Настройка межсерверной проверки подлинности между фермой публикации и потребляющей фермой
**Применимо к:**SharePoint Foundation 2013, SharePoint Server 2013, SharePoint Server 2016
**Последнее изменение раздела:**2017-09-06
Сводка. Сведения о том, как настроить межсерверную проверку подлинности при совместном использовании приложений службы в фермах SharePoint Server 2016 и SharePoint 2013 для публикации и использования.
Чтобы позволить веб-приложению или службе приложения запрашивать ресурсы у веб-приложения в другой ферме от имени пользователя, нужно настроить межсерверную проверку подлинности между фермами. Вот несколько примеров процессов SharePoint Server, использующих межсерверную проверку подлинности:
Изучите документ в веб-приложении сайтов групп, если личный сайт пользователя находится в веб-приложении Личные сайты. Веб-приложение сайтов групп отправляет запрос веб-приложению Личные сайты от имени пользователя.
Создание или ответ на публикацию веб-канала сайта, размещенного в веб-приложении сайтов групп, но с помощью канала новостей Личный сайт пользователя в веб-приложении Личные сайты. Веб-приложение Личные сайты отправляет запрос веб-приложения сайтов групп от имени пользователя для создания публикации или ответа.
Задача приложения-службы профилей пользователей для повторного заполнения кэша веб-канала должно читать данные с личного сайта или сайта группы. Если приложение-служба профилей пользователей работает в другой ферме, приложение-службы профилей пользователей отправляет запрос веб-приложению Личные сайты или веб-приложению сайтов групп для чтения данных пользователя или веб-канала в кэш.
Примечание
Веб-приложения или службы приложений, запрашивающие ресурсы у службы приложения в другой ферме, не требуют проверки подлинности "сервер-сервер".
Приступая к работе
Чтобы понять процедуры, описанные в этой статье, вы должны быть знакомы с основными понятиями, описанными в следующих статьях:
Обзор проверки подлинности для SharePoint Server
Планирование проверки подлинности между серверами в SharePoint Server
Настройка межсерверной проверки подлинности между фермой публикации и потребляющей фермой
Далее описывается, как настроить межсерверную проверку подлинности между фермой публикации и потребляющей фермой.
Настройка межсерверной проверки подлинности между фермой публикации и фермой использования
Выберите имя области, которая будет общей для обеих ферм.
Используемая учетная запись должна быть членом группы "Администраторы" на сервере, на котором выполняются командлеты PowerShell.
Предопределенная роль сервера securityadmin для экземпляра SQL Server.
Предопределенная роль базы данных db_owner во всех базах данных, которые должны обновляться.
С помощью командлета Add-SPShellAdmin администратор может предоставлять разрешения на использование командлетов SharePoint Server.
Примечание
Если у вас нет разрешений, запросите их у администратора установки или администратора SQL Server. Дополнительные сведения о разрешениях PowerShell см. в описании командлета Add-SPShellAdmin.
В среде SharePoint Server запустите командную консоль PowerShell в ферме публикации и ферме использования.
Чтобы настроить имя области для фермы публикации, введите следующую команду в командной строке PowerShell на сервере в ферме публикации:
Set-SPAuthenticationRealm -realm <RealmName>
Где:
RealmName — это имя, выбранное на шаге 1.
Чтобы настроить в ферме публикации имя службы маркеров безопасности SharePoint, содержащее общее имя области, введите следующую команду в командной строке PowerShell на сервере в ферме публикации:
$sts=Get-SPSecurityTokenServiceConfig $Realm=Get-SpAuthenticationRealm $nameId = "00000003-0000-0ff1-ce00-000000000000@$Realm" Write-Host "Setting STS NameId to $nameId" $sts.NameIdentifier = $nameId $sts.Update()
Чтобы настроить имя области для потребляющей фермы, введите следующую команду в командной строке PowerShell на сервере в потребляющей ферме:
Set-SPAuthenticationRealm -realm <RealmName>
Где:
RealmName — это имя, выбранное на шаге 1.
Чтобы настроить в потребляющей ферме имя службы маркеров безопасности SharePoint, содержащее общее имя области, введите следующую команду в командной строке PowerShell на сервере в потребляющей ферме:
$sts=Get-SPSecurityTokenServiceConfig $Realm=Get-SpAuthenticationRealm $nameId = "00000003-0000-0ff1-ce00-000000000000@$Realm" Write-Host "Setting STS NameId to $nameId" $sts.NameIdentifier = $nameId $sts.Update()
Чтобы настроить межсерверную проверку подлинности с потребляющей фермой для фермы публикации, введите следующую команду в командной строке PowerShell на сервере в ферме публикации:
New-SPTrustedSecurityTokenIssuer -MetadataEndpoint "https://<ConsumeHostName>/_layouts/<15or16>/metadata/json/1" -Name "<ConsumeFriendlyName>"
Где:
ConsumeHostName — это имя и порт любого веб-приложения с поддержкой SSL в потребляющей ферме.
15or16 — каталог для версии SharePoint Server.
ConsumeFriendlyName — понятное имя потребляющей фермы.
При этом будет создано отношение доверия межсерверной проверки подлинности с потребляющей фермой.
Чтобы настроить межсерверную проверку подлинности фермы публикации с потребляющей фермой, введите следующую команду в командной строке PowerShell на сервере в потребляющей ферме:
New-SPTrustedSecurityTokenIssuer -MetadataEndpoint "https://<PublishHostName>/_layouts/<15or16>/metadata/json/1" -Name "<PublishFriendlyName>"
Где:
PublishHostName — это имя и порт любого веб-приложения с поддержкой SSL в ферме публикации.
15or16 — каталог для версии SharePoint Server.
PublishFriendlyName — понятное имя фермы публикации.
При этом будет создано отношение доверия межсерверной проверки подлинности с фермой публикации.
See also
Совместное использование приложений службы в разных фермах SharePoint Server
Get-SPAuthenticationRealm
Set-SPAuthenticationRealm
New-SPTrustedSecurityTokenIssuer