка, оно выводит их в IFRAME.

Процесс проверки подлинности приложения в SharePoint 2013 использует протокол OAuth для проверки сделанного приложением утверждения о том, что оно может действовать от лица прошедшего проверку пользователя. В SharePoint 2013 экземпляр Windows Azure ACS действует как поставщик удостоверения приложения. Также можно использовать проверку подлинности приложения без ACS. Процесс авторизации проверяет разрешения прошедшего проверку подлинности приложения на выполнение заданной операции или на доступ к указанному ресурсу.

История изменений

Дата Описание

16 июля 2012 г.

Первоначальная публикация

Для получения дополнительной информации по продукту оставьте сообщение, заполнив электронную форму, или свяжитесь с нами по телефону в Москве: +7 495 642 44 05

Обучение — для прохождения обучения по данному продукту в авторизованном Тренинг-Центре Giusto Consulting перейдите по ссылке курсы Sharepoint.

Решения — полный перечень решений компании Giusto Consulting можно получить по ссылке SharePoint готовые решения.

Giusto_01_Корпоративный портал SharePoint Подробное описание Sharepoint решения можно получить по ссылке Giusto Consulting: SharePoint портал. Giusto_07_Электронный документооборот SharePoint Подробное описание Sharepoint решения можно получить по ссылке Giusto Consulting: документооборот SharePoint.