Планирование способов проверки подлинности (Office SharePoint Server)
Содержание:
Проверка подлинности
Поддерживаемые способы проверки подлинности
Настройка проверки подлинности
Планирование проверки подлинности для обхода контента
Планирование зон для проекта проверки подлинности
Выбор способов проверки подлинности, допустимых в среде
Таблица
В этой статье представлены способы проверки подлинности, поддерживаемые Microsoft Office SharePoint Server 2007. Эта статья позволяет:
понять, как реализуется проверка подлинности в Office SharePoint Server 2007.
определить способы проверки подлинности, подходящие для той или иной среды.
Проверка подлинности
Проверка подлинности — это процесс проверки личности пользователя. После проверки личности пользователя процесс проверки прав доступа определяет сайты, контент и другие возможности, к которым пользователь может получить доступ.
В службах Office SharePoint Server 2007 проверка подлинности выполняется службами IIS. После проверки подлинности пользователей службами IIS средства безопасности Office SharePoint Server 2007 выполняют проверку прав доступа.
Дополнительные сведения о внедрении Office SharePoint Server 2007 проверки прав доступа см. в разделе Планирование безопасности сайта и содержимого (Office SharePoint Server).
Планирование проверки подлинности необходимо не только для защиты того или иного решения с помощью проверки личности пользователей, но также для защиты учетных данных пользователей в сети.
Поддерживаемые способы проверки подлинности
Office SharePoint Server 2007 предусматривает гибкую и расширяемую систему проверки подлинности, которая поддерживает проверку подлинности для систем управления удостоверениями как на основе, так и не на основе операционной системы Microsoft Windows. Включая в себя модульную проверку подлинности ASP .NET, Office SharePoint Server 2007 поддерживает ряд схем проверки подлинности на основе форм. Поддержка проверки подлинности в Office SharePoint Server 2007 предусматривает ряд сценариев проверки подлинности, в том числе:
с помощью стандартных способов проверки подлинности Windows;
с помощью простой базы данных имен пользователей и паролей;
путем прямого подключения к корпоративной системе управления удостоверениями;
с помощью одного или нескольких способов проверки подлинности для доступа к партнерским приложениям (например, для проверки подлинности работников партнерской компании — подключение к системе управления удостоверениями, а для внутренних работников — использование способов проверки подлинности Windows).
путем участия в федеративных системах управления удостоверениями.
В следующей таблице представлены поддерживаемые способы проверки подлинности:
| Метод проверки подлинности | Описание | Примеры. |
|---|---|---|
Windows, |
Поддержка стандартных способов проверки подлинности Windows с помощью служб IIS. |
|
Формы среды ASP.NET |
Office SharePoint Server 2007 предусматривает дополнительную поддержку систем управления удостоверениями не на основе Windows путем интеграции с системой проверки подлинности на основе форм ASP.NET. Проверка подлинности ASP.NET позволяет Office SharePoint Server 2007 работать с системами управления удостоверениями, которые реализуют интерфейс поставщика контроля членства. Нет необходимости повторно записывать страницы администрирования безопасности или управлять теневыми учетными записями службы каталогов Active Directory. |
|
Единый вход (SSO) |
Office SharePoint Server 2007 поддерживает федеративную проверку подлинности через поставщиков единого входа. Служба единого входа обеспечивает единый вход в средах, которые включают службы, работающие на разных платформах. Нет необходимости управлять отдельными учетными записями Active Directory. |
|
Проверка подлинности системных учетных записей
Проверка подлинности с помощью форм ASP.NET и служба единого входа служат только для проверки подлинности учетных записей пользователей. Учетные записи процессов, служащие для подключения к программе базы данных Microsoft SQL Server и управления веб-фермой, должны быть учетными данными Windows даже в случае использования альтернативных способов проверки подлинности пользователей.
Office SharePoint Server 2007 поддерживает проверку подлинности SQL Server и учетные записи процессов на локальном компьютере для ферм, где не выполняется Active Directory. Например, можно ввести локальные учетные записи с помощью идентичных имен пользователей и паролей для всех серверов фермы.
Настройка проверки подлинности
В то время как настройка проверки подлинности Windows — процесс достаточно простой, настройка проверки подлинности с помощью форм ASP.NET или службы единого входа требует большего планирования. В этом разделе кратко описана процедура настройки проверки подлинности в Office SharePoint Server 2007. Эти сведения позволят разработать стратегию проверки подлинности для того или иного решения и определить лиц в компании, которые должны участвовать в планировании проверки подлинности.
Настройка проверки подлинности для веб-приложений SharePoint
Проверка подлинности в Office SharePoint Server 2007 настраивается на уровне веб-приложений SharePoint. На следующей схеме показана серверная ферма Windows SharePoint Services, которая настроена для размещения сайтов нескольких компаний. Настройка проверки подлинности выполняется отдельно для каждой компании.
.gif "Размещение служб проверки подлинности для двух разных компаний")
Вначале при создании или расширении веб-приложения число возможностей проверки подлинности ограничено (Kerberos, NTLM или анонимный доступ). Если используется один из перечисленных способов, проверку подлинности можно настроить при создании или расширении веб-приложения.
Следующий пример иллюстрирует ограниченные возможности выбора способа проверки подлинности при начальном создании или расширении веб-приложения:
.gif "Параметры проверки подлинности по умолчанию")
При использовании других параметров проверки подлинности следует выбрать параметры по умолчанию, а затем настроить проверку подлинности после создания или расширения веб-приложения. (Для этого в центре администрирования на странице управления приложениями в разделе Безопасность приложений выберите Поставщики проверки подлинности, а затем щелкните зону, чтобы открыть страницу "Изменение параметров проверки подлинности"). Задаваемые на этой странице параметры зависят от выбранного типа проверки подлинности: Windows, с помощью форм или службы единого входа.
Ниже представлен вид страницы "Изменение параметров проверки подлинности":
.gif "Страница \"Изменение параметров проверки подлинности\"")
В зависимости от параметров проверки подлинности, выбранных в центре администрирования, может понадобиться дополнительная настройка. В следующей таблице представлены шаги настройки, зависящие от выбранного способа проверки подлинности. В таблице также указано, требуются ли специальные роли в дополнение к роли администратора SharePoint.
| Метод проверки подлинности | Дополнительная конфигурация | Специализированные роли |
|---|---|---|
Анонимный режим |
Не используется |
Не используется |
Обычная проверка подлинности |
Не используется |
Не используется |
Краткая проверка |
Настройка краткой проверки подлинности непосредственно в IIS. |
Не используется |
На основе сертификатов |
|
Извлечение и настройка сертификатов администратором Windows Server 2003 |
NTLM (встроенная проверка подлинности Windows) |
Не используется |
Не используется |
Kerberos (встроенная проверка подлинности Windows) |
|
Администратор IIS |
формы, |
|
|
Служба единого входа |
Помимо выполнения шагов по настройке проверки подлинности с помощью форм ASP.NET, зарегистрируйте HTTP-модуль для поставщика единого входа. |
|
Подключение к внешним и не основанным на Windows системам управления удостоверениями
Чтобы использовать формы ASP.NET или службу единого входа для проверки подлинности пользователей в системе управления удостоверениями, которая не на основе Windows или является внешней, необходимо зарегистрировать поставщика контроля в файле web.config. Помимо поставщика контроля членства, можно также зарегистрировать управляющего ролями. В Office SharePoint Server 2007 используется стандартный интерфейс управляющего ролями ASP.NET для сбора групповых сведений о текущем пользователе. Каждая роль ASP.NET рассматривается процессом проверки прав доступа в Office SharePoint Server 2007 как группа доменов. Регистрация управляющих ролями производится в файле web.config аналогично регистрации поставщиков контроля членства для проверки подлинности.
Если требуется управлять пользователями или ролями членства из сайта центра администрирования, можно при необходимости зарегистрировать поставщика контроля членства и управляющего ролями в файле web.config для сайта центра администрирования (помимо регистрации их в файле web.config для веб-приложения, где размещено контент).
Имя поставщика членства и имя управляющего ролями, зарегистрированные в файле web.config, должны совпадать с именами, введенными на странице Authentication.aspx в центре администрирования. Если не указать управляющего ролями в файле web.config, вместо него будет использоваться поставщик по умолчанию, обозначенный файле machine.config.
Например, в следующей строке файла Web.config указан поставщик контроля членства SQL:
<membership defaultProvider="AspNetSqlMembershipProvider">
Дополнительные сведения о применении проверки подлинности с помощью форм ASP.NET для подключения к службе проверки подлинности SQL Server см. в разделе Примеры проверки подлинности.
И наконец, при использовании службы единого входа для внешней системы управления удостоверениями, необходимо также зарегистрировать HTTP-модуль для службы единого входа. HTTP-модуль — это сборка, которая вызывается при каждом запросе приложения. Вызовы HTTP-модулей происходят в рамках канала запросов ASP.NET. Дополнительные сведения см. в разделе Введение в HTTP-модули (https://go.microsoft.com/fwlink/?linkid=77954&clcid=0x419).
Интеграция с проверкой подлинности на основе форм ASP.NET налагает дополнительные требования на службу проверки подлинности. Помимо регистрации различных элементов в файле web.config, необходимо настроить поставщика контроля членства, управляющего ролями и HTTP-модуль для взаимодействия со способами Office SharePoint Server 2007 ASP.NET в соответствии со следующей таблицей:
| Категория | Описание |
|---|---|
Поставщик контроля членства |
Для работы с Office SharePoint Server 2007, поставщик контроля членства должен реализовывать следующие методы:
|
Управляющий ролями |
Управляющий ролями должен реализовывать следующие методы:
|
HTTP-модуль |
HTTP-модуль должен обрабатывать следующие события:
|
Включение анонимного доступа
Вместе с настройкой более защищенного способа проверки подлинности для веб-приложения можно включить анонимный доступ. При такой настройке администраторы сайтов в веб-приложении могут при необходимости разрешать анонимный доступ. Если анонимным пользователям понадобится доступ к защищенным ресурсам и возможностям, они могут нажать кнопку входа, чтобы ввести свои учетные данные.
Использование разных способов проверки подлинности для входа в сайт
Для входа в веб-приложения Office SharePoint Server 2007 можно настроить до пяти разных способов проверки подлинности или систем управления удостоверениями. На следующем рисунке представлено партнерское приложение, для которого настроен вход пользователей из двух разных систем управления удостоверениями. Проверка подлинности внутренних сотрудников происходит с помощью одного из стандартных способов проверки подлинности Windows. Проверка подлинности сотрудников из партнерской компании выполняется через их корпоративную систему управления удостоверениями.
.gif "Диаграмма вариантов управления проверкой подлинности")
Чтобы настроить доступ к веб-приложению с помощью двух или более разных систем проверки подлинности, необходимо настроить дополнительные зоны для веб-приложения. Зоны представляют разные логические пути получения доступа к одному и тому же физическому приложению. Что касается типичного партнерского приложения, сотрудники партнерской компании входят в приложение через сеть Интернет, в то время как внутренние сотрудники входят в него непосредственно через интрасеть.
Чтобы создать новую зону, следует расширить веб-приложение. На странице "Расширение веб-приложения до другого веб-узла IIS" в разделе URL-адрес домена со сбалансированной нагрузкой укажите URL-адрес и тип зоны. Тип зоны — это просто имя категории, применимое к зоне, которое не отражается на настройке зоны.
После расширения веб-приложения можно отдельно настроить способ проверки подлинности для новой зоны. На следующем рисунке представлена страница "Поставщики проверки подлинности" для веб-приложения, настройка которой выполняется с помощью двух различных зон. Зоной по умолчанию является зона, используемая внутренними сотрудниками. Зона сети Интернет настраивается для доступа партнера и использует формы ASP.NET для проверки подлинности сотрудников партнера через его корпоративную систему управления удостоверениями.
.gif "Веб-приложение, настроенное с двумя зонами")
Планирование проверки подлинности для обхода контента
Чтобы должным образом выполнить обходы контента в веб-приложении, необходимо знать требования к проверке подлинности компонента индексирования сервера индексирования (называемого также программой-обходчиком). В этом разделе описана процедура настройки проверки подлинности для веб-приложений, чтобы можно было должным образом выполнить обход контента в веб-приложениях.
Когда администратор фермы создает веб-приложение, используя только параметры по умолчанию, зона по умолчанию для веб-приложения будет настроена на использование NTLM. Администратор фермы может изменить способ проверки подлинности для зоны по умолчанию на способ проверки подлинности, поддерживаемый Office SharePoint Server 2007.
Кроме того, администратор фермы может расширить веб-приложение один или несколько раз, чтобы включить дополнительные зоны. С определенным веб-приложением можно связать до пяти зон, и для каждой из них можно настроить использование любого из способов проверки подлинности, поддерживаемых Office SharePoint Server 2007.
По умолчанию при обходе контента программа-обходчик использует NTLM. Администратор службы поиска также может создать правило, чтобы настроить программу-обходчик для использования вместо NTLM другого метода проверки подлинности, например, обычной проверки или клиентского сертификата при обходе того или иного диапазона URL-адресов. Дополнительные сведения о правилах обхода см. в разделе Планирование обхода содержимого (Office SharePoint Server).
Порядок получения программой-обходчиком доступа к зонам
При планировании зон для веб-приложения предусмотрите порядок опроса, согласно которому программа-обходчик получает доступ к зонам при попытке проверки подлинности. Порядок опроса имеет значение, поскольку, если программа-обходчик встречает зону, настроенную на использование Kerberos или краткой проверки подлинности, которая не использует стандартный порт (80 или 443), проверка подлинности выполнена не будет, а программа обходчик не перейдет к следующей зоне порядка опроса. В этом случае обход контента в приложении выполнен не будет.
Совет
Способ проверки подлинности, настроенный для программы-обходчика, должен предшествовать в порядке опроса зоне, настроенной для проверки подлинности Kerberos и использующей нестандартный порт, или краткой проверке подлинности.
Программа-обходчик опрашивает зоны в следующем порядке:
Зона по умолчанию
Зона интрасети
Зона Интернет
Пользовательская зона
Зона экстрасети
На следующем рисунке показаны решения, принимаемые системой проверки подлинности при попытке программы-обходчика выполнить проверку подлинности:
Как программа-обходчик опрашивает зоны
.gif "Используемый обходчиком порядок опроса")
В следующей таблице представлены действия, связанные с каждой выноской на рисунке:
| Номер пункта | Действие |
|---|---|
1 |
Программа-обходчик пытается выполнить проверку подлинности с помощью зоны по умолчанию. Примечание Программа-обходчик при проверке подлинности сначала всегда пытается использовать зону по умолчанию. |
2 |
Если способы проверки подлинности, настроенные для программы-обходчика и зоны, одинаковы, программа-обходчик проходит проверку подлинности и переходит к этапу проверки прав доступа. В противном случае нужно перейти к этапу 3. |
3 |
Если зона настроена на проверку подлинности Kerberos, перейдите к шагу 4. В противном случае перейдите к шагу 5. |
4 |
Если зона настроена на использование порта 80 или 443, выполняется проверка подлинности обходчика, и начинается фаза авторизации. В противном случае проверка подлинности завершается неудачно, и программа-обходчик не будет пытаться выполнить проверку подлинности с помощью другой зоны. Это означает, что обход контента выполнен не будет. |
5 |
Если в порядке опроса больше нет зон, проверка подлинности выполнена не будет, и обход контента не будет произведен. В противном случае нужно перейти к этапу 6. |
6 |
Программа-обходчик пытается выполнить проверку подлинности с помощью следующей зоны в порядке опроса. Вернитесь к этапу 2. |
Если для зоны по умолчанию настроить способ проверки подлинности, который не поддерживается программой-обходчиком — например, на основе службы единого входа — необходимо создать хотя бы одну дополнительную зону и настроить ее для использования сертификатов, обычной проверки подлинности, Kerberos с использованием стандартного порта или NTLM. Если для обхода веб-приложения используется проверка подлинности на основе сертификатов или обычная проверка подлинности, администратор службы поиска должен создать правило обхода, чтобы настроить программу-обходчик на использование соответствующего способа проверки подлинности при обходе веб-приложения. Изучите нижеприведенный сценарий.
Сценарий проверки подлинности
Администратор фермы создает веб-приложение и настраивает для него проверку подлинности с помощью форм. Поскольку администратору фермы необходим обход и индексирование контента веб-приложения, а также поскольку программе-обходчику требуется зона, для которой настроены NTLM, обычная проверка подлинности или сертификаты, администратор фермы расширяет веб-приложение и настраивает зону интрасети на использование NTLM.
При попытке программой-обходчиком выполнить проверку подлинности с помощью зоны по умолчанию система проверки подлинности обнаруживает, что для программы-обходчика и зоны настроены разные способы проверки подлинности. Поскольку для зоны не настроены ни Kerberos с использованием нестандартного порта, ни краткая проверка подлинности, и существует, по крайней мере, еще одна зона в порядке опроса, программа-обходчик будет пытаться выполнить проверку подлинности с помощью зоны интрасети. Поскольку зона интрасети настроена на использование NTLM, а программа-обходчик также использует NTLM, проверка подлинности по умолчанию завершается успешно.
Учтите, что, если администратор фермы настроил для зоны интрасети обычную проверку подлинности вместо NTLM, администратору службы поиска необходимо будет создать правило обхода, чтобы настроить программу-обходчик на использование обычной проверки подлинности при обходе определенного веб-приложения. В противном случае проверка подлинности выполнена не будет, а следовательно, контент останется необойденным. Аналогично, если администратор фермы настроил для зоны интрасети клиентский сертификат, администратору службы поиска будет необходимо создать правило обхода, чтобы настроить программу-обходчик на использование клиентского сертификата при обходе определенного веб-приложения. Кроме того, администратор фермы должен зарегистрировать клиентский сертификат на сервере индексирования; в противно случае проверка подлинности выполнена не будет, а контент останется необойденным.
Совет
Для эффективного планирования проверки подлинности в веб-приложениях и обхода их контента требуется совместная работа администратора фермы, создающего веб-приложения, и администраторов службы поиска, настраивающих программу-обходчик.
Помните, что, если настроить для зоны обычную проверку подлинности или сертификаты, а программа-обходчик будет выполнять проверку подлинности с помощью этой зоны, администратор службы поиска должен создать правило обхода, чтобы настроить для программы-обходчика тот же способ проверки подлинности, что и для зоны, с помощью которой будет производится проверка подлинности. В противном случае программа-обходчик будет пытаться использовать следующую доступную зону.
Помимо правильной настройки способа проверки подлинности, необходимо разрешить программе-обходчику обходить контент в веб-приложении. Администратор службы поиска должен проследить, чтобы у учетной записи для доступа к контенту было разрешение на чтение контента, доступного через эту зону. Администратор фермы может это сделать, создав политику, которая дает учетной записи для доступа к контенту разрешение на чтение в определенном веб-приложении.
Планирование зон для проекта проверки подлинности
Если в веб-приложении планируется реализация более одного способа проверки подлинности с помощью зон, придерживайтесь следующих принципов:
Для реализации наиболее безопасных параметров проверки подлинности используйте зону по умолчанию. Если запрос невозможно связать с определенной зоной, применяются параметры проверки подлинности и другие политики безопасности зоны по умолчанию. Зона по умолчанию — это зона, созданная при первом создании веб-приложения. Обычно наиболее безопасные параметры проверки подлинности предназначены для доступа конечных пользователей. Следовательно, зона по умолчанию, как правило, будет использоваться конечными пользователями.
Используйте минимальное число зон, которое требуется для приложения. Каждая зона связана с новым сайтом и доменом IIS для доступа к веб-приложению. Новые точки доступа следует добавлять только при необходимости.
Если требуется включение контента веб-приложения в результаты поиска, должна быть настроена хотя бы одна зона на использование проверки подлинности NTLM. Проверка подлинности NTLM требуется для обхода компонентом индексирования контента. Не следует без необходимости создавать выделенную зону для компонента индексирования.
Выбор способов проверки подлинности, допустимых в той или иной среде
Помимо знания процедуры настройки проверки подлинности, планирование проверки подлинности включает в себя:
учет контекста или среды безопасности веб-приложения в Office SharePoint Server 2007;
оценку рекомендаций и компромиссных вариантов по каждому из способов;
знание процедуры кэширования и использования учетных данных и связанных данных удостоверения в Office SharePoint Server 2007;
знание процедуры управления учетными записями пользователей;
обеспечение совместимости способов проверки подлинности с веб-браузерами, применяемыми пользователями.
| Действие листа |
|---|
Воспользуйтесь формой Таблица "Способы проверки подлинности" (на английском языке) (https://go.microsoft.com/fwlink/?linkid=77970&clcid=0x419) (на английском языке) для определения тех способов проверки подлинности, что будут поддерживаться в вашей среде, а также для записи своих решений и рекомендаций по каждому из них. Эта таблица будет использоваться при планировании способов проверки подлинности для отдельных веб-приложений в Office SharePoint Server 2007. |
Рекомендации для отдельных сред безопасности
Выбор способов проверки подлинности главным образом зависит от контекста безопасности того или иного приложения. В следующей таблице представлены рекомендации для основных сред безопасности:
| Среда | Рекомендации |
|---|---|
Внутренняя интрасеть |
Как минимум, следует защитить учетные данные пользователей от открытого доступа. Выполните интеграцию с системой управления пользователями, внедренной в данной среде. Если внедрена служба Active Directory, следует использовать способы проверки подлинности Windows, встроенные в IIS. |
Внешняя безопасная среда для совместной работы |
Настройте отдельную зону для каждой партнерской компании, которая подключается к сайту. Используйте службу единого входа для проверки подлинности с помощью корпоративных систем управления удостоверениями партнеров. Это устраняет необходимость создавать учетные записи в вашей системе управления удостоверениями, и обеспечивает хранение и проверку удостоверений участников сотрудниками партнеров. Если участник больше не занят в партнерской компании, ему будет отказано в доступе к партнерскому приложению. |
Внешний анонимный доступ |
Включите внешний анонимный доступ (проверка подлинности отсутствует) и назначьте разрешения "Только чтение" для пользователей, которые подключаются из сети Интернет. Если требуется включить целевой контент или контент на основе ролей, можно использовать проверку подлинности с помощью форм ASP.NET для регистрации пользователей через простую базу данных имен и ролей пользователей. Используйте процедуру регистрации для определения пользователей по ролям (например доктор, пациент или фармацевт). Когда пользователи входят в систему, в сайте будет отображаться контент, относящийся к роли пользователя. Согласно этому сценарию, в ходе проверки подлинности не проверяются учетные данные и не ограничивается доступ к контенту; процедура проверки подлинности просто обеспечивает выбор целевой аудитории для контента. |
Рекомендации и компромиссные решения для способов проверки подлинности
Знание преимуществ, рекомендаций и компромиссных вариантов для каждого способа проверки подлинности позволяет выбирать способы для использования в той или иной среде. В следующей таблице представлены рекомендации и компромиссные решения для каждого способа проверки подлинности. Дополнительные сведения о каждом из способов проверки подлинности Windows, поддерживаемых службами IIS, см. в разделе Проверка подлинности IIS (на английском языке) (https://go.microsoft.com/fwlink/?linkid=78066&clcid=0x419) (на английском языке).
| Метод проверки подлинности | Преимущества и рекомендации | Компромиссные решения |
|---|---|---|
Windows |
|
|
Формы среды ASP.NET |
|
|
Служба единого входа |
|
|
Управление идентификационными сведениями пользователей
Способ обработки и использования учетных данных пользователей и других идентификационных сведений службами Office SharePoint Server 2007 может оказывать влияние на выбор параметров проверки подлинности, оптимальных для той или иной цели. В этом разделе описывается процедура обработки идентификационных сведений в следующих категориях:
Двоичные идентификаторы Как двоичные идентификаторы пользователей создаются и используются службами Office SharePoint Server 2007.
Кэширование Процесс сохранения удостоверения пользователя на определенный период времени во избежание повторения проверки подлинности для каждого запроса.
Членство в роли или группе Помимо определения личности пользователей, процедура проверки подлинности также устанавливает группы или роли, в которые входит пользователь. Эти сведения используются в ходе процесса проверки прав доступа для определения действий, на выполнение которых у пользователя есть разрешения. В целях проверки прав доступа службы Office SharePoint Server 2007 принимают группы Active Directory и роли ASP.NET за один тип объекта.
В следующей таблице описывается, как службы Office SharePoint Server 2007 управляют двоичными идентификаторами пользователей, кэшированными данными пользователей и данными о членстве в ролях и группах в зависимости от используемого способа проверки подлинности:
| Поз. | Проверка подлинности Windows | Формы ASP.NET и единый вход |
|---|---|---|
Двоичные идентификаторы |
В службах Office SharePoint Server 2007 используется идентификатор безопасности Windows (SID). |
В службах Office SharePoint Server 2007 создается уникальный двоичный идентификатор путем комбинации имени поставщика и имени пользователя. |
Кэширование |
Учетные данные пользователей помещаются в кэш и управляются службами IIS, Internet Explorer и Windows. |
В среде ASP.NET используется зашифрованный файл cookie для хранения учетных данных пользователя на протяжении сеанса. |
Членство в роли и группе |
Система Windows хранит перечень доменных групп Active Directory, в которые входит пользователь, в маркере доступа. Службы Office SharePoint Server 2007 используют сведения, хранимые в таком маркере доступа. |
При регистрации управляющего ролями службы Windows SharePoint Services используют стандартный интерфейс управляющего ролями для сбора сведений о группе текущего пользователя. Каждая роль ASP.NET рассматривается процессом проверки прав доступа как доменная группа. В среде ASP.NET роли, в которые входит пользователь, могут сохраняться в файле cookie в зависимости от настроенных в файле Web.config параметров. |
Управление учетными записями пользователей
Знание процедуры обработки службами Office SharePoint Server 2007 типичных заданий по управлению учетными записями пользователей также может оказывать влияние на выбор способа проверки подлинности. Обычно пользователи, являющиеся членами службы проверки подлинности в одной зоне, могут управлять учетными записями во всех зонах, если у них есть на то разрешения. Сведения следующего списка применимы независимо от реализуемого способа проверки подлинности:
Добавление и приглашение новых пользователей Можно добавить или пригласить нового пользователя из любой зоны и всех настроенных способов проверки подлинности, если поставщик контроля членства и управляющий ролями зарегистрированы в текущем файле Web.config. При добавлении нового пользователя службы Office SharePoint Server 2007 разрешают имя пользователя с помощью следующих источников и в следующем порядке:
Таблица UserInfoList, хранимая в службах Office SharePoint Server 2007. Сведения о пользователях появятся в этом списке, если пользователи уже добавлены в другой сайт.
Служба проверки подлинности, настроенная для текущей зоны. Например, если пользователь является членом службы проверки подлинности, настроенной для зоны по умолчанию, службы Office SharePoint Server 2007 сначала проверят этого связанного поставщика контроля членства.
Все прочие службы проверки подлинности
Удаление пользователей Учетные записи пользователей помечаются как удаленные в базе данных служб Office SharePoint Server 2007. Но запись пользователя при этом не удаляется.
Некоторые действия по управлению учетными записями пользователей в службах Office SharePoint Server 2007 различаются в зависимости от службы проверки подлинности. В следующей таблице представлен ряд основных задач учетных записей пользователей, которые различаются в зависимости от реализуемого способа проверки подлинности:
| Задача | Учетные записи с проверкой подлинности Windows | Учетные записи с проверкой подлинности на основе форм ASP.NET и службы единого входа |
|---|---|---|
Добавление и приглашение новых пользователей |
Службы Office SharePoint Server 2007 проверяют удостоверения пользователей с помощью Active Directory. |
Службы Office SharePoint Server 2007 вызывают поставщика контроля членства и управляющего ролями, чтобы проверить, существуют ли пользователь и роли. |
Изменение имен для входа |
Измененные имена пользователей автоматически распознаются службами Office SharePoint Server 2007. В таблицу UserInfoList новые записи не добавляются. |
Прежде чем добавить новое имя учетной записи необходимо удалить ее прежнее имя. При этом перенос разрешений невозможен. |
Вход в систему |
Если используется встроенная проверка подлинности Windows (Kerberos или NTLM), а для веб-браузера настроен автоматический вход в систему, пользователям не придется вручную входить в сайты SharePoint. Internet Explorer по умолчанию настроен на автоматический вход в сайты интрасети. Если требуется вход в систему (например для сайтов, предусматривающих другой набор учетных данных), у пользователей будут запрошены только имя пользователя и пароль. Однако, если используется обычная проверка подлинности, или если веб-браузер пользователя не настроен на автоматический вход в систему, у пользователей могут быть запрошены учетные данные при входе в сайт SharePoint. |
В службах Office SharePoint Server 2007 предусмотрена стандартная страница для входа в систему с использованием проверки подлинности на основе форм. Эта страница включает следующие поля: имя пользователя, пароль, автоматический вход в систему (сохранение файла cookie). Возможно создание своей страницы для входа в систему, чтобы добавить элементы управления входом в систему (например для создания новой учетной записи или сброса пароля). |
Поддержка веб-браузера
Поддерживаемые способы проверки подлинности действуют не со всеми веб-браузерами. Перед выбором способов проверки подлинности для использования в той или иной среде определите те веб-браузеры, которые должны поддерживаться. Далее, определите способы проверки подлинности, поддерживаемые веб-браузерами. Internet Explorer работает со всеми поддерживаемыми способами проверки подлинности. К числу других веб-браузеров, поддерживаемых в службах Office SharePoint Server 2007, относятся:
Netscape 8.0
Netscape 7,2
Mozilla 1.7.12
Firefox 1.5
Safari 2,02
Форма
Заносите в следующую таблицу способы проверки подлинности, подходящие для вашей среды:
- Таблица "Способы проверки подлинности" (на английском языке) (https://go.microsoft.com/fwlink/?linkid=77970&clcid=0x419) (на английском языке)
Далее представлен пример заполненной таблицы:
| Метод проверки подлинности | Разрешить | Не разрешать | Примечания и рекомендации |
|---|---|---|---|
Анонимный |
Х |
||
Стандартная |
Х |
||
Краткая проверка |
Х |
||
Сертификаты |
Х |
||
NTLM (встроенная проверка подлинности Windows) |
Х |
*"Используйте NTLM для сайтов всех отделов, кроме финансового".* |
|
Kerberos (встроенная проверка подлинности Windows) |
Х |
*"Используйте проверку подлинности Kerberos для сайтов, соглашение об уровне обслуживания которых предполагает повышенную безопасность".* |
|
Формы среды ASP.NET |
Х |
*"Используйте проверку подлинности на основе форм, чтобы сотрудники партнерской компании могли войти в сайты, размещенные в экстрасети партнера. В настоящий момент допустима проверка подлинности с помощью следующих систем управления удостоверениями: Active Directory, LDAP. Вместе с Сидни Хайга (Sidney Higa) разработайте параметры проверки подлинности для использования с проверкой подлинности на основе форм".* |
|
Служба единого входа |
Х |
*"Используйте этот способ для партнерских приложений, только если партнерская компания состоит в федеративных системах управления удостоверениями. Дополнительные сведения см. в разделе Дэвида Джонса (David Jones)".* |
Дополнительные примечания: "Обратитесь к Дэнис Смит (Denise Smith) для утверждения всех параметров проверки подлинности перед внедрением веб-приложений SharePoint".
Загрузить эту книгу
Для упрощения чтения и печати эта тема включена в следующую загружаемую книгу:
См. полный список доступных книг на веб-сайте Загружаемые материалы для Office SharePoint Server 2007.