Пользовательские поставщики утверждений для средства выбора людей (SharePoint Server 2010)
Применимо к: SharePoint Foundation 2010, SharePoint Server 2010
Последнее изменение раздела: 2016-11-30
Утверждение состоит из сведений об удостоверении пользователя, таких как имя, адрес электронной почты или участие в группах. Поставщик утверждений в Microsoft SharePoint Server 2010 выпускает утверждения, которые продукт SharePoint Server 2010 затем упаковывает в маркеры безопасности для пользователей. Когда пользователь выполняет вход в SharePoint Server 2010, проверяется маркер пользователя, а затем используется для входа в SharePoint Server 2010. Поставщики утверждений отображаются в пользовательском интерфейсе диалогового окна Выбор людей и групп в элементе управления средства выбора людей. Они предоставляют функциональные возможности, используемые для поиска и выбора пользователей, групп и утверждений, когда объектам, таким как списки, библиотеки и сайты, в SharePoint Server 2010 назначаются разрешения. Дополнительные сведения об элементе управления средства выбора людей см. в статье Обзор средства выбора людей (SharePoint Server 2010).
В этой статье описывается использование и преимущества поставщиков утверждений, их архитектура, особые рекомендации по пользовательским поставщикам утверждений и их планирование. В статье не рассматриваются создание и настройка пользовательских поставщиков утверждений. Сведения о создании пользовательских поставщиков утверждений см. в статье, посвященной работе с утверждениями (https://go.microsoft.com/fwlink/?linkid=207578&clcid=0x419), и в статье, посвященной созданию пользовательских поставщиков утверждений в SharePoint 2010 (Возможно, на английском языке) (https://go.microsoft.com/fwlink/?linkid=211324&clcid=0x419) (Возможно, на английском языке).
Перед чтением этой статьи следует ознакомиться с понятиями, изложенными в статье Планирование способов проверки подлинности (SharePoint Server 2010) и на странице о роли утверждений (Возможно, на английском языке) (https://go.microsoft.com/fwlink/?linkid=208326&clcid=0x419) (Возможно, на английском языке). Дополнительные сведения о проверке подлинности на основе утверждений см. на странице, посвященной удостоверению SharePoint, основанному на утверждениях (https://go.microsoft.com/fwlink/?linkid=196647&clcid=0x419), и на странице с руководством по удостоверению, основанному на утверждениях, и управлению доступом (Возможно, на английском языке) (https://go.microsoft.com/fwlink/?linkid=187911&clcid=0x419) (Возможно, на английском языке).
Содержание:
Использование и преимущества
Архитектура
Сведения о пользовательских поставщиках утверждений
Развертывание и настройка пользовательских поставщиков утверждений
Использование пользовательских утверждений в нескольких фермах
Рекомендации по пользовательским поставщикам утверждений
Использование и преимущества
Существуют две основные причины использования поставщиков утверждений в SharePoint Server 2010:
Дополнение утверждений
Обеспечение разрешения имен
Действуя в роли дополнения, поставщик утверждений дополняет маркер пользователя дополнительными утверждениями во время входа. Дополнительные сведения о дополнении утверждений см. в статье, посвященной поставщикам утверждений (https://go.microsoft.com/fwlink/?linkid=207579&clcid=0x419).
Действуя в роли выбора, поставщик утверждений создает списки, разрешает имена, выполняет поиск и определяет "понятное" отображение пользователей, групп и утверждений в средстве выбора людей. Выбор утверждений позволяет приложению получать доступ к утверждениям в средстве выбора людей, например, при настройке безопасности сайта SharePoint или службы SharePoint. Дополнительные сведения о средстве выбора людей см. в статье Обзор средства выбора людей (SharePoint Server 2010).
Можно использовать поставщиков утверждений, включенных в SharePoint Server 2010, или создавать собственных пользовательских поставщиков утверждений для обеспечения дополнительных утверждений в маркерах безопасности пользователей или для подключения к дополнительным источникам утверждений. Например, если приложение CRM содержит роли, которых нет в репозитории пользователя в Active Directory, можно создать пользовательского поставщика утверждений для подключения к соответствующей базе данных и добавления данных роли CRM в исходный маркер утверждений пользователя. Дополнительные сведения о сценариях использования поставщиков утверждений см. в статье, посвященной поставщикам утверждений (https://go.microsoft.com/fwlink/?linkid=207579&clcid=0x419).
Архитектура
Если веб-приложение настроено для использования проверки подлинности на основе утверждений, SharePoint Server 2010 автоматически использует двух поставщиков утверждений по умолчанию:
Класс SPSystemClaimProvider (Возможно, на английском языке) (https://go.microsoft.com/fwlink/?linkid=210011&clcid=0x419) (Возможно, на английском языке) предоставляет сведения об утверждениях, связанные с фермой серверов, в которой установлен SharePoint Server 2010.
Класс SPAllUserClaimProvider (Возможно, на английском языке) (https://go.microsoft.com/fwlink/?linkid=210012&clcid=0x419) (Возможно, на английском языке) предоставляет утверждение "Все пользователи", которое отображается в диалоговом окне Выбор людей и групп средства выбора людей.
В зависимости от метода проверки подлинности, выбранного для зоны веб-приложения, SharePoint Server 2010 также использует одного или нескольких из поставщиков утверждений по умолчанию, представленных в следующей таблице.
| Метод проверки подлинности | Поставщик утверждений |
|---|---|
Проверка подлинности Windows |
SPActiveDirectoryClaimProvider (Возможно, на английском языке) (https://go.microsoft.com/fwlink/?linkid=208325&clcid=0x419) (Возможно, на английском языке) |
Проверка подлинности на основе форм |
SPFormsClaimProvider (Возможно, на английском языке) (https://go.microsoft.com/fwlink/?linkid=210013&clcid=0x419) (Возможно, на английском языке) |
Проверка подлинности на основе маркеров SAML |
SPTrustedClaimProvider (Возможно, на английском языке) (https://go.microsoft.com/fwlink/?linkid=210014&clcid=0x419) (Возможно, на английском языке) |
Эти поставщики утверждений отображаются в диалоговом окне Выбор людей и групп средства выбора людей. Список поставщиков утверждений для фермы можно просмотреть с помощью командлета Get-SPClaimProviderWindows PowerShell.
Примечание
Если веб-приложение настроено для использования проверки подлинности на основе маркеров SAML, класс SPTrustedClaimProvider не предоставляет возможности поиска для элемента управления "средство выбора людей". Любой введенный в элементе управления "средство выбора людей" текст будет автоматически отображаться, как будто он был разрешен, независимо от того, является ли он действительным пользователем, группой или утверждением. Если решение SharePoint Server 2010 будет использовать проверку подлинности на основе маркеров SAML, необходимо запланировать создание пользовательских поставщиков утверждений для реализации пользовательского поиска и разрешения имен.
Поставщики утверждений регистрируются на ферме серверов в качестве компонентов, развернутых в ферме. Они являются компонентами уровня фермы. Все объекты поставщиков утверждений используют класс SPClaimProviderDefinition для включения сведений о поставщике утверждений, таких как отображаемое имя, описание, сборка и тип. Важными свойствами класса SPClaimProviderDefinition являются свойства IsEnabled и IsUsedByDefault. Эти свойства определяют, разрешено ли использование зарегистрированного поставщика утверждений в ферме и используется ли поставщик утверждений в качестве поставщика по умолчанию в определенной зоне. По умолчанию использование всех поставщиков утверждений разрешается при их развертывании в ферме серверов. Дополнительные сведения о классе SPClaimProviderDefinition см. в описании класса SPClaimProviderDefinition (Возможно, на английском языке) (https://go.microsoft.com/fwlink/?linkid=207595&clcid=0x419) (Возможно, на английском языке).
Дополнительные сведения о зонах и проверке подлинности см. в статье Планирование способов проверки подлинности (SharePoint Server 2010).
Сведения о создании пользовательских поставщиков утверждений см. в статье, посвященной созданию пользовательских поставщиков утверждений в SharePoint 2010 (Возможно, на английском языке) (https://go.microsoft.com/fwlink/?linkid=211324&clcid=0x419) (Возможно, на английском языке), и в статье, содержащей пошаговое руководство по созданию поставщиков утверждений для SharePoint 2010 (https://go.microsoft.com/fwlink/?linkid=207589&clcid=0x419). Сведения о переопределении поставщиков утверждений по умолчанию см. в статье, содержащей инструкции по переопределению поставщиков разрешения имен и утверждений по умолчанию для SharePoint 2010 (Возможно, на английском языке) (https://go.microsoft.com/fwlink/?linkid=207591&clcid=0x419) (Возможно, на английском языке).
Сведения о пользовательских поставщиках утверждений
По умолчанию данные, которые разрешаются в средстве выбора людей при выполнении запроса, зависят от сведений, предоставленных поставщиком утверждений. При использовании встроенного поставщика утверждений невозможно изменить предоставляемые сведения и способ их отображения. Чтобы это сделать, разработчик должен создать пользовательского поставщика утверждений, соответствующего потребностям решения по поиску и выбору пользователей, групп и утверждений при назначении разрешений на такие элементы, как сайт, список или библиотека.
Например, если веб-приложение использует проверку подлинности SAML и должно также разрешать имена пользователей из Active Directory, необходимо создать пользовательского поставщика утверждений. Дополнительные примеры сценариев использования поставщиков утверждений см. в статье, посвященной поставщикам утверждений (https://go.microsoft.com/fwlink/?linkid=207579&clcid=0x419).
При создании пользовательского поставщика утверждений можно контролировать, какие сведения отображаются и какие результаты возвращаются в ответ на запрос из элемента управления "средство выбора людей". По умолчанию настройте веб-приложение для использования проверки подлинности на основе утверждений, а затем зарегистрируйте поставщика утверждений на сервере.
Примечание
Невозможно управлять порядком отображения поставщиков утверждений в диалоговом окне Выбор людей и групп средства выбора людей.
Сведения о создании пользовательских поставщиков утверждений см. в статье, содержащей инструкции по созданию поставщиков утверждений (https://go.microsoft.com/fwlink/?linkid=207588&clcid=0x419), и в статье, содержащей пошаговое руководство по созданию поставщиков утверждений для SharePoint 2010 (https://go.microsoft.com/fwlink/?linkid=207589&clcid=0x419). Сведения о переопределении поставщика утверждений по умолчанию см. в статье, содержащей инструкции по переопределению поставщика разрешения имен и утверждений по умолчанию для SharePoint 2010 (Возможно, на английском языке) (https://go.microsoft.com/fwlink/?linkid=207591&clcid=0x419) (Возможно, на английском языке).
Развертывание и настройка пользовательских поставщиков утверждений
При регистрации пользовательского поставщика утверждений в ферме свойствам IsEnabled и IsUsedByDefault по умолчанию задается значение True. Если для свойства IsUsedByDefault не установлено значение False, пользовательский поставщик утверждений отображается в диалоговом окне Выбор людей и групп средства выбора людей для всех зон. В зависимости от числа зон, необходимых для решения SharePoint Server 2010, способов проверки подлинности, используемых каждой зоной, и пользователей для каждой зоны, можно ограничить зоны, в которых будет отображаться пользовательский поставщик утверждений в средстве выбора людей.
Поскольку поставщики утверждений являются компонентами уровня фермы и задействуются на уровне зоны, следует с осторожностью планировать зоны, в которых будет отображаться пользовательский поставщик утверждений. В общем случае необходимо убедиться, что для свойства IsUsedByDefault задано значение False, а затем настроить класс SPIisSettings для каждой зоны, в которой необходимо использовать пользовательского поставщика утверждений. Для настройки пользовательского поставщика утверждений для выбранных зон можно создать скрипт Windows PowerShell, который задает поставщика утверждений для зоны с помощью свойства SPIisSettings.ClaimsProviders, или создать пользовательское приложение, позволяющее задействовать пользовательского поставщика утверждений для выбранных зон. Сведения о свойстве SPIisSettings.ClaimsProvider см. в описании свойства SPIisSettings.ClaimsProvider (Возможно, на английском языке) (https://go.microsoft.com/fwlink/?linkid=207597&clcid=0x419) (Возможно, на английском языке). Сведения о создании пользовательского приложения для настройки поставщиков утверждений для выбранных зон см. в записи блога TechNet, посвященной настройке пользовательского поставщика утверждений для использования только в выбранных зонах в SharePoint 2010 (Возможно, на английском языке) (https://go.microsoft.com/fwlink/?linkid=207592&clcid=0x419) (Возможно, на английском языке).
В качестве примера рассмотрим сценарий с двумя веб-приложениями. Первое веб-приложение, PartnerWeb, имеет две зоны — интрасеть с проверкой подлинности на основе утверждений Windows и экстрасеть с проверкой подлинности на основе форм — и используется для совместной работы сотрудников и партнеров. Второе веб-приложение, PublishingWeb, имеет только одну зону с проверкой подлинности на основе форм и является сайтом публикаций в Интернете для сотрудников, бизнес-партнеров и партнеров-клиентов. Предположим, что для зоны экстрасети в приложении PartnerWeb необходимо, чтобы сотрудники могли вести совместную работу с бизнес-партнерами, но не с партнерами-клиентами. Для этого необходимо создать пользовательского поставщика утверждений, который определяет, является ли текущий пользователь бизнес-партнером или клиентом, на основании удостоверения этого пользователя. В данном примере пользователи из fabrikam.com являются бизнес-партнерами, а пользователи из contoso.com — клиентами. Когда в веб-приложении PartnerWeb авторизуется пользователь, являющийся бизнес-партнером, в маркер утверждения добавляется утверждение для роли с именем BusinessPartner; когда авторизуется клиент, в маркер утверждения добавляется утверждение для роли с именем CustomerPartner. Чтобы гарантировать, что клиенты не будут добавляться на сайт для совместной работы в экстрасети, в веб-приложение PartnerWeb добавляется политика для зоны экстрасети, которая явно отказывает в доступе пользователям, имеющим утверждение для роли CustomerPartner. В пользовательском поставщике утверждений также должен быть реализован поиск и поддержка ввода для политики веб-приложения для разрешения утверждения роли CustomerPartner, чтобы его можно было добавить в политику веб-приложения. Наконец, чтобы задействовать эти функции в зоне экстрасети, класс SPIisSettings для этой зоны настраивается на использование пользовательского поставщика утверждений. На следующем рисунке показаны настройки методов проверки подлинности и поставщика утверждений для каждой зоны веб-приложения.
.jpg "Схема SPIisSettings")
Примечание
На веб-сайте центра администрирования все поставщики утверждений перечислены в диалоговом окне Выбор людей и групп в средстве выбора людей, независимо от того, имеет ли свойство IsUsedByDefault значение True.
Свойство IsUsedByDefault можно установить в приемнике компонента, созданном для пользовательского поставщика утверждений. Сведения об использовании приемника компонента для развертывания пользовательского поставщика утверждений см. в статье Пример: развертывание поставщика утверждений с помощью приемника компонента (https://go.microsoft.com/fwlink/?linkid=207590&clcid=0x419).
Значения свойств IsEnabled и IsUsedByDefault также можно переопределить с помощью командлета Set-SPClaimProviderWindows PowerShell.
Важно!
Изменение значения свойства IsEnabled на False ведет к отключению поставщика утверждений для всей фермы серверов. Это может быть полезно при поиске неисправностей, который могут быть вызваны пользовательским поставщиком утверждений. Однако обычно свойство IsEnabled должно иметь значение True.
Использование пользовательских утверждений в нескольких фермах
Значение утверждения состоит из самого утверждения, имени поставщика утверждений и порядкового номера, в котором поставщик утверждений был установлен на сервере. Поэтому, чтобы использовать утверждение в нескольких фермах или средах, в каждой такой ферме нужно установить поставщики утверждений в одинаковом порядке. После установки пользовательского поставщика утверждений в ферме, чтобы использовать утверждение в других фермах, выполните следующие действия.
Зарегистрируйте поставщики утверждений в дополнительных фермах в том же порядке, в котором они были зарегистрированы в первой ферме.
Создайте резервную копию первой фермы. Дополнительные сведения о резервном копировании фермы см. в статье Резервное копирование фермы (SharePoint Server 2010).
С помощью резервной копии первой фермы восстановите остальные фермы. Дополнительные сведения о восстановлении фермы см. в статье Восстановление фермы (SharePoint Server 2010).
Рекомендации по пользовательским поставщикам утверждений
При планировании использования пользовательских поставщиков утверждений со средством выбора людей в решении SharePoint нужно ответить на следующие вопросы.
Какие зоны имеются у веб-приложения, и какие методы проверки подлинности используются в каждой зоне?
Имеются ли какие-либо пользовательские утверждения, которые нужно добавить для пользователей с целью реализации более сложных сценариев обеспечения безопасности?
Будет ли использоваться проверка подлинности SAML с доверенным поставщиком удостоверений?
Каким будет источник значений для пользователей и ролей, представленных в результатах запросов средства выбора людей?
Какие данные утверждений будут распознаваться в диалоговом окне Выбор людей и групп?
Группа SharePoint Server 2010 Content Publishing выражает свою благодарность Стиву Пешке (Steve Peschka) за помощь в подготовке этой статьи. Его блог находится по этой ссылке (Возможно, на английском языке) (https://go.microsoft.com/fwlink/?linkid=210274&clcid=0x419) (Возможно, на английском языке).
See Also
Concepts
Планирование способов проверки подлинности (SharePoint Server 2010)