Настройка службы маркеров безопасности (SharePoint Server 2010)

  • Статья

 

Применимо к: SharePoint Foundation 2010, SharePoint Server 2010

Последнее изменение раздела: 2016-11-30

В этой статье представлены инструкции по настройке службы маркеров безопасности (STS) Microsoft SharePoint Server 2010. STS — это специализированная веб-служба, предназначенная для ответов на запросы маркеров безопасности и управления удостоверениями. Основные функции каждой службы STS одинаковы, но природа выполняемых задач зависит от роли, которая служба STS играет по отношению к другим веб-службам STS в решении.

Содержание статьи

  • Как работают веб-приложения, использующие службу STS

  • Настройка веб-приложения SharePoint на основе утверждений с помощью Windows PowerShell

  • Изменение привязок

  • Настройка веб-приложения, использующего STS

Как работают веб-приложения, использующие службу STS

Веб-приложения, использующие службу маркеров безопасности, обрабатывают запросы на выдачу, управление и проверку маркеров безопасности. Маркеры состоят из проверочных утверждений (таких как имя пользователя, роль или анонимный идентификатор). Маркеры выдаются в разных форматах, например в виде маркеров SAML. Маркеры безопасности можно защитить сертификатом X.509 для обеспечения безопасности его содержимого при передаче и проверке доверенных. Дополнительные сведения о службе маркеров безопасности см. в статье Планирование способов проверки подлинности (SharePoint Server 2010).

Служба маркеров безопасности поставщика удостоверений (IP-STS) — это веб-служба, которая обрабатывает запросы проверочных утверждений. IP-STS использует базу данных, которая называется хранилищем удостоверений, для хранения и управления удостоверениями и их атрибутами. Хранилище удостоверений поставщика удостоверения может быть простым, таким как таблица базы данных SQL. Служба IP-STS может также использовать сложное хранилище удостоверений, такое как службы доменов Active Directory (AD DS) или служба каталогов Active Directory Lightweight (AD LDS).

Служба IP-STS доступна для клиентов, которые хотят создать удостоверения и управлять ими, а также для соответствующих приложений, которые должны проверять удостоверения, представленные клиентами. У каждой службы IP-STS есть федеративное отношение доверия с веб-приложениями службы STS принимающей стороны, которым выдаются маркеры и которые называются RP-STS. Клиенты могут создавать или подготавливать управляемые информационные карточки (с помощью селектора карточки, такого как CardSpace), которые представляют удостоверения, зарегистрированные службой IP-STS. Клиенты взаимодействуют со службой IP-STS, когда запрашивают маркеры безопасности, представляющие удостоверение, которое содержится в хранилище удостоверений IP-STS. После проверки подлинности служба IP-STS выдает доверенный маркер безопасности, который клиент может представить приложению принимающей стороны. Эти приложения могут создавать отношения доверия со службой IP-STS, что позволяет проверять маркеры безопасности, выданные IP-STS. После установки отношения доверия приложения могут изучать маркеры безопасности, представленные клиентами, и определять допустимость проверочных утверждений, которые они содержат.

Служба STS проверяющей стороны (RP-STS) — это STS, которая получает маркер безопасности от службы IP-STS доверенного федеративного партнера. Затем служба RP-STS выдает новые маркеры локальному приложению проверяющей стороны. Использование веб-приложений RP-STS в федерации с веб-приложениями IP-STS позволяет организациям предоставлять возможность единого входа (SSO) пользователям из партнерских организаций. Каждая организация управляет своими хранилищами удостоверений.

Настройка веб-приложения SharePoint на основе утверждений с помощью Windows PowerShell

Выполните следующие действия для настройки веб-приложения SharePoint на основе утверждений с помощью Windows PowerShell.

Действия для настройки веб-приложения SharePoint на основе утверждений с помощью Windows PowerShell

  1. Убедитесь в соответствии следующим минимальным требованиям: См. статью Add-SPShellAdmin.

  2. В меню Пуск выберите пункт Все программы.

  3. Выберите пункт Продукты Microsoft SharePoint 2010.

  4. Щелкните компонент Командная консоль SharePoint 2010.

  5. В командной строке Windows PowerShell (PS C:\>) создайте объект x509Certificate2, как показано в следующем примере:

    $cert = New-Object
System.Security.Cryptography.X509Certificates.X509Certificate2("path to cert file")

  6. Создайте сопоставление типов утверждений, которое будет использоваться в службе проверки подлинности, как показано в следующем примере:

    New-SPClaimTypeMapping "https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"
-IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming

  7. Создайте доверенного поставщика входа в систему, создав значение для параметра realm, как показано в следующем примере:

    $realm = "urn:" + $env:ComputerName + ":domain-int"

  8. Задайте значение параметра signinurl, которое указывает на веб-приложение, как показано в следующем примере:

    $signinurl = "https://test-2/FederationPassive/"

  9. Создайте доверенный поставщик входа в систему с использованием такого же значения параметра IdentifierClaim, что и в сопоставлении утверждений ($map1.InputClaimType), как показано в следующем примере:

    $ap = New-SPTrustedIdentityTokenIssuer -Name
"WIF" -Description "Windows® Identity Foundation" -Realm
$realm -ImportTrustCertificate $cert
-ClaimsMappings $map1[,$map2..] -SignInUrl
$signinurl -IdentifierClaim $map1.InputClaimType

  10. Создайте веб-приложение, сначала задав значение для учетной записи пула приложений (для текущего пользователя), как показано в следующем примере:

    $account = "DOMAIN\" + $env:UserName

    Примечание

    Учетная запись пула приложений должна быть управляемой. Для создания управляемой учетной записи используйте New-SPManagedAccount.

  11. Задайте значение URL-адреса веб-приложения ($webappurl = "https://" + $env:ComputerName), как показано в следующем примере:

    $wa = New-SPWebApplication -name "Claims WIF"
-SecureSocketsLayer -ApplicationPool "SharePoint SSL"
-ApplicationPoolAccount $account -Url $webappurl -Port 443
-AuthenticationProvider $ap

  12. Создайте сайт, сначала создав объект утверждения, как показано в следующем примере:

    $claim = New-SPClaimsPrincipal
-TrustedIdentityTokenIssuerr $ap -Identity
$env:UserName

  13. Создайте сайт, как показано в следующем примере:

    $site = New-SPSite $webappurl -OwnerAlias
$claim.ToEncodedString() -template "STS#0"

Изменение привязок

После настройки веб-приложения SharePoint на основе утверждений нужно изменить привязки.

Действия для изменения привязок

  1. Запустите IIS, введя в командной строке INETMGR.

  2. Зайдите на сайт Веб-приложение на основе утверждений в IIS.

  3. В левой области щелкните правой кнопкой мыши Веб-приложение на основе утверждений и выберите команду Изменить привязки.

  4. Выберите https и щелкните Правка.

  5. В разделе Сертификат SSL выберите один из указанных сертификатов.

Настройка веб-приложения, использующего STS

После настройки веб-приложения SharePoint Server 2010 на основе утверждений, изменения привязок и настройки файла Web.Config можно выполнить действия, указанные в этом разделе, для настройки веб-приложения службы маркеров безопасности.

Настройка веб-приложения, использующего STS

  1. Откройте консоль управления служб федерации Active Directory (AD FS) 2.0

  2. В левой области разверните элемент Policy (Политика) и выберите Relying Parties (Проверяющие стороны).

  3. В правой области щелкните Add Relying Party (Добавить проверяющую сторону). При этом открывается мастер настройки служб федерации Active Directory (AD FS) 2.0.

  4. На первой странице мастера щелкните Start (Начать).

  5. Щелкните Enter relying party configuration manually (Ввести настройки проверяющей стороны вручную), а затем нажмите кнопку Next (Далее).

  6. Введите имя принимающей стороны и нажмите кнопку Next (Далее).

  7. Убедитесь, что выбран параметр Active Directory Federation Services (AD FS) 2.0 Server Profile (Профиль сервера служб федерации Active Directory (AD FS) 2.0), и нажмите кнопку Next (Далее).

  8. Если не планируется использование сертификата шифрования, нажмите кнопку Далее.

  9. Выберите параметр Enable support for Web-browser-based identity federation (Включить поддержку федерации удостоверений на основе браузера).

  10. Введите URL-адрес веб-приложения и добавьте к нему /_trust/ (например: https://имя_сервера/_trust/). Нажмите кнопку Next (Далее).

  11. Введите идентификатор и нажмите кнопку Добавить. Нажмите кнопку Далее.

  12. На странице сводки нажмите кнопку Next (Далее), затем нажмите Close (Закрыть). Откроется консоль управления редактора правил. С ее помощью настройте сопоставление утверждений веб-приложения LDAP с SharePoint.

  13. В левой области разверните элемент New Rule (Создать правило) и выберите Predefined Rule (Предопределенное правило).

  14. Выберите параметр Create Claims from LDAP Attribute Store (Создать утверждения на основе хранилища атрибутов LDAP).

  15. В правой области в списке Attribute Store (Хранилище атрибутов) выберите Enterprise Active Directory User Account Store (Хранилище учетных записей Active Directory пользователей предприятия).

  16. В разделе LDAP Attribute (Атрибут LDAP) выберите sAMAccountName.

  17. В разделе Outgoing Claim Type (Тип исходящего утверждения) выберите E-Mail Address (Адрес электронной почты).

  18. В левой области нажмите кнопку Save (Сохранить).