Настройка проверки подлинности на основе утверждений для веб-приложения с классическим режимом проверки подлинности в SharePoint 2013

 

Применимо к:SharePoint Foundation 2013, SharePoint Server 2013

Последнее изменение раздела:2017-01-25

Сводка.Сведения о преобразовании веб-приложений продуктов SharePoint 2010 или SharePoint 2013 с классическим режимом в веб-приложения с проверкой подлинности на основе утверждений или создание новых приложений, основанных на утверждениях, в SharePoint 2013.

Проверка подлинности на основе утверждений — это важный компонент для обеспечения расширенных функциональных возможностей SharePoint 2013. Чтобы переместить веб-приложения с классическим режимом из продуктов Продукты SharePoint 2010 в SharePoint 2013, вы можете преобразовать их в веб-приложения, основанные на утверждениях, в продуктах Продукты SharePoint 2010, а затем перенести их в SharePoint 2013. В приведенных в данной статье процедурах рассматриваются различные поддерживаемые сценарии.

Командлет Windows PowerShellConvert-SPWebApplication в SharePoint 2013 преобразует веб-приложения с классическим режимом в веб-приложения, основанные на утверждениях.

ПредупреждениеПредупреждение:
После миграции веб-приложения на проверку подлинности на основе утверждений вернуться к классическому режиму проверки подлинности уже нельзя.

Выполните в продуктах Продукты SharePoint 2010 следующую процедуру, чтобы преобразовать существующее веб-приложение в веб-приложение с проверкой подлинности на основе утверждений. После завершения такого преобразования выполните дополнительную операцию по переносу этого веб-приложения в SharePoint 2013. Чтобы завершить данную процедуру, вам потребуется следующая информация:

  • URL-адрес преобразуемого веб-приложения: http://URL-адрес_вашего_веб-приложения

  • Учетная запись пользователя с правами администратора сайта: ваш_домен\ваш_пользователь

Преобразование веб-приложения продуктов Продукты SharePoint 2010 для использования проверки подлинности на основе утверждений
  1. Убедитесь, что вы являетесь участником следующих групп:

    • Предопределенная роль сервера securityadmin для экземпляра SQL Server.

    • Предопределенная роль базы данных db_owner во всех базах данных, которые должны обновляться.

    • Группа администраторов для сервера, на котором выполняются командлеты Windows PowerShell.

    • Обязательно прочтите статью о политиках выполнения (https://go.microsoft.com/fwlink/p/?LinkId=193050).

    • Добавьте членства в группах, которые необходимы в дополнение минимальным требованиям, указанным выше.

    Администратор может использовать командлет Add-SPShellAdmin для предоставления разрешений на использование командлетов SharePoint 2013.

    ПримечаниеПримечание
    Если у вас отсутствуют разрешения, обратитесь к администратору установки или администратору SQL Server и запросите соответствующие разрешения. Для получения дополнительных сведений о разрешениях Windows PowerShell см. статью о разрешениях и командлете Add-SPShellAdmin.
  2. Чтобы задать для указанной учетной записи пользователя права администратора сайта, в командной строке Windows PowerShell введите следующие команды.

    $WebAppName = "http://<yourWebAppUrl>"
    $wa = get-SPWebApplication $WebAppName
    $wa.UseClaimsAuthentication = $true
    $wa.Update()
    

    Где:

    • <yourWebAppUrl> — URL-адрес веб-приложения.

  3. Для настройки политики, включающей полный доступ для пользователя, в командной строке Windows PowerShell введите следующие команды.

    $account = "yourDomain\yourUser"
    $account = (New-SPClaimsPrincipal -identity $account -identitytype 1).ToEncodedString()
    $wa = get-SPWebApplication $WebAppName
    $zp = $wa.ZonePolicies("Default")
    $p = $zp.Add($account,"PSPolicy")
    $fc=$wa.PolicyRoles.GetSpecialRole("FullControl")
    $p.PolicyRoleBindings.Add($fc)
    $wa.Update()
    

    Дополнительные сведения см. в статье Get-SPWebApplication.

  4. Чтобы выполнить миграцию пользователей, в командной строке Windows PowerShell введите следующие команды.

    $wa.MigrateUsers($true)
    
  5. После завершения миграции пользователя введите в командной строке Windows PowerShell следующую команду для выполнения подготовки:

    $wa.ProvisionGlobally()
    

    Дополнительные сведения см. в статье New-SPClaimsPrincipal.

    ПримечаниеПримечание
    Рекомендуем использовать Windows PowerShell при выполнении задач администрирования в командной строке. Командная строка Stsadm устарела, но включена для обеспечения совместимости с предыдущими версиями продукта.

После выполнения описанной выше процедуры могут возникнуть следующие неполадки.

  • Пользователи, указывающие допустимые учетные данные при доступе к перенесенному веб-приложению, могут получать уведомления об отсутствии разрешений. Возможно, перед выполнением миграции были настроены свойства portalsuperuseraccount и portalsuperreaderaccount веб-приложения. В этом случае необходимо обновить свойства portalsuperuseraccount и portalsuperreaderaccount для использования новой учетной записи на основе утверждений. После завершения миграции имя новой учетной записи на основе утверждений можно найти в политике веб-приложения для перенесенного веб-приложения.

  • Если после завершения миграции существующие оповещения не вызываются, необходимо удалить оповещения и затем повторно создать их.

  • Если после завершения миграции функция обхода контента службой поиска Windows Search для веб-приложения не работает, убедитесь, что функция обхода контента службой поиска Windows Search выводит преобразованное имя учетной записи. Если новая преобразованная учетная запись не отображается в списке, необходимо вручную создать новую политику для учетной записи обхода контента.

Миграция веб-приложения продуктов Продукты SharePoint 2010, основанного на утверждениях, в SharePoint 2013
  1. Создайте веб-приложение, основанное на утверждениях, в SharePoint 2013. Дополнительные сведения см. в статье Создание веб-приложений, основанных на утверждениях, в SharePoint 2013.

  2. Подключите две существующие базы данных контента продуктов Продукты SharePoint 2010 к созданному веб-приложению SharePoint 2013, основанному на утверждениях. Дополнительные сведения см. в статье Присоединение и отсоединение баз данных контента в SharePoint 2013.

    ПримечаниеПримечание
    При подключении баз данных контента продуктов Продукты SharePoint 2010 к веб-приложению SharePoint 2013, основанному на утверждениях, эти базы данных обновляются до формата SharePoint 2013. После подключения баз данных контента требуется убедиться в их работоспособности.

Выполните в SharePoint 2013 следующую процедуру, чтобы преобразовать существующее веб-приложение продуктов Продукты SharePoint 2010 с классическим режимом в веб-приложение SharePoint 2013 с проверкой подлинности на основе утверждений.

Порядок преобразования веб-приложения продуктов Продукты SharePoint 2010 с классическим режимом для использования проверки подлинности на основе утверждений SharePoint 2013
  1. Убедитесь, что вы являетесь участником следующих групп:

    • Предопределенная роль сервера securityadmin для экземпляра SQL Server.

    • Предопределенная роль базы данных db_owner во всех базах данных, которые должны обновляться.

    • Группа администраторов для сервера, на котором выполняются командлеты Windows PowerShell.

    • Обязательно прочтите статью о политиках выполнения (https://go.microsoft.com/fwlink/p/?LinkId=193050).

    • Добавьте членства в группах, которые необходимы в дополнение минимальным требованиям, указанным выше.

    Администратор может использовать командлет Add-SPShellAdmin для предоставления разрешений на использование командлетов SharePoint 2013.

    ПримечаниеПримечание
    Если у вас отсутствуют разрешения, обратитесь к администратору установки или администратору SQL Server и запросите соответствующие разрешения. Для получения дополнительных сведений о разрешениях Windows PowerShell см. статью о разрешениях и командлете Add-SPShellAdmin.
  2. В среде SharePoint 2013 в меню Пуск выберите Все программы.

  3. Щелкните элемент Продукты Продукты Microsoft SharePoint 2013.

  4. Щелкните элемент Командная консоль Командная консоль SharePoint 2013.

  5. Измените каталог сохранения файла.

  6. В командной строке Windows PowerShell введите следующую команду:

    New-SPWebApplication -name "ClassicAuthApp" -Port 100 -ApplicationPool "ClassicAuthAppPool" -ApplicationPoolAccount (Get-SPManagedAccount "<domainname>\<user>")
    

    Где:

    • <domainname>\<user> — домен, в который входит сервер, и имя учетной записи пользователя.

  7. Подключите две существующие базы данных контента продуктов Продукты SharePoint 2010 к новому веб-приложению SharePoint 2013 с классическим режимом. Дополнительные сведения см. в статье Присоединение и отсоединение баз данных контента в SharePoint 2013.

    ПримечаниеПримечание
    При подключении баз данных контента продуктов Продукты SharePoint 2010 к веб-приложению SharePoint 2013 с классическим режимом эти базы данных обновляются до формата SharePoint 2013. После подключения баз данных контента требуется убедиться в их работоспособности.
  8. В командной строке Windows PowerShell введите следующую команду:

    Convert-SPWebApplication -Identity <yourWebAppUrl> -To Claims -RetainPermissions [ -Force]
    

    Где:

    • <yourWebAppUrl> — URL-адрес веб-приложения.

    ПримечаниеПримечание
    Командлет Convert-SPWebApplication преобразует веб-приложение для использования проверки подлинности на основе утверждений. Вам необходимо убедиться, что пользователи могут получить доступ к веб-приложению после реализации в нем проверки подлинности на основе утверждений.
  9. При необходимости подключите к новому веб-приложению SharePoint 2013 с классическим режимом третью базу данных контента продуктов Продукты SharePoint 2010 и убедитесь, что она работает правильно.

  10. В командной строке Windows PowerShell введите следующую команду:

    Convert-SPWebApplication -Identity yourWebAppUrl -To Claims -RetainPermissions [ -Force]
    

Убедитесь, что пользователи могут получить доступ к веб-приложению после реализации в нем проверки подлинности на основе утверждений.

Дополнительные сведения см. в статьях New-SPWebApplication, Get-SPManagedAccount и Convert-SPWebApplication.

ПримечаниеПримечание
Рекомендуем использовать Windows PowerShell при выполнении задач администрирования в командной строке. Командная строка Stsadm устарела, но включена для обеспечения совместимости с предыдущими версиями продукта.

Выполните следующие процедуры в SharePoint 2013, чтобы создать веб-приложение с классическим режимом, а затем преобразовать его для использования проверки подлинности на основе утверждений.

Создание веб-приложения с классическим режимом в SharePoint 2013
  • Убедитесь, что вы являетесь участником следующих групп:

    • Предопределенная роль сервера securityadmin для экземпляра SQL Server.

    • Предопределенная роль базы данных db_owner во всех базах данных, которые должны обновляться.

    • Группа администраторов для сервера, на котором выполняются командлеты Windows PowerShell.

    • Обязательно прочтите статью о политиках выполнения (https://go.microsoft.com/fwlink/p/?LinkId=193050).

    • Добавьте членства в группах, которые необходимы в дополнение минимальным требованиям, указанным выше.

    Администратор может использовать командлет Add-SPShellAdmin для предоставления разрешений на использование командлетов SharePoint 2013.

    ПримечаниеПримечание
    Если у вас отсутствуют разрешения, обратитесь к администратору установки или администратору SQL Server и запросите соответствующие разрешения. Для получения дополнительных сведений о разрешениях Windows PowerShell см. статью о разрешениях и командлете Add-SPShellAdmin.
  • В командной строке Windows PowerShell введите следующую команду:

    New-SPWebApplication -Name <Name> -ApplicationPool <ApplicationPool> -AuthenticationMethod <WindowsAuthType> -ApplicationPoolAccount <ApplicationPoolAccount> -Port <Port> -URL <URL>
    

    Где:

    • <Name> — имя нового веб-приложения, использующего классический режим проверки подлинности.

    • <ApplicationPool> — имя пула приложений.

    • <WindowsAuthType> имеет значение NTLM или Kerberos. Рекомендуется использовать Kerberos.

    • <ApplicationPoolAccount> — учетная запись пользователя, от имени которого будет выполняться данный пул приложений.

    • <Port> — номер порта, на котором в IIS будет создано веб-приложение.

    • <URL> — общедоступный URL-адрес для веб-приложения.

    ПримечаниеПримечание
    Дополнительные сведения см. в статье New-SPWebApplication.
    ПримечаниеПримечание
    После успешного создания веб-приложения при открытии страницы центра администрирования отображается предупреждение правила анализатора работоспособности, указывающее на то, что в одном или нескольких веб-приложениях включен классический режим проверки подлинности. Это предупреждение согласовано с рекомендацией использовать проверку подлинности на основе утверждений вместо классического режима проверки подлинности.
Преобразование веб-приложения SharePoint 2013 с классическим режимом для использования проверки подлинности на основе утверждений
  • В командной строке Windows PowerShell введите следующую команду:

    Convert-SPWebApplication -Identity "http:// <servername>:port" -To Claims -RetainPermissions [-Force]
    

    Где:

    • <servername> — имя сервера.

Убедитесь, что пользователи могут получить доступ к веб-приложению после реализации в нем проверки подлинности на основе утверждений.

Дополнительные сведения см. в статьях New-SPWebApplication, Get-SPManagedAccount и Convert-SPWebApplication.

ПримечаниеПримечание
Рекомендуем использовать Windows PowerShell при выполнении задач администрирования в командной строке. Командная строка Stsadm устарела, но включена для обеспечения совместимости с предыдущими версиями продукта.

Выполните в SharePoint 2013 следующую процедуру, чтобы создать веб-приложение с классическим режимом, а затем выполнить его миграцию существующего веб-приложения продуктов Продукты SharePoint 2010 с классическим режимом в SharePoint 2013.

Миграция веб-приложения продуктов Продукты SharePoint 2010 с классическим режимом в SharePoint 2013
  1. Убедитесь, что вы являетесь участником следующих групп:

    • Предопределенная роль сервера securityadmin для экземпляра SQL Server.

    • Предопределенная роль базы данных db_owner во всех базах данных, которые должны обновляться.

    • Группа администраторов для сервера, на котором выполняются командлеты Windows PowerShell.

    • Обязательно прочтите статью о политиках выполнения (https://go.microsoft.com/fwlink/p/?LinkId=193050).

    • Добавьте членства в группах, которые необходимы в дополнение минимальным требованиям, указанным выше.

    Администратор может использовать командлет Add-SPShellAdmin для предоставления разрешений на использование командлетов SharePoint 2013.

    ПримечаниеПримечание
    Если у вас отсутствуют разрешения, обратитесь к администратору установки или администратору SQL Server и запросите соответствующие разрешения. Для получения дополнительных сведений о разрешениях Windows PowerShell см. статью о разрешениях и командлете Add-SPShellAdmin.
  2. В командной строке Windows PowerShell введите следующую команду:

    New-SPWebApplication -name "ClassicAuthApp" -Port 100 -ApplicationPool "ClassicAuthAppPool" -ApplicationPoolAccount (Get-SPManagedAccount "<domainname>\<user>")
    

    Где:

    • <domainname>\<user> — домен, в который входит сервер, и имя учетной записи пользователя.

  3. Подключите две существующие базы данных контента продуктов Продукты SharePoint 2010 к новому веб-приложению SharePoint 2013 с классическим режимом. После подключения баз данных контента убедитесь в их работоспособности. Дополнительные сведения см. в статье Присоединение и отсоединение баз данных контента в SharePoint 2013.

Дополнительные сведения см. в статьях New-SPWebApplication и Get-SPManagedAccount.

ПримечаниеПримечание
Рекомендуем использовать Windows PowerShell при выполнении задач администрирования в командной строке. Командная строка Stsadm устарела, но включена для обеспечения совместимости с предыдущими версиями продукта.

Показ: