为 Web 应用程序规划身份验证设置 (Windows SharePoint Services)
本文内容:
规划身份验证设置
规划身份验证的排除项
工作表
本文讨论需要在 Windows SharePoint Services 3.0 中为各个 Web 应用程序规划的身份验证配置设置。请将本文与 Web 应用程序身份验证设置工作表(该链接可能指向英文页面)(https://go.microsoft.com/fwlink/?linkid=73334&clcid=0x804) 一起使用。对于以下各个元素(它们是您在 Windows SharePoint Services 3.0 中的解决方案设计的一部分),请单独完成一张工作表:
Windows SharePoint Services 3.0 中的新的或扩展的 Web 应用程序。
Web 应用程序中的其他区域(除默认区域外)。包括为搜索帐户创建的区域。
将完成的工作表与部署和配置 SharePoint 网站 (Windows SharePoint Services) 一起使用。
规划身份验证设置
本节讨论“SharePoint 管理中心”网站的“编辑验证”页上的各个设置。若要访问此页,请在“应用程序管理”页上的“应用程序安全性”部分中单击“验证提供程序”。单击要修改其身份验证设置的区域,“编辑验证”页即会打开。
取决于所选的身份验证选项,在 Windows SharePoint Services 3.0 中创建或扩展 Web 应用程序时,可能可以直接指定身份验证设置。但是,在最初创建或扩展 Web 应用程序时,不是所有选项都是可用的。如果在创建或扩展 Web 应用程序时不能配置身份验证,则可以先接受默认的身份验证设置,然后在“编辑验证”页上编辑设置。
身份验证类型
选择要使用的方法。如果打算允许匿名访问而不是实施本节中列出的身份验证方法,请选择 Windows 身份验证。
如果选择“Windows”,请在“编辑验证”页的“IIS 验证设置”部分中指定 Windows 身份验证方法。如果选择“表单”或“Web 单一登录”,则“编辑验证”页上的选项会改变,以允许您输入成员资格提供程序名称和角色管理器名称。
如果要使用证书身份验证或 Kerberos 身份验证,请查看下表以确定配置这些方法所需的其他配置步骤。
| 身份验证方法 | 其他配置 | 专用角色 |
|---|---|---|
证书 |
|
Microsoft Windows Server 2003 管理员,以获取和配置证书 |
Kerberos(集成的 Windows) |
|
IIS 管理员 |
| 工作表操作 |
|---|
在 Web 应用程序身份验证设置工作表(该链接可能指向英文页面)(https://go.microsoft.com/fwlink/?linkid=73334&clcid=0x804) 的“其他配置”部分中记录必要的其他配置。 |
匿名访问
指示是否允许匿名访问。如果在“验证类型”部分中选择“表单”或“Web 单一登录”,则选中“启用匿名访问”复选框。
客户端集成
可以禁用客户端集成,这将删除启动客户端应用程序的功能。这对于一些方案是最佳的配置,例如将只读的内容发布到 Web 以供匿名访问。此外,如果选择 ASP.NET 表单身份验证或 Web 单一登录 (SSO) 身份验证,则客户端集成默认情况下设置为“否”。
如果您已安装了 Windows SharePoint Services 3.0 Service Pack 2 (SP2),则将支持客户端集成(但 Outlook 集成除外)。将支持所有其他客户端集成,包括 SharePoint Designer 创作。
备注
如果您尚未安装 Windows SharePoint Services 3.0 SP2,则当您使用基于表单的身份验证时,默认情况下将禁用客户端集成。这是因为在 Windows SharePoint Services 3.0 SP2 之前,客户端集成并不内在支持基于表单的身份验证。
当客户端集成被禁用时的预期行为
如果客户端集成被禁用,网站会表现出以下几方面的行为:
启动客户端应用程序的链接不可见。
在浏览器中打开文档。文档不能由客户端应用程序打开。
用户无法通过客户端应用程序直接在网站上编辑文档。但是,用户可以下载文档,在本地编辑文档,然后上载文档。
下表列出在禁用客户端集成时不可用的特定菜单命令和功能。
| 类别 | 不可用的命令或功能 |
|---|---|
工具栏 |
新建文档 在 Microsoft Office Outlook 中工作 在 Windows 资源管理器中打开 导出到电子表格 使用数据库程序打开 |
编辑文档 |
在 Microsoft Office 应用程序(例如 Word 和 Excel)中编辑。 |
视图 |
资源管理器视图 创建 Access 视图 |
图片库 |
上载多个 编辑图片 下载 发送到 |
幻灯片库 |
发布幻灯片 发送到 Microsoft Office PowerPoint |
其他 |
讨论 连接到 Office Outlook |
特定身份验证方法的行为
除了部署方案(例如发布只读的内容)之外,选择何种身份验证方法也可能决定着如何配置客户端集成。某些身份验证方法在客户端应用程序中的行为会有差别。在某些情况下,行为取决于客户端浏览器是配置为使用永久性 Cookie 还是使用会话 Cookie。
下表总结了客户端集成在与特定的身份验证方法一起使用时可能表现出的行为。
| 身份验证方法 | 行为 |
|---|---|
基本 |
每次用户访问文档时,都会提示用户输入凭据。其他功能也可能要求用户重新输入其凭据。 |
ASP.NET 表单和 Web SSO |
如果下列条件为真,则创建永久性 Cookie:
永久性 Cookie 由所有使用同一个 Cookie 存储的应用程序共享,而且用户可以在客户端应用程序中打开文档。创建的永久性 Cookie 具有 30 分钟的默认超时值。通过在 Web.config 文件中的表单节点内添加或更新超时参数,可以更改此值。例如:
在 Cookie 到期时,客户端集成停止工作。如果用户是在浏览器中,将会提示他们重新输入凭据。 如果身份验证提供程序不支持永久性 Cookie,或者用户在登录时未单击“自动登录”,则会使用会话 Cookie。会话 Cookie 仅可由浏览器访问。用户将无法直接在客户端应用程序中打开文档。 如果身份验证提供程序不支持永久性 Cookie,或者如果您的环境中不允许永久性 Cookie,请禁用客户端集成。例如,Active Directory 联合身份验证服务 (ADFS) 不支持永久性 Cookie。 |
匿名 |
打开文档时,将重复提示用户输入他们的凭据。如果用户在身份验证对话框中单击“取消”10 次,网站可能会使用客户端应用程序来打开文档。由于这种用户体验不佳,因此建议为匿名访问方案禁用客户端集成。 |
使用带有 Internet Explorer 7 的 Windows Vista 操作系统
在 Windows Vista 中,Internet Explorer 7 包含一项称为内核模式的额外安全功能。默认情况下,会为 Internet 区域、Intranet 区域和受限制的站点区域启用内核模式。由于此功能会将永久性 Cookie 放在一个阻止在应用程序之间共享的位置中,因此客户端集成不能发挥预期的作用。
要将 Internet Explorer 7 配置为与客户端集成一起使用,请执行下列操作之一:
禁用内核模式。
如果内核模式已启用,请在 Internet Explorer 中将 SharePoint 网站添加到受信任的站点区域。
有关禁用内核模式的信息,请参阅了解和使用内核模式 Internet Explorer(该链接可能指向英文页面)(https://go.microsoft.com/fwlink/?linkid=78098&clcid=0x804) 中的“配置内核模式”。
测试客户端集成设置
如果不确定如何配置客户端集成设置,请在将网站部署到生产环境之前在测试环境中测试结果。如果在应用此设置后更改它,网站和客户端应用程序可能会表现出异常的行为。
| 工作表操作 |
|---|
在 Web 应用程序身份验证设置工作表(该链接可能指向英文页面)(https://go.microsoft.com/fwlink/?linkid=73334&clcid=0x804) 上,在“启用客户端集成”部分中选择“是”或“否”。 |
ASP.NET 表单身份验证和 Web SSO 的设置
如果实施 ASP.NET 表单身份验证或 Web SSO,则必须开发一些配置设置,以插入到适当的 Web.config 文件中。请参阅身份验证示例 (Windows SharePoint Services),以查看针对几种常见方案正确配置的字符串的示例。
| 工作表操作 |
|---|
在 Web 应用程序身份验证设置工作表(该链接可能指向英文页面)(https://go.microsoft.com/fwlink/?linkid=73334&clcid=0x804) 上,输入以下两种类型的信息:
|
确保您在 Web.config 文件中注册的 MembershipProvider 名称和 RoleManager 名称与您在管理中心的 authentication.aspx 页中输入的名称相同。如果没有在 Web.config 文件中输入角色管理器,则可能会改用在 machine.config 文件中指定的默认提供程序。
例如,Web.config 文件中的以下字符串指定 SQL 成员资格提供程序:
<membership defaultProvider="AspNetSqlMembershipProvider">
有关对成员资格提供程序和角色管理器的要求的详细信息,请参阅规划身份验证方法 (Windows SharePoint Services) 中的“连接到未基于 Windows 或在外部的标识管理系统”。
规划身份验证的排除项
如果实施 ASP.NET 表单身份验证或 Web SSO,则需要规划身份验证的排除项。如果实施 Windows 身份验证,则无需阅读本节。
在创建或扩展 Web 应用程序或将区域添加到 Web 应用程序时,IIS 会创建一个新的网站。在此 Web 应用程序的 Web.config 文件中注册的身份验证设置由该网站之下的虚拟目录继承。添加到 Windows SharePoint Services 3.0 中的 Web 应用程序之下的虚拟目录不受 Windows SharePoint Services 3.0 管理,并被视为要排除的虚拟目录。
如果实施 ASP.NET 表单身份验证或 Web SSO,并且计划在这些网站之下添加虚拟目录,则需要决定是否要这些被排除的虚拟目录继承 ASP.NET 表单身份验证或 Web SSO 设置。
| 工作表操作 |
|---|
在 Web 应用程序身份验证设置工作表(该链接可能指向英文页面)(https://go.microsoft.com/fwlink/?linkid=73334&clcid=0x804) 上,指出是否在 IIS 中将被排除的虚拟目录添加到对应于 Windows SharePoint Services 3.0 中的此 Web 应用程序的网站之下。如果添加被排除的虚拟目录,则指出是否应继承身份验证设置。 |
使用以下过程配置 IIS 以便不继承身份验证设置。
配置 IIS 以便不继承身份验证设置
在对应于 Windows SharePoint Services 3.0 中的相应 Web 应用程序或区域的 IIS 网站之下添加一个新的 IIS 虚拟目录。
在 IIS 管理器中,右键单击新的虚拟目录,再单击“属性”。
单击“虚拟目录”选项卡。
单击“创建”(这使虚拟目录成为一个应用程序)。
单击“配置”。
选择通配符应用程序映射,再单击“删除”。
单击“是”,再单击“确定”。
在新虚拟目录的文件系统路径的根目录创建一个新的 Web.config 文件,并添加下列条目:
<?xml version="1.0" encoding="UTF-8" standalone="yes"?> <configuration> <system.web> <httpModules> <clear /> </httpModules> <httpHandlers> <clear /> </httpHandlers> </system.web> </configuration>
工作表
使用以下工作表为 Windows SharePoint Services 3.0 中的每个 Web 应用程序规划和记录配置设置。
下载此书籍
本主题包含在以下可下载书籍内,以方便您阅读和打印:
有关可下载书籍的完整列表,请参阅 Windows SharePoint Services 的可下载书籍。