Межсерверная проверка подлинности и профили пользователей в SharePoint Server

  • Статья

 

**Применимо к:**SharePoint Server 2013, SharePoint Server 2016

**Последнее изменение раздела:**2017-08-24

Сводка. Сведения о планировании профилей пользователей для проверки подлинности между серверами в SharePoint Server 2013 и 2016.

Проверка подлинности между серверами позволяет серверам, поддерживающим этот тип проверки подлинности, получать доступ и запрашивать ресурсы друг у друга от имени пользователей. Поэтому сервер SharePoint Server, обслуживающий входящие запросы ресурсов, должен иметь возможность выполнять две задачи:

  • разрешать запросы к конкретным пользователям SharePoint;

  • определять набор утверждений ролей, связанных с пользователем; этот процесс называется восстановлением удостоверения пользователя.

Для восстановления удостоверения пользователя сервер, который может выполнять проверку подлинности "сервер-сервер", запрашивает доступ к ресурсам SharePoint. SharePoint Server извлекает утверждение из входящего маркера безопасности и разрешает его для конкретного пользователя SharePoint. По умолчанию SharePoint Server использует для разрешения удостоверений встроенное приложение-службу профилей пользователей.

Ниже перечислены ключевые атрибуты пользователя, используемые для определения соответствующего профиля пользователя:

  • Идентификатор безопасности Windows (ИД безопасности)

  • Имя участника-пользователя доменных служб Active Directory

  • SMTP-адрес

  • Адрес SIP

Поэтому хотя бы один из этих атрибутов пользователя должен существовать в профилях пользователей.

Примечание

Для SharePoint Server 2013 рекомендуется периодически синхронизировать приложение службы профилей пользователей с хранилищами удостоверений. Дополнительные сведения см. в статье Планирование синхронизации профилей для SharePoint Server 2013.

Кроме того, для заданного запроса на поиск система SharePoint Server должна получить из приложения службы профилей пользователей только одну запись, соответствующую этим четырем атрибутам. В противном случае она возвращает ошибку и сообщает, что найдено несколько профилей пользователей. Чтобы избежать появления этой ошибки, необходимо периодически удалять устаревшие профили из приложения службы профилей пользователей.

Если профиль пользователя и соответствующие группы не синхронизированы, SharePoint Server может по ошибке запретить доступ к ресурсу. Поэтому следует обеспечить синхронизацию групп с приложением-службой профилей пользователей. Для утверждений Windows приложение-служба профилей пользователей импортирует четыре основных атрибута пользователя, описанные выше, и группы.

Для проверки подлинности утверждений на основе форм и маркеров SAML нужно выполнить одно из следующих действий.

  • Создайте подключение синхронизации к источнику данных, поддерживаемому приложением-службой профилей пользователей, и свяжите подключение с определенным поставщиком проверки подлинности на основе форм или маркеров SAML. Кроме того, вам необходимо сопоставить атрибуты из хранилища пользователя с четырьмя атрибутами, описанными выше, или тем их количеством, которое вы сможете получить из источника данных.

  • Создайте и разверните настраиваемый компонент для выполнения синхронизации вручную. Это наиболее вероятный вариант для пользователей операционных систем, отличных от Windows. Обратите внимание на то, что вызов поставщика проверки подлинности на основе форм или маркеров SAML происходит при восстановлении удостоверения пользователя для получения его утверждений ролей.

Восстановление удостоверения пользователя для запрашивающих серверов

Входящий маркер безопасности, отправляемый запрашивающим сервером Exchange Server 2016 или Skype для бизнеса Server 2015, который использует стандартные способы проверки подлинности Windows, содержит имя участника-пользователя и может содержать другие атрибуты, например SMTP, SIP и ИД безопасности удостоверения пользователя. С помощью этих сведений принимающий сервер SharePoint Server находит профиль пользователя.

В случае с запрашивающим сервером SharePoint Server принимающий сервер восстанавливает удостоверение пользователя с помощью следующих способов проверки подлинности на основе утверждений:

  • В случае с проверкой подлинности на основе утверждений Windows SharePoint Server использует атрибуты доменных служб Active Directory (например, имя участника-пользователя или ИД безопасности) для поиска профиля пользователя и его утверждений ролей (членства в группах).

  • В случае с проверкой подлинности на основе форм SharePoint Server использует атрибут учетной записи для поиска профиля пользователя, а затем вызывает поставщик ролей и дополнительные настраиваемые поставщики утверждений для получения соответствующего набора утверждений ролей. Например, чтобы найти профиль пользователя, SharePoint Server использует такие атрибуты, как имя участника-пользователя или ИД безопасности, в доменных службах Active Directory, в базе данных SQL Server или в хранилище данных LDAP. Компонент, используемый вами для синхронизации с поставщиком проверки подлинности на основе форм, должен вносить в профили пользователей по крайней мере имена учетных записей. Вы также можете создать настраиваемый поставщик утверждений для импорта дополнительных утверждений в виде атрибутов в профили пользователей.

  • В случае с проверкой подлинности утверждений на основе маркеров SAML SharePoint Server использует атрибут AccountName для поиска профиля пользователя, а затем вызывает поставщик SAML и дополнительные настраиваемые поставщики утверждений для получения соответствующего набора утверждений ролей. Утверждение удостоверения пользователя необходимо сопоставить с атрибутом учетной записи в профиле пользователя посредством соответствующего поставщика утверждений SAML, который должен быть настроен для заполнения профилей пользователей. Аналогичным образом, утверждение имени участника-пользователя необходимо сопоставить с атрибутом имени участника-пользователя, а утверждение SMTP — с атрибутом SMTP. Чтобы создать копию набора утверждений, которые пользователь обычной получает от поставщика удостоверений, вам необходимо добавить эти утверждения, включая утверждения ролей, посредством приращения утверждений. Настраиваемый поставщик утверждений должен импортировать эти утверждения в качестве атрибутов в профили пользователей.

See also

Планирование проверки подлинности между серверами в SharePoint Server
Обзор проверки подлинности для SharePoint Server