Обзор проверки подлинности для SharePoint Server

 

**Применимо к:**SharePoint Server 2013, SharePoint Server 2016

**Последнее изменение раздела:**2017-06-21

Сводка. Сведения о принципах проверки подлинности пользователей и приложений, а также межсерверной проверки подлинности в SharePoint Server 2013 и SharePoint Server 2016.

SharePoint Server требует проверки подлинности для следующих типов взаимодействия:

  • доступ пользователей к локальным ресурсам SharePoint;

  • доступ приложений к локальным ресурсам SharePoint;

  • доступ локальных серверов к локальным ресурсам SharePoint или наоборот.

В этой статье

  • Проверка подлинности пользователей

  • Проверка подлинности приложений

  • Проверка подлинности вида сервер-сервер

Проверка подлинности пользователей в SharePoint Server

Проверка подлинности пользователя — это проверка удостоверения пользователя у поставщика проверки подлинности, который представляет собой каталог или базу данных с учетными данными пользователей и может подтвердить, что пользователь указал их верно. Проверка подлинности пользователя происходит, когда тот пытается получить доступ к ресурсу SharePoint.

SharePoint Server поддерживает проверку подлинности на основе утверждений.

Результатом проверки подлинности на основе утверждений является маркер безопасности на основе утверждений, который создается службой маркеров безопасности SharePoint.

SharePoint Server поддерживает проверку подлинности Windows, проверку подлинности на основе форм и проверку подлинности на основе утверждений SAML (Security Assertion Markup Language). Сведения о принципах работы этих трех методов проверки подлинности см. в приведенных ниже видео.

Примечание

Сведения, представленные в видео, применимы к SharePoint Server 2013 и SharePoint Server 2016.

Видео, посвященное проверке подлинности на основе утверждений в SharePoint Server 2013 и 2016

Видео, посвященное проверке подлинности на основе форм в SharePoint Server 2013 и 2016

Видео, посвященное проверке подлинности на основе утверждений SAML в SharePoint Server 2013 и 2016

Дополнительные сведения см. в статье Планирование методов проверки подлинности для пользователей в SharePoint Server.

Проверка подлинности приложений в SharePoint Server

Проверка подлинности приложения — это проверка удостоверения удаленного приложения SharePoint и назначение разрешений для приложения и связанного пользователя, отправившего запрос к защищенному ресурсу SharePoint. Проверка подлинности приложения происходит, когда внешний компонент приложения Магазина Магазин SharePoint или каталога Каталог приложений, например веб-сервер, расположенный в интрасети или в Интернете, пытается получить доступ к защищенному ресурсу SharePoint.

Например, допустим, пользователь открывает страницу SharePoint, содержащую элемент IFRAME приложения SharePoint, а для IFRAME требуется внешний компонент, например сервер в интрасети или в Интернете, для доступа к защищенному ресурсу SharePoint для отображения страницы. Внешний компонент приложения SharePoint должен пройти проверку подлинности и быть авторизован, чтобы система SharePoint предоставила запрошенные данные, а приложение могло отобразить страницу для пользователя.

Имейте в виду, что если приложению SharePoint не требуется защищенный ресурс SharePoint для отображения страницы для пользователя, то проверка подлинности приложений не нужна. Например, приложение SharePoint, предоставляющее прогноз погоды и имеющее доступ только к погодному серверу в Интернете, не обязательно должно использовать проверку подлинности приложений.

Проверка подлинности приложений состоит из двух процессов:

  • Проверка подлинности

    Проверка того, что приложение правильно зарегистрировано у доверенного посредника

  • Авторизация

    Проверка того, что приложение и связанный пользователь для запроса имеют соответствующие разрешения на выполнение операции, например на доступ к папке или списку или на выполнение запроса.

Для проверки подлинности приложение получает маркер доступа от службы контроля доступа Microsoft Azure или самостоятельно подписывает маркер доступа, используя сертификат, которому доверяет SharePoint Server. Маркер доступа подтверждает запрос на доступ к определенному ресурсу SharePoint и содержит сведения, определяющие приложение и связанного пользователя, поэтому учетные данные пользователя не проверяются. Маркер доступа не является токеном входа.

Ниже приводится пример процесса проверки подлинности для приложений Магазина Магазин SharePoint:

  1. Пользователь открывает веб-страницу SharePoint, содержащую элемент IFRAME, который должен отображаться приложением Магазина Магазин SharePoint, размещенным в Интернете и использующим в качестве доверенного посредника службу ACS. Чтобы отобразить IFRAME для пользователя, приложение Магазина Магазин SharePoint должно получить доступ к ресурсу SharePoint.

  2. Служба маркеров безопасности SharePoint запрашивает и получает маркеры контекста от службы ACS.

  3. SharePoint отправляет запрошенную веб-страницу вместе с маркером контекста в веб-браузер пользователя.

  4. Веб-браузер пользователя отправляет запрос на содержимое IFRAME и маркер контекста серверу приложений Магазина Магазин SharePoint в Интернете.

  5. Сервер приложений Магазина Магазин SharePoint запрашивает и получает маркер доступа от службы ACS.

  6. Сервер приложений каталога Магазин SharePoint отправляет запрос на ресурс SharePoint и маркер доступа серверу SharePoint.

  7. Сервер SharePoint авторизует доступ, проверяя разрешения приложения, указанные при установке приложения, и связанные разрешения приложения.

  8. Если это разрешено, SharePoint отправляет запрошенные данные серверу приложений Магазина Магазин SharePoint в Интернете.

  9. Сервер приложений Магазина Магазин SharePoint в Интернете отправляет результаты IFRAME веб-браузеру, который отображает фрагмент страницы в компоненте IFRAME для пользователя.

Обратите внимание, что приложение Магазина SharePoint получило доступ к ресурсам сервера SharePoint без получения учетных данных пользователя. Проверка подлинности была проведена через службу ACS, которой доверяет сервер с SharePoint Server, а авторизация прошла благодаря набору разрешений для приложений и пользователей.

Ниже приводится пример процесса проверки подлинности для приложений каталога Каталог приложений SharePoint:

  1. Пользователь открывает веб-страницу SharePoint, содержащую элемент IFRAME, который должен отображаться приложением каталога Каталог приложений, размещенным в интрасети и использующим в качестве маркеров доступа самозаверяющий сертификат. Чтобы отобразить IFRAME для пользователя, приложение каталога Каталог приложений должно получить доступ к ресурсу SharePoint.

  2. SharePoint отправляет запрошенную страницу вместе с элементом IFRAME в веб-браузер пользователя.

  3. Веб-браузер пользователя отправляет запрос на содержимое IFRAME серверу приложений каталога Каталог приложений в Интернете.

  4. Сервер приложений каталога Каталог приложений выполняет проверку подлинности пользователя и создает маркер доступа, подписанный его самозаверяющим сертификатом.

  5. Сервер приложений каталога Каталог приложений отправляет запрос на ресурс SharePoint и маркер доступа серверу SharePoint.

  6. Сервер SharePoint авторизует доступ, проверяя разрешения приложения, указанные при установке приложения, и связанные разрешения приложения.

  7. Если это разрешено, сервер SharePoint отправляет запрошенные данные серверу приложений каталога Каталог приложений в интрасети.

  8. Сервер приложений каталога Каталог приложений отправляет результаты IFRAME веб-браузеру, который отображает фрагмент страницы в компоненте IFRAME для пользователя.

Примечание

Приложения каталога Каталог приложений могут использовать сертификат службы ACS или самозаверяющий сертификат для своих маркеров доступа.

Дополнительные сведения см. в статье Планирование проверки подлинности приложений в SharePoint Server.

Межсерверная проверка подлинности в SharePoint Server

Межсерверная проверка подлинности — это проверка запроса сервера на ресурсы, которая основывается на отношении доверия, установленном между службой токенов безопасности сервера, на котором работает SharePoint Server, и службой токенов безопасности другого сервера, поддерживающего протокол S2S OAuth (например, между сервером с SharePoint Server, Exchange Server 2016, Skype для бизнеса 2016 или службой рабочих процессов Azure в локальной среде и сервером с SharePoint Server в Office 365). На основании этого отношения доверия запрашивающий сервер может получить доступ к защищенным ресурсам на сервере SharePoint от имени указанной учетной записи пользователя в соответствии с разрешениями сервера и пользователя.

Например, сервер с Exchange Server 2016 может запросить ресурсы на сервере, на котором работает SharePoint Server, для определенной учетной записи пользователя. Это отличается от проверки подлинности приложений, при которой приложение не имеет доступа к учетным данным учетной записи пользователя. В зависимости от того, каковы служба и запрос, пользователь может при этом войти на сервер, выполняющий запрос ресурса, а может и не входить.

Когда сервер с SharePoint Server пытается получить доступ к ресурсу на другом сервере или другой сервер пытается получить доступ к ресурсу на сервере с SharePoint Server, входящий запрос на доступ должен пройти проверку подлинности, чтобы сервер принял этот запрос и последующие данные. Межсерверная проверка подлинности позволяет убедиться, что сервер, на котором работает SharePoint Server, и представляемый им пользователь являются доверенными.

Маркер, используемый для проверки подлинности между серверами, является межсерверным маркером, а не маркером входа. Этот межсерверный маркер содержит данные о сервере, запрашивающем доступ, и учетной записи пользователя, от имени которого действует сервер.

Ниже приводится пример основного процесса для локальных серверов.

  1. Пользователь открывает веб-страницу SharePoint, которой нужны сведения от другого сервера (например, для отображения списка задач из SharePoint Server и Exchange Server 2016).

  2. SharePoint Server создает межсерверный маркер.

  3. SharePoint Server отправляет межсерверный маркер другому серверу.

  4. Другой сервер проверяет межсерверный маркер SharePoint.

  5. Другой сервер отправляет сообщение SharePoint Server, подтверждая, что отправленный межсерверный маркер действителен.

  6. Служба на сервере с SharePoint Server получает доступ к данным на другом сервере.

  7. Служба на сервере, на котором работает SharePoint Server, отрисовывает страницу для пользователя.

Когда оба сервера работают в Office 365, процесс выглядит примерно следующим образом.

  1. Пользователь открывает веб-страницу SharePoint, которой нужны сведения от другого сервера (например, для отображения списка задач из SharePoint Online и Exchange Online).

  2. SharePoint Online запрашивает и получает межсерверный маркер от службы ACS.

  3. SharePoint Online отправляет межсерверный маркер серверу Office 365.

  4. Сервер Office 365 проверяет удостоверение в межсерверном маркере с помощью службы ACS.

  5. Сервер Office 365 отправляет сообщение в SharePoint Online, подтверждая, что отправленный межсерверный маркер действителен.

  6. Служба в SharePoint Online получает доступ к данным на сервере Office 365.

  7. Служба в SharePoint Online отображает страницу для пользователя.

Дополнительные сведения см. в статье Планирование проверки подлинности между серверами в SharePoint Server.