Планирование сопоставлений альтернативного доступа для SharePoint Server

**Применимо к:**SharePoint Foundation 2013, SharePoint Server 2013, SharePoint Server 2016

**Последнее изменение раздела:**2017-05-30

Сводка. Сведения о том, как планировать сопоставления альтернативного доступа в SharePoint 2013.

Сопоставления альтернативного доступа направляют пользователей на правильные URL-адреса при взаимодействии с SharePoint Server 2016 (например, во время просмотра домашней страницы веб-сайта SharePoint Server 2016). Сопоставления альтернативного доступа позволяют SharePoint Server 2016 сопоставлять веб-запросы с нужными веб-приложениями и сайтами, а также позволяют SharePoint Server 2016 передавать необходимый контент пользователям.

Так как возможности сопоставлений альтернативного доступа больше не поддерживаются, не рекомендуется использовать семейства веб-сайтов с именем на основе узла вместо сопоставлений альтернативного доступа.

Дополнительные сведения о планировании семейств веб-сайтов с именем на основе узла см. в статье Архитектура и развертывание семейства сайтов с именем на основе узла в SharePoint Server.

В этой статье

• Сведения о сопоставлениях альтернативного доступа

• Публикация обратного прокси-сервера

• Интеграция сопоставлений альтернативного доступа с поставщиками проверки подлинности

• Интеграция сопоставлений альтернативного доступа с политиками веб-приложений

• Сопоставление альтернативного доступа и сопоставление с внешними ресурсами

Сопоставления альтернативного доступа реализованы, поскольку существовали распространенные сценарии развертывания в Интернете, в которых URL-адрес веб-запроса, получаемого IIS, отличается от URL-адреса, введенного пользователем. Это чаще всего происходило в сценариях развертывания, включающих публикацию обратного прокси-сервера и балансировку нагрузки.

Сведения о сопоставлениях альтернативного доступа

Сопоставления альтернативного доступа позволяют веб-приложению, получающему запрос внутреннего URL-адреса в одной из пяти зон, возвращать страницы, содержащие ссылки не общедоступный URL-адрес для зоны. Веб-приложение можно связать с помощью коллекции сопоставлений между внутренними и общедоступными URL-адресами. Внутренний URL-адрес означает URL-адрес веб-запроса, который принимается SharePoint Server 2016. Общедоступный URL-адрес — это URL-адрес, на основе которого SharePoint будет форматировать ссылки, которые соответствуют запросам, совпадающим с одним из внутренних URL-адресов в этой зоне при возврате ответа. Общедоступный URL-адрес — это базовый URL-адрес, используемый SharePoint Server 2016 на возвращаемых страницах. Если внутренний URL-адрес изменен обратным прокси-сервером, он может отличаться от общедоступного URL-адреса.

Несколько внутренних URL-адресов можно связать с одним общедоступным URL-адресом. Коллекции сопоставлений могут содержать до пяти зон проверки подлинности. Однако в каждой зоне может быть только один общедоступный URL-адрес. Коллекции сопоставлений соответствуют приведенным ниже зонам проверки подлинности.

• По умолчанию

• Intranet

• Интернет

• Настраиваемая

• Экстрасеть

Публикация обратного прокси-сервера

Обратный прокси-сервер — это устройство, расположенное между пользователями и веб-сервером. Все запросы веб-сервера сначала принимаются обратным прокси-сервером. Если они проходят фильтр безопасности прокси-сервера, он передает запросы на веб-сервер.

Интеграция сопоставлений альтернативного доступа с поставщиками проверки подлинности

Сопоставления альтернативного доступа позволяют предоставить доступ к веб-приложению в максимум пяти разных зонах, при этом каждый веб-сайт IIS поддерживает каждую зону.

Эти зоны не только позволяют использовать несколько URL-адресов для доступа к одному веб-приложению, но и позволяют использовать для этого несколько поставщиков проверки подлинности.

При расширении веб-приложения в зону можно использовать проверку подлинности Windows, предоставленную IIS. После расширения веб-приложения в зону вы можете настроить зону для использования другого типа проверки подлинности.

Чтобы изменить конфигурацию проверки подлинности для зоны, используйте приведенную ниже процедуру.

Изменение типа проверки подлинности для зоны

1. В разделе Администрирование откройте Центр администрирования.

2. На домашней странице Центр администрирования щелкните Управление приложениями.

3. На странице Управление приложениями в разделе Безопасность приложений щелкните Поставщики проверки подлинности.

4. На странице Поставщики проверки подлинности выберите веб-приложение, указанное в поле Веб-приложение.

5. Щелкните имя зоны, для которой требуется изменить конфигурацию проверки подлинности.

   Примечание

   Вы сможете выбрать только зоны, для которых существует поддерживающий веб-сайт IIS. Эти зоны назначены веб-сайту IIS при выполнении процедуры расширения существующего веб-приложения.

6. На странице Изменение параметров проверки подлинности в разделе Типы проверки подлинности на основе утверждений выберите один из приведенных ниже типов проверки подлинности, который будет использоваться для этой зоны.

   • Проверка подлинности Windows (по умолчанию)

   • Обычная проверка подлинности

   • Проверка подлинности на основе форм (FBA)

   • Доверенный поставщик удостоверений

7. Измените все другие необходимые параметры проверки подлинности и нажмите кнопку Сохранить.

После этого можно изменить настройки проверки подлинности для любой другой зоны. Вы можете настроить полностью независимые параметры проверки подлинности в разных зонах, обращающихся к одному и тому же контенту. Например, можно настроить определенный контент для анонимного доступа, а для другого контента требовать ввод учетных данных. Вы можете включить анонимный доступ для одной зоны и отключить все другие виды проверки подлинности — это гарантирует, что будет доступен только анонимный контент. В то же время для другой зоны анонимный доступ может быть отключен, а проверка подлинности NTLM может быть включена — это гарантирует, что будет разрешен только доступ с проверкой подлинности. Кроме того, можно предоставить доступ к одному контенту для разных типов учетных записей: одну зону можно настроить для использования учетных записей Active Directory в Windows, а другую зону — для использования других учетных записей Active Directory, применяющих проверку подлинности на основе форм ASP.NET.

Интеграция сопоставлений альтернативного доступа с политиками веб-приложений

Политики веб-приложений позволяют администраторам предоставлять или запрещать доступ к учетным записям и группам безопасности для всех сайтов, доступных в зоне. Это может быть полезно для многих сценариев.

Например, поисковый модуль SharePoint Server 2016 должен пройти такую же авторизацию, как и любой другой пользователь: он может обходить только тот контент, к которому у него есть доступ. Однако пользователи хотели бы искать и ограниченный контент, чтобы авторизованные пользователи могли найти его в результатах поиска. Служба поиска использует политику "Чтение любых элементов" в веб-приложениях, чтобы предоставить поисковому модулю разрешения для чтения всего контента в них. Таким образом она может выполнять обход, а также индексировать весь существующий и будущий контент, даже тот, к которому у администратора нет явного доступа.

Другой пример — персонал службы поддержки, которому требуется административный доступ к сайтам SharePoint Server 2016, чтобы помогать пользователям. Для этого можно создать политику веб-приложения, предоставляющую сотрудникам службы поддержки разрешение "Полный доступ", чтобы у них был административный доступ ко всем текущим и будущим сайтам в веб-приложении.

Поскольку политики привязаны как к веб-приложениям, так и к их зонам, вы можете гарантировать, что политика, примененная к одной зоне, не будет влиять на другие зоны. Это может быть полезно, если контент предоставляется в корпоративной сети и в Интернете. Например, предположим, что вы предоставили службе поддержки разрешение "Полный доступ" для зоны веб-приложения, которая назначена корпоративной сети. Если кто-то попытается использовать эту учетную запись для доступа к сайту через Интернет, политика полного доступа не будет применяться, так как она определит, что URL-адрес находится в другой зоне. Таким образом, учетная запись не получит автоматически административный доступ к сайту.

Сопоставление альтернативного доступа и сопоставление с внешними ресурсами

SharePoint Server 2016 позволяет расширить функциональность сопоставлений альтернативного доступа для контента, который размещен за пределами фермы SharePoint Server 2016. Чтобы настроить эти возможности, откройте страницу Сопоставления для альтернативного доступа и нажмите кнопку Сопоставить с внешним ресурсом. Затем появится запрос на создание записи для внешнего ресурса, который можно представить как другое веб-приложение. После получения внешнего ресурса вы можете назначить ему различные URL-адреса и зоны так же, как и для других веб-приложений. Эта функция не используется в SharePoint Server 2016, но сторонние продукты, основанные на SharePoint Server 2016, могут ее применять.

Например, технология поиска в SharePoint Server 2016 может обходить внешний для фермы контент, например общие файловые ресурсы и веб-сайты. Если этот контент доступен по разным URL-адресам в различных сетях, поиск должен возвращать результаты с использованием соответствующих URL-адресов для текущей сети пользователя. При использовании технологии сопоставления с внешними ресурсами поиск может повторно сопоставлять внешние URL-адреса в результатах в соответствии с зоной пользователя.

See also

Настройка альтернативных сопоставлений доступа для SharePoint Server