Настройка службы маркеров безопасности (SharePoint Foundation 2010)

  • Статья

 

Применимо к: SharePoint Foundation 2010

Последнее изменение раздела: 2016-11-30

В этой статье представлены инструкции по настройке службы маркеров безопасности (STS) Microsoft SharePoint Foundation 2010. STS — это специализированная веб-служба, предназначенная для ответов на запросы маркеров безопасности и управления удостоверениями. Основные функции каждой службы STS одинаковы, но природа выполняемых задач зависит от роли, которая служба STS играет по отношению к другим веб-службам STS в решении.

Содержание:

  • Как работают веб-приложения, использующие службу STS

  • Настройка веб-приложения SharePoint на основе утверждений с помощью Windows PowerShell

  • Изменение привязок

  • Настройка веб-приложения, использующего службу STS

Как работают веб-приложения, использующие службу STS

Веб-приложения, использующие службу маркеров безопасности, обрабатывают запросы на выдачу, управление и проверку маркеров безопасности. Маркеры состоят из проверочных утверждений (таких как имя пользователя, роль или анонимный идентификатор). Маркеры выдаются в разных форматах, например в виде маркеров SAML. Маркеры безопасности можно защитить сертификатом X.509 для обеспечения безопасности его содержимого при передаче и проверке доверенных. Дополнительные сведения о службе маркеров безопасности см. в статье Планирование способов проверки подлинности (SharePoint Foundation 2010).

Служба маркеров безопасности поставщика удостоверений (IP-STS) — это веб-служба, которая обрабатывает запросы проверочных утверждений. IP-STS использует базу данных, которая называется хранилищем удостоверений, для хранения и управления удостоверениями и их атрибутами. Хранилище удостоверений поставщика удостоверения может быть простым, таким как таблица базы данных SQL. Служба IP-STS может также использовать сложное хранилище удостоверений, такое как службы доменов Active Directory (AD DS) или служба каталогов Active Directory Lightweight (AD LDS).

Служба IP-STS доступна для клиентов, которые хотят создать удостоверения и управлять ими, а также для соответствующих приложений, которые должны проверять удостоверения, представленные клиентами. У каждой службы IP-STS есть федеративное отношение доверия с веб-приложениями службы STS принимающей стороны, которым выдаются маркеры и которые называются RP-STS. Клиенты могут создавать или подготавливать управляемые информационные карточки (с помощью селектора карточки, такого как CardSpace), которые представляют удостоверения, зарегистрированные службой IP-STS. Клиенты взаимодействуют со службой IP-STS, когда запрашивают маркеры безопасности, представляющие удостоверение, которое содержится в хранилище удостоверений IP-STS. После проверки подлинности служба IP-STS выдает доверенный маркер безопасности, который клиент может представить приложению принимающей стороны. Эти приложения могут создавать отношения доверия со службой IP-STS, что позволяет проверять маркеры безопасности, выданные IP-STS. После установки отношения доверия приложения могут изучать маркеры безопасности, представленные клиентами, и определять допустимость проверочных утверждений, которые они содержат.

Служба STS проверяющей стороны (RP-STS) — это STS, которая получает маркер безопасности от службы IP-STS доверенного федеративного партнера. Затем служба RP-STS выдает новые маркеры локальному приложению проверяющей стороны. Использование веб-приложений RP-STS в федерации с веб-приложениями IP-STS позволяет организациям предоставлять возможность единого входа (SSO) пользователям из партнерских организаций. Каждая организация управляет своими хранилищами удостоверений.

Настройка веб-приложения SharePoint на основе утверждений с помощью Windows PowerShell

Выполните следующие действия для настройки веб-приложения SharePoint на основе утверждений с помощью Windows PowerShell.

Настройка веб-приложения SharePoint на основе утверждений с помощью Windows PowerShell

  1. Проверьте, выполняются ли следующие минимальные требования: См. статью Add-SPShellAdmin.

  2. В меню Пуск выберите Все программы.

  3. Щелкните Продукты Microsoft SharePoint 2010.

  4. Щелкните компонент Командная консоль SharePoint 2010.

  5. В командной строке Windows PowerShell (PS C:\>) создайте объект x509Certificate2, как показано в следующем примере:

    $cert = New-Object
System.Security.Cryptography.X509Certificates.X509Certificate2("path to cert file")

  6. Создайте сопоставление типов утверждений, которое будет использоваться в доверенной службе проверки подлинности, как показано в следующем примере:

    New-SPClaimTypeMapping "https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"
-IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming

  7. Создайте доверенного поставщика входа в систему, как показано в следующем примере:

    $realm = "urn:" + $env:ComputerName + ":domain-int"

  8. Задайте значение параметра signinurl, которое указывает на веб-приложение службы маркеров безопасности, как показано в следующем примере:

    $signinurl = "https://test-2/FederationPassive/"

  9. Создайте доверенного поставщика входа в систему с использованием такого же значения параметра IdentifierClaim, как и в сопоставлении утверждений ($map1.InputClaimType), как показано в следующем примере:

    $ap = New-SPTrustedIdentityTokenIssuer -Name
"WIF" -Description "Windows® Identity Foundation" -Realm
$realm -ImportTrustCertificate $cert
-ClaimsMappings $map1[,$map2..] -SignInUrl
$signinurl -IdentifierClaim $map1.InputClaimType

  10. Создайте веб-приложение, сначала задав значение для учетной записи пула приложений (для текущего пользователя), как показано в следующем примере:

    $account = "DOMAIN\" + $env:UserName

    Примечание

    Учетная запись пула приложений должна быть управляемой. Для создания управляемой учетной записи используйте New-SPManagedAccount.

  11. Задайте значение URL-адреса веб-приложения ($webappurl = "https://" + $env:ComputerName), как показано в следующем примере:

    $wa = New-SPWebApplication -name "Claims WIF"
-SecureSocketsLayer -ApplicationPool "SharePoint SSL"
-ApplicationPoolAccount $account -Url $webappurl -Port 443
-AuthenticationProvider $ap

  12. Создайте сайт, сначала создав объект утверждения, как показано в следующем примере:

    $claim = New-SPClaimsPrincipal
-TrustedIdentityTokenIssuerr $ap -Identity
$env:UserName

  13. Создайте сайт, как показано в следующем примере:

    $site = New-SPSite $webappurl -OwnerAlias
$claim.ToEncodedString() -template "STS#0"

Изменение привязок

После настройки веб-приложения SharePoint на основе утверждений нужно изменить привязки.

Действия для изменения привязок

  1. Запустите IIS, введя в командной строке INETMGR.

  2. Зайдите на сайт Веб-приложение на основе утверждений в IIS.

  3. В левой области щелкните правой кнопкой мыши Веб-приложение на основе утверждений и выберите команду Изменить привязки.

  4. Выберите https и щелкните Правка.

  5. В разделе Сертификат SSL выберите один из указанных сертификатов.

Настройка веб-приложения, использующего STS

После настройки веб-приложения SharePoint Foundation 2010 на основе утверждений, изменения привязок и настройки файла Web.Config можно выполнить действия, указанные в этом разделе, для настройки веб-приложения службы маркеров безопасности.

Настройка веб-приложения, использующего STS

  1. Откройте консоль управления служб федерации Active Directory (AD FS) 2.0.

  2. В левой области разверните элемент Политика и выберите Принимающие стороны.

  3. В правой области щелкните Добавить принимающую сторону. Откроется мастер настройки служб федерации Active Directory (AD FS) 2.0.

  4. На первой странице мастера нажмите кнопку Запустить.

  5. Выберите Ввести настройки принимающей стороны вручную и нажмите кнопку Далее.

  6. Введите имя принимающей стороны и нажмите кнопку Далее.

  7. Убедитесь, что выбран параметр Профиль сервера служб федерации Active Directory (AD FS) 2.0, и нажмите кнопку Далее.

  8. Если не планируется использование сертификата шифрования, нажмите кнопку Далее.

  9. Выберите параметр Включить поддержку федерации удостоверений на основе браузера.

  10. Введите URL-адрес веб-приложения и добавьте к нему /_trust/ (например: https://имя_сервера/_trust/). Нажмите кнопку Далее.

  11. Введите идентификатор и нажмите кнопку Добавить. Нажмите кнопку Далее.

  12. На странице сводки нажмите кнопку Далее, затем нажмите Закрыть. Откроется консоль управления редактора правил. С ее помощью настройте сопоставление утверждений веб-приложения LDAP с SharePoint.

  13. В левой области разверните элемент Создать правило и выберите Предопределенное правило.

  14. Выберите параметр Создать утверждения на основе хранилища атрибутов LDAP.

  15. В правой области в списке Хранилище атрибутов выберите Хранилище учетных записей Active Directory пользователей предприятия.

  16. В разделе Атрибут LDAP выберите sAMAccountName.

  17. В разделе Тип исходящего утверждения выберите Адрес электронной почты.

  18. В левой области нажмите кнопку Сохранить.