Планирование параметров проверки подлинности веб-приложений в Office SharePoint Server
Содержание:
Планирование параметров проверки подлинности
Планирование исключений проверки подлинности
Таблица
В этой статье обсуждаются параметры проверки подлинности, которые нужно запланировать для отдельных веб-приложений в Microsoft Office SharePoint Server 2007. Ее следует использовать вместе с Таблицей настроек проверки подлинности веб-приложения (на английском языке) (https://go.microsoft.com/fwlink/?linkid=73334&clcid=0x419). Для каждого из следующих элементов проекта решения Office SharePoint Server 2007 заполняется отдельная таблица:
Новые или расширенные веб-приложения в Office SharePoint Server 2007.
Дополнительные зоны в рамках веб-приложения (отличных от зоны по умолчанию). Включите зоны, созданные для учетной записи поиска.
Планирование параметров проверки подлинности
В этом разделе рассматриваются все параметры, доступные на странице "Изменение параметров проверки подлинности" на веб-сайте центра администрирования SharePoint. Для перехода на эту страницу на странице "Управление приложениями" в разделе Безопасность приложений щелкните Поставщики проверки подлинности. Щелкните зону, для которой следует изменить параметры проверки подлинности. Открывается страница "Изменение параметров проверки подлинности".
В зависимости от выбранных параметров проверки подлинности возможно бывает указать настройки непосредственно при создании или расширении веб-приложения в Office SharePoint Server 2007. Однако в этот момент доступны не все параметры. Если при создании или расширении веб-приложения невозможно настроить проверку подлинности, можно принять настройки по умолчанию, а затем изменить настройки на странице "Изменение параметров проверки подлинности".
Тип проверки подлинности
Выберите предпочтительный метод. Если вместо указанного в этом разделе метода проверки подлинности предполагается разрешить анонимный доступ, выберите проверку подлинности Windows.
Если выбран методWindows, укажите метод проверки подлинности Windows в разделе Параметры проверки подлинности IIS на странице "Изменение параметров проверки подлинности". Если выбрать Формы или Единый вход, параметры на странице "Изменение параметров проверки подлинности" меняются и позволяют ввести имя поставщика контроля членства и диспетчера ролей.
Чтобы использовать проверку подлинности с помощью сертификата или проверку Kerberos, изучите следующую таблицу и определите, какие дополнительные этапы конфигурации необходимы для настройки этих методов.
| Метод проверки подлинности | Дополнительная конфигурация | Специализированные роли |
|---|---|---|
Сертификаты |
|
Администратор Microsoft Windows Server 2003: для получения и настройки сертификатов |
Kerberos (встроенная проверка подлинности Windows) |
|
Администратор IIS |
| Работа с таблицей |
|---|
Запишите дополнительные параметры конфигурации в раздел Дополнительная конфигурация в таблице Параметры проверки подлинности веб-приложения (на английском языке) (https://go.microsoft.com/fwlink/?linkid=73334&clcid=0x419). |
Анонимный доступ
Укажите, разрешен ли анонимный доступ. Если в разделе Тип проверки подлинности выбран метод Формы или Единый вход, установите флажок Разрешить анонимный доступ.
Интеграция клиента
Интеграцию клиента можно отключить, и таким образом удалить функции запуска клиентских приложений. Это оптимальная настройка для определенных ситуаций, например, для публикации на веб-сайте с анонимным доступом контента, предназначенного только для чтения. Кроме того, если выбрана проверка подлинности на основе форм ASP.NET или единого входа, интеграция клиента отключается по умолчанию.
Если вы установили Microsoft Office SharePoint Server 2007 с пакетом обновления 2 (SP2), интеграция клиента поддерживается за исключением интеграции с Outlook. Поддерживается интеграция со всеми другими клиентами, в том числе разработка в SharePoint Designer.
Примечание
Если Office SharePoint Server 2007 с пакетом обновления 2 (SP2) не установлен, при использовании проверки подлинности на основе форм интеграция клиента по умолчанию будет отключена. Это обусловлено тем, что изначально до версии Office SharePoint Server 2007 с пакетом обновления 2 (SP2) такая проверка подлинности не поддерживается.
Предполагаемое поведение при отключении интеграции клиента
При отключении интеграции клиента сайты работают следующим образом:
Ссылки, запускающие клиентские приложения, не видны.
Документы открываются в браузере. С помощью клиентских приложений их открыть нельзя.
Пользователи не могут редактировать документы с сайта непосредственно из клиентских приложений. При этом пользователи могут загрузить документ, отредактировать его локально, а затем снова передать на сайт.
В следующей таблице перечислены команды и возможности меню, недоступные при отключении функции интеграции клиента.
| Категория | Недоступная команда или возможность |
|---|---|
Панели инструментов |
Создать документ Работа в Microsoft Office Outlook Открыть в проводнике Windows Экспортировать в электронную таблицу Открыть в программе управления базами данных |
Правка документов |
Правка в приложениях Microsoft Office, например, Word и Excel. |
Представления |
Представление проводника Создать представление Access |
Библиотеки рисунков |
Отправить несколько Изменить рисунок Загрузить Отправить |
Библиотеки слайдов |
Опубликовать слайд Отправить в Microsoft Office PowerPoint |
Другие |
Обсудить Подключиться к Office Outlook |
Поведение отдельных методов проверки подлинности
Кроме сценария развертывания (например, публикации предназначенного только для чтения контента), выбор метода проверки подлинности может определять способ настройки интеграции клиента. Некоторые методы проверки подлинности иначе работают с клиентскими приложениями. Иногда их поведение зависит от того, используют ли клиентские браузеры постоянные или сеансовые файлы cookie.
В следующей таблице кратко описаны потенциальные модели поведения интеграции клиента при использовании с определенными методами проверки подлинности.
| Метод проверки подлинности | Поведение |
|---|---|
Стандартная |
Пользователям предлагается ввести свои учетные данные при каждом открытии документа. Для доступа к другим функциям тоже, возможно, также придется вводить учетные данные. |
Формы ASP.NET и единый вход |
При выполнении следующих условий создается постоянный файл cookie:
Постоянный файл cookie используется всеми приложениями, использующими одно и то же хранилище cookie, поэтому пользователь может открывать все документы в этих клиентских приложениях. Для постоянного файла cookie значение времени ожидания по умолчанию — 30 минут. Это значение можно изменить, добавив или обновив параметр времени ожидания в узле форм в файле Web.config. Например:
Когда время файла cookie истекает, функция интеграции клиента завершает работу. Если пользователь в этот момент работает в браузере, он получает запрос на повторный ввод учетных данных. Если поставщик проверки подлинности не поддерживает постоянные файлы cookie, а пользователь не устанавливает флажок Автоматический вход при входе в систему, используется сеансовый файл cookie. Он доступен только из браузера. Пользователь не сможет открывать документы непосредственно в клиентских приложениях. Если поставщик проверки подлинности не поддерживает постоянные файлы cookie, или если они не разрешены в определенной среде, интеграцию клиента нужно отключить. Например, постоянные файлы cookie не поддерживаются службами федерации Active Directory (AD FS). |
Анонимный |
При открытии документа пользователям неоднократно предлагается ввести учетные данные. Если нажать кнопку Отмена в диалоговом окне проверки подлинности 10 раз, сайт может открыть документ с использованием клиентского приложения. Поскольку это отрицательно влияет на качество работы пользователя, рекомендуется отключить интеграцию клиента в ситуациях анонимного доступа. |
Использование операционной системы Windows Vista с Internet Explorer 7
В Windows Vista Internet Explorer 7 предлагает дополнительную возможность обеспечения безопасности, которая называется "защищенным режимом". По умолчанию защищенный режим включен для зон Интернета, интрасети и ограниченных сайтов. Поскольку эта функция размещает постоянные файлы cookie в месте, где запрещено совместное использование данных в разных приложениях, интеграция клиента не будет работать должным образом.
Для настройки работы Internet Explorer 7 с функцией интеграции клиента используйте один из следующих методов:
Отключите защищенный режим.
Если защищенный режим включен, добавьте сайты SharePoint в зону надежных сайтов Internet Explorer.
Сведения об отключении защищенного режима см. в разделе "Настройка защищенного режима" в статье Основные сведения и методы работы в защищенном режиме Internet Explorer (на английском языке) (https://go.microsoft.com/fwlink/?linkid=78098&clcid=0x419) (на английском языке).
Тестирование параметров интеграции клиентов
При наличии сомнений о правильности настройки параметров интеграции клиента выполните тестирование результатов в тестовой среде до развертывания сайтов в рабочей среде. При изменении этого параметра после его применения сайты и клиентские приложения могут вести себя необычно.
| Работа с таблицей |
|---|
В таблице Параметры проверки подлинности веб-приложений (на английском языке) (https://go.microsoft.com/fwlink/?linkid=73334&clcid=0x419) в разделе Включить интеграцию клиентов (Enable Client Integration) выберите Да (Yes) или Нет (No). |
Параметры проверки подлинности на основе форм ASP.NET и единого входа
При внедрении проверки подлинности на основе форм ASP.NET или единого входа необходимо разработать настройки конфигурации для вставки в применимые файлы Web.config. Примеры правильно настроенных для нескольких распространенных ситуаций строк см. в статье Примеры проверки подлинности.
| Работа с таблицей |
|---|
В таблице Параметры проверки подлинности веб-приложений (на английском языке) (https://go.microsoft.com/fwlink/?linkid=73334&clcid=0x419) введите следующие два типа данных:
|
Убедитесь, что имена поставщика контроля членства MembershipProvider и диспетчера ролей RoleManager, зарегистрированные в файле Web.config, совпадают с именами, введенными на странице authentication.aspx центра администрирования. Если не ввести имя диспетчера роли в файл Web.config, вместо него может использоваться имя поставщика по умолчанию, указанное в файле machine.config.
Например, в следующей строке файла Web.config указан поставщик контроля членства SQL:
<membership defaultProvider="AspNetSqlMembershipProvider">
Более подробные сведения о требованиях к поставщикам контроля членства см. в разделе "Подключение к системам управления удостоверениями, не основанным на Windows или являющихся внешними" в статье Планирование способов проверки подлинности (Office SharePoint Server).
Планирование исключений проверки подлинности
При внедрении проверки подлинности на основе форм ASP.NET или единого входа необходимо запланировать исключения проверки подлинности. При внедрении проверки подлинности Windows этот раздел можно не читать.
При создании или расширении веб-приложения или добавлении в веб-приложение зоны IIS создает новый веб-сайт. Настройки проверки подлинности, зарегистрированные в файле Web.config этого веб-приложения, наследуют виртуальные каталоги веб-сайта. Виртуальные каталоги, которые добавляются на уровне ниже веб-приложения в Office SharePoint Server 2007, не управляются Office SharePoint Server 2007 и считаются исключенными.
При внедрении проверки подлинности на основе форм ASP.NET или единого входа, если запланировано добавление виртуальных каталогов ниже уровня этих веб-сайтов, необходимо решить, будут ли эти исключенные каталоги наследовать параметры проверки подлинности на основе форм ASP.NET или единого входа.
| Работа с таблицей |
|---|
ВТаблице настроек проверки подлинности приложения (на английском языке) (https://go.microsoft.com/fwlink/?linkid=73334&clcid=0x419) нужно указать, добавляются ли исключенные виртуальные каталоги в IIS веб-сайта, соответствующего этому веб-приложению в Office SharePoint Server 2007. Если да, нужно указать, будут ли наследоваться настройки проверки подлинности. |
Используйте следующую процедуру для настройки IIS таким образом, чтобы параметры проверки подлинности не наследовались.
Настройка IIS для запрета наследования параметров проверки подлинности
Добавить новый виртуальный каталог IIS на уровне ниже веб-сайта IIS, соответствующего применимому веб-приложению или зоне Office SharePoint Server 2007.
В диспетчере IIS щелкните новый виртуальный каталог правой кнопкой мыши и выберите Свойства.
Щелкните вкладку Виртуальный каталог.
Щелкните Создать (виртуальный каталог превращается в приложение).
Щелкните Конфигурация.
Выберите расширения для сопоставлений и щелкните Удалить.
Щелкните Да, а затем ОК.
Создайте новый файл Web.config в корневом каталоге пути файловой системы нового виртуального каталога и добавьте следующие записи:
<?xml version="1.0" encoding="UTF-8" standalone="yes"?> <configuration> <system.web> <httpModules> <clear /> </httpModules> <httpHandlers> <clear /> </httpHandlers> </system.web> </configuration>
Таблица
Следующая таблица используется для планирования и записи настроек конфигурации всех веб-приложенийOffice SharePoint Server 2007.
- Таблица параметров проверки подлинности веб-приложений (на английском языке) (https://go.microsoft.com/fwlink/?linkid=73334&clcid=0x419)
Загрузка книги
Этот раздел включен в следующую загружаемую книгу для удобства чтения и печати.
См. полный список доступных книг на веб-сайте Загружаемые материалы для Office SharePoint Server 2007.