规划身份验证方法 (Windows SharePoint Services)
本文内容:
关于身份验证
支持的身份验证方法
配置身份验证
规划身份验证以便对内容进行爬网
规划用于身份验证设计的区域
选择环境中允许的身份验证方法
工作表
本文介绍 Windows SharePoint Services 3.0 支持的身份验证方法。在阅读本文之后,您将能够:
了解如何在 Windows SharePoint Services 3.0 中实现身份验证。
确定适用于您的环境的身份验证方法。
关于身份验证
身份验证是指对用户身份进行验证的过程。在验证用户身份之后,授权过程将确定用户可以访问的网站、内容和其他功能。
在 Windows SharePoint Services 3.0 中,身份验证过程由 Internet Information Services (IIS) 管理。在 IIS 执行用户身份验证之后,Windows SharePoint Services 3.0 中的安全功能将执行授权过程。
有关实现 Windows SharePoint Services 3.0 授权的详细信息,请参阅规划网站和内容安全性 (Windows SharePoint Services)。
规划身份验证不仅对于通过验证用户身份来保护解决方案很重要,而且对于保护网络上的用户凭据也很重要。
支持的身份验证方法
Windows SharePoint Services 3.0 提供一类灵活且可扩展的身份验证系统,此系统支持用于身份管理系统(基于或不基于 Microsoft Windows 操作系统)的身份验证。通过与 ASP.NET 可插入验证集成,Windows SharePoint Services 3.0 支持各种基于表单的身份验证方案。利用 Windows SharePoint Services 3.0 支持的身份验证可实现各种身份验证方案,其中包括:
使用标准的 Windows 身份验证方法。
使用包含用户名和密码的简单数据库。
直接连接到组织的身份管理系统。
使用两种或两种以上的身份验证方法来访问合作伙伴应用程序(例如,连接到合作伙伴公司的身份管理系统以对合作伙伴公司的员工进行身份验证,同时使用 Windows 身份验证方法对内部员工进行身份验证)。
加入联合身份管理系统。
下表列出支持的身份验证方法:
| 身份验证方法 | 说明 | 示例 |
|---|---|---|
Windows |
支持标准的 IIS Windows 身份验证方法。 |
|
ASP.NET 表单 |
Windows SharePoint Services 3.0 通过与 ASP.NET 表单身份验证系统集成,增加了对不基于 Windows 的身份管理系统的支持。使用 ASP.NET 身份验证,Windows SharePoint Services 3.0 可使用实现 MembershipProvider 接口的身份管理系统。您无需重写安全管理页或管理卷影 Active Directory 目录服务帐户。 |
|
Web 单一登录 (SSO) |
Windows SharePoint Services 3.0 支持通过 Web SSO 供应商进行的联合身份验证。对于在完全不同的平台上运行各种服务的环境,可利用 Web SSO 在其中实现 SSO。您无需管理单独的 Active Directory 帐户。 |
|
系统帐户的身份验证
ASP.NET 表单身份验证和 Web SSO 可用于仅对用户帐户进行身份验证。即使在使用其他身份验证方法对用户进行身份验证时,用于连接到 Microsoft SQL Server 数据库软件并运行 Web 场的进程帐户也必须是 Windows 帐户。
对于未运行 Active Directory 的服务器场,Windows SharePoint Services 3.0 支持 SQL Server 身份验证和本地计算机进程帐户。例如,通过在场内的所有服务器之间使用相同的用户名和密码可以实现本地帐户。
配置身份验证
虽然配置 Windows 身份验证是一个简单的过程,但将身份验证配置为使用 ASP.NET 表单或 Web SSO 需要进行更多的规划。本部分提供有关如何在 Windows SharePoint Services 3.0 中配置身份验证的摘要。这些信息将帮助您了解如何确定解决方案的身份验证策略,并确定组织中需要参与身份验证规划的人员。
为 SharePoint Web 应用程序配置身份验证
Windows SharePoint Services 3.0 中的身份验证是在 SharePoint Web 应用程序级别配置的。下图说明配置为承载多个公司网站的 Windows SharePoint Services 服务器场。将为每个公司单独配置身份验证。
.gif "两家不同公司的主机身份验证")
当您最初创建或扩展 Web 应用程序时,将看到有限的几个身份验证选项(Kerberos、NTLM 和匿名)。如果使用这些方法之一,则可以在创建或扩展 Web 应用程序时配置身份验证。
下图演示在最初创建或扩展 Web 应用程序时可选的有限的几个身份验证选项:
.gif "默认身份验证设置")
但是,如果使用的是其他身份验证设置,请选择默认的身份验证选项,然后在创建或扩展 Web 应用程序之后配置身份验证。(为此,请在管理中心中的“应用程序管理”页上的“应用程序安全性”部分中,选择“验证提供程序”,然后单击该区域以打开“编辑验证”页。)此页上配置的设置取决于选定的身份验证类型:Windows、表单或 Web SSO。
下图演示“编辑验证”页:
.gif "编辑验证页")
根据您在管理中心内选定的身份验证选项,可能需要进行其他配置。下表汇总了基于身份验证方法的配置步骤。此表还指示是否需要除 SharePoint 管理员之外的专用角色。
| 身份验证方法 | 其他配置 | 专用角色 |
|---|---|---|
匿名 |
无 |
无 |
基本 |
无 |
无 |
摘要 |
直接在 IIS 中配置摘要式身份验证。 |
无 |
证书 |
|
可获取并配置证书的 Windows Server 2003 管理员 |
NTLM(集成的 Windows) |
无 |
无 |
Kerberos(集成的 Windows) |
|
IIS 管理员 |
表单 |
|
|
Web SSO |
除了 ASP.NET 表单身份验证所需的配置步骤之外,还需为 Web SSO 提供程序注册 HTTP 模块。 |
|
连接到外部身份管理系统或不基于 Windows 的身份管理系统
若要使用 ASP.NET 表单或 Web SSO 针对不基于 Windows 的或外部的身份管理系统来对用户进行身份验证,则必须在 Web.config 文件中注册成员资格提供程序。除了注册成员资格提供程序之外,还可以注册角色管理器。Windows SharePoint Services 3.0 使用标准的 ASP.NET 角色管理器接口来收集有关当前用户的组信息。Windows SharePoint Services 3.0 中的授权进程将每个 ASP.NET 角色都视为一个域组。可按照为用于身份验证的成员资格提供程序注册的相同方式,在 Web.config 文件中注册角色管理器。
如果要从管理中心网站管理成员资格用户或角色,除了在承载内容的 Web 应用程序的 Web.config 文件中注册成员资格提供程序和角色管理器之外,还可以选择在管理中心网站的 Web.config 文件中注册成员资格提供程序和角色管理器。
确保在 Web.config 文件中注册的成员资格提供程序名称和角色管理器名称与在管理中心的 Authentication.aspx 页中输入的名称相同。如果未在 Web.config 文件中输入角色管理器,则可能会改用 machine.config 文件中指定的默认提供程序。
例如,Web.config 文件中的以下字符串指定 SQL 成员资格提供程序:
<membership defaultProvider="AspNetSqlMembershipProvider">
有关使用 ASP.NET 表单身份验证以连接到 SQL Server 身份验证提供程序的其他信息,请参阅身份验证示例 (Windows SharePoint Services)。
最后,如果使用 Web SSO 连接到外部身份管理系统,则还必须为 Web SSO 注册一个 HTTP 模块。HTTP 模块是针对发送至应用程序的每个请求调用的程序集。HTTP 模块将作为 ASP.NET 请求管道的一部分调用。有关详细信息,请参阅 HTTP 模块介绍 (https://go.microsoft.com/fwlink/?linkid=77954&clcid=0x804)。
与 ASP.NET 表单身份验证集成会对身份验证提供程序提出其他要求。除了在 Web.config 文件中注册各种元素之外,还必须对成员资格提供程序、角色管理器和 HTTP 模块进行编程,以便与 Windows SharePoint Services 3.0 和 ASP.NET 方法进行交互,如下表所示:
| 类别 | 说明 |
|---|---|
成员资格提供程序 |
若要使用 Windows SharePoint Services 3.0,则成员资格提供程序必须实现以下方法:
|
角色管理器 |
角色管理器必须实现以下方法:
|
HTTP 模块 |
HTTP 模块必须处理以下事件:
|
启用匿名访问
除了配置更安全的身份验证方法之外,还可以为 Web 应用程序启用匿名访问。使用此配置,Web 应用程序内的网站管理员可以选择允许匿名访问。如果匿名用户要获取对安全资源和功能的访问权,则他们可以单击登录按钮来提交其凭据。
使用不同的身份验证方法来访问网站
可以将 Windows SharePoint Services 3.0 中的 Web 应用程序配置为最多由五种不同的身份验证方法或身份管理系统访问。下图说明配置为由来自两个不同的身份管理系统的用户访问的合作伙伴应用程序。通过使用标准的 Windows 身份验证方法之一对内部员工进行身份验证。针对合作伙伴公司的身份管理系统对合作伙伴公司的员工进行身份验证。
.gif "管理身份验证选项图表")
若要将 Web 应用程序配置为由两个或两个以上不同的身份验证系统访问,则必须为 Web 应用程序配置其他区域。区域表示获取对同一物理应用程序的访问权的不同的逻辑路径。通过使用典型的合作伙伴应用程序,合作伙伴公司的员工将通过 Internet 访问该应用程序,而内部员工将直接通过 Intranet 访问该应用程序。
若要创建新的区域,请扩展 Web 应用程序。在“将 Web 应用程序扩展到其他 IIS 网站”页上的“负载平衡的 URL”部分中,指定 URL 和区域类型。区域类型只是应用于区域的类别名称,不会影响区域的配置。
在扩展 Web 应用程序之后,可以为新的区域配置单独的身份验证方法。下图演示配置为使用两个不同区域的 Web 应用程序的“验证提供程序”页。默认区域是由内部员工使用的区域。Internet 区域是为合作伙伴访问配置的,它使用 ASP.NET 表单针对合作伙伴身份管理系统对合作伙伴的员工进行身份验证。
.gif "配置了两个区域的 Web 应用程序")
规划身份验证以便对内容进行爬网
若要对 Web 应用程序中的内容进行成功爬网,则必须了解搜索服务器(也称作爬网程序)的索引组件的身份验证要求。本节介绍如何为 Web 应用程序配置身份验证,以确保能够对这些 Web 应用程序中的内容进行成功爬网。
在服务器场管理员使用所有的默认设置创建 Web 应用程序之后,此 Web 应用程序的默认区域将配置为使用 NTLM。服务器场管理员可以将默认区域的身份验证方法更改为 Windows SharePoint Services 3.0 支持的任何身份验证方法。
服务器场管理员还可以一次或多次扩展 Web 应用程序以便启用其他区域。最多可以将五个区域与特定的 Web 应用程序关联,并且可将每个区域配置为使用 Windows SharePoint Services 3.0 支持的任何身份验证方法。
爬网程序访问区域的顺序
当为 Web 应用程序规划区域时,请考虑爬网程序在尝试进行身份验证时访问各区域的轮询顺序。此轮询顺序非常重要,因为如果爬网程序遇到一个配置为使用基本身份验证、摘要式身份验证或 Kerberos 身份验证的区域,则身份验证将失败且爬网程序不会尝试按照轮询顺序访问下一个区域。如果发生这种情况,爬网程序将不会对该 Web 应用程序上的内容进行爬网。
提示
确保配置为 NTLM 的区域在轮询顺序中位于配置为使用基本身份验证、摘要式身份验证或 Kerberos 身份验证的区域的前面。
爬网程序按以下顺序轮询各区域:
默认区域
Intranet 区域
Internet 区域
自定义区域
Extranet 区域
下图演示当爬网程序尝试进行身份验证时身份验证系统所做的决定:
.gif "显示爬网程序轮询区域的顺序。")
下表描述与图中每个标注关联的操作:
| 标注 | 操作 |
|---|---|
1 |
爬网程序尝试使用默认区域进行身份验证。 .gif "Note") 注意:
当爬网程序尝试对特定的 Web 应用程序进行身份验证时,总是会先尝试使用默认区域。
|
2 |
如果该区域配置为使用 NTLM,则会对爬网程序进行身份验证,并直接进入授权阶段。 |
3 |
如果该区域配置为使用基本身份验证、摘要式身份验证或 Kerberos 身份验证配置,则身份验证将失败且爬网程序不会尝试使用另一个区域来进行身份验证。这意味着不会对内容进行爬网。 |
4 |
如果轮询顺序中没有其他区域,则身份验证将失败且不会对内容进行爬网。 |
5 |
爬网程序尝试使用轮询顺序中的下一个区域来进行身份验证。 |
如果将默认区域配置为使用爬网程序不支持的身份验证方法(例如,表单身份验证或 Web SSO),则必须至少创建一个附加区域并将此区域配置为使用 NTLM 身份验证。请考虑以下方案。
身份验证方案
服务器场管理员创建一个 Web 应用程序并将其配置为使用表单身份验证。由于服务器场管理员希望对 Web 应用程序中的内容进行爬网和建立索引,并且知道爬网程序需要一个使用 NTLM 配置的区域,因此服务器场管理员会扩展 Web 应用程序并将 Intranet 区域配置为使用 NTLM。
当爬网程序尝试使用默认区域来进行身份验证时,身份验证系统发现爬网程序和默认区域没有配置为使用相同的身份验证方法。由于该区域没有配置为使用基本身份验证、摘要式身份验证或 Kerberos 身份验证,且轮询顺序中至少有一个附加区域,因此爬网程序会尝试通过使用 Intranet 区域来进行身份验证。由于已将 Intranet 区域配置为使用 NTLM,并且爬网程序也使用 NTLM,因此身份验证将成功。
除了正确配置身份验证方法之外,还必须确保爬网程序有权对 Web 应用程序中的内容进行爬网。为此,必须确保用于内容访问帐户的凭据具有要进行爬网的 Web 应用程序的“完全读取”权限级别或更高级别。服务器场管理员可以使用管理中心的“Web 应用程序的策略”页来创建这样一个策略,此策略授予内容访问帐户对特定 Web 应用程序的“完全读取”权限级别。
对以主机命名的网站集进行爬网
上图中说明的过程和规则不适用于以主机命名的网站集。这是因为仅可通过默认区域来使用以主机命名的网站集。如果在部署以主机命名的网站集时未将默认区域配置为使用 NTLM,则必须配置其他方法,索引组件才能访问内容。
有关对没有配置为使用 NTLM 身份验证的以主机命名的网站集进行爬网的详细信息,请参阅下列文章:
规划用于身份验证设计的区域
如果打算通过使用区域来为 Web 应用程序实现多个身份验证方法,请使用以下指南:
使用默认区域来实现最安全的身份验证设置。如果请求不能与特定区域相关联,则将应用默认区域的身份验证设置和其他安全策略。默认区域是在最初创建 Web 应用程序时创建的区域。通常,最安全的身份验证设置是为最终用户访问设计的。因此,默认区域可能是由最终用户访问的区域。
尽量减少应用程序所需的区域数。每个区域都与新的 IIS 网站和域关联以便访问 Web 应用程序。仅在需要新的访问点时才进行添加。
如果希望在搜索结果中包含 Web 应用程序中的内容,请确保至少有一个区域配置为使用 NTLM 身份验证。索引组件需要 NTLM 身份验证来对内容进行爬网。不要为索引组件创建专用区域(除非有必要)。
选择环境中允许的身份验证方法
除了解身份验证的配置方式之外,规划身份验证还包括:
考虑 Windows SharePoint Services 3.0 中的 Web 应用程序的安全性上下文或环境。
评估针对每种方法的建议和缺点。
了解 Windows SharePoint Services 3.0 如何对用户凭据和相关身份数据进行缓存并使用它们。
了解如何管理用户帐户。
确保身份验证方法与用户使用的浏览器兼容。
| 工作表操作 |
|---|
使用身份验证方法工作表(该链接可能指向英文页面)(https://go.microsoft.com/fwlink/?linkid=77970&clcid=0x804)(该链接可能指向英文页面)可确定希望在环境中支持的身份验证方法,并记录对每种身份验证方法的决定和建议。当为 Windows SharePoint Services 3.0 中的各个 Web 应用程序规划身份验证方法时,将使用此工作表。 |
针对特定安全环境的建议
所选的身份验证方法主要取决于应用程序的安全性上下文。下表提供基于最常见的安全环境的建议:
| 环境 | 注意事项 |
|---|---|
内部 Intranet |
至少要保护用户凭据,使其不被一览无余。可与您的环境中实施的用户管理系统集成。如果实施了 Active Directory,则可使用 IIS 内置的 Windows 身份验证方法。 |
外部安全协作 |
为连接到网站的每个合作伙伴公司配置一个单独的区域。使用 Web SSO 针对每个合作伙伴自己的身份管理系统来进行身份验证。这样就无需在自己的身份管理系统中创建帐户,并确保合作伙伴雇主继续维护和验证雇员身份。如果合作伙伴公司不再雇佣某个雇员,则该雇员将不能继续访问合作伙伴应用程序。 |
外部匿名 |
启用匿名访问(无身份验证)并允许从 Internet 连接的用户具有只读权限。如果要提供目标内容或基于角色的内容,则可以使用 ASP.NET 表单身份验证通过包含用户名和角色的简单数据库为用户注册。使用注册过程来按角色标识用户(例如,医生、患者或药剂师)。当用户登录时,网站可呈现特定于用户角色的内容。在此方案中,身份验证不是用来验证凭据或限制可以访问内容的人员;身份验证过程只是提供一种设定目标内容的方法。 |
身份验证方法的建议和缺点
了解每种特定的身份验证方法的优点、建议和缺点可帮助您确定要在环境中使用的方法。下表主要列出了每种身份验证方法的建议和缺点。有关 IIS 支持的每种 Windows 身份验证方法的详细信息,请参阅 IIS 身份验证(https://go.microsoft.com/fwlink/?linkid=78066&clcid=0x804)。
| 身份验证方法 | 优点和建议 | 缺点 |
|---|---|---|
Windows |
|
|
ASP.NET 表单 |
|
|
Web SSO |
|
|
管理用户身份信息
Windows SharePoint Services 3.0 处理和使用用户凭据及其他身份信息的方式会影响您选择最能满足您的需要的身份验证方法。本节详细介绍如何处理以下类别的用户身份信息:
二进制 ID Windows SharePoint Services 3.0 如何创建或使用用户二进制标识符 (ID)。
缓存 将用户的身份保留一段时间以避免为每个请求重复身份验证过程。
角色和组成员身份 除了确定用户的身份之外,身份验证过程还确定用户所属的组或角色。在授权过程中,此信息用于确定用户有权执行的操作。为了进行授权,Windows SharePoint Services 3.0 会将 Active Directory 组和 ASP.NET 角色视为同类实体。
下表详细描述 Windows SharePoint Services 3.0 如何管理用户的二进制 ID、缓存的用户数据以及角色和组成员身份数据,具体取决于使用的身份验证方法:
| 项目 | Windows 身份验证 | ASP.NET 表单和 Web SSO |
|---|---|---|
二进制 ID |
Windows SharePoint Services 3.0 使用 Windows 安全标识符 (SID)。 |
Windows SharePoint Services 3.0 通过组合提供程序名称和用户名来创建唯一的二进制 ID。 |
缓存 |
IIS、Internet Explorer 和 Windows 对用户凭据进行缓存和管理。 |
ASP.NET 使用加密的 Cookie 在会话持续时间内保留用户凭据。 |
角色和组成员身份 |
Windows 在存取令牌中维护用户所属的 Active Directory 域组的列表。Windows SharePoint Services 3.0 使用存取令牌中存储的信息。 |
在为角色管理器注册时,Windows SharePoint Services 将使用标准的角色管理器接口来收集有关当前用户的组信息。授权过程将每个 ASP.NET 角色都视为一个域组。ASP.NET 可将用户所属的角色缓存在 Cookie 中,具体取决于 Web.config 文件中配置的设置。 |
管理用户帐户
了解 Windows SharePoint Services 3.0 处理典型用户帐户管理任务的方式也会影响您选择的身份验证方法。通常,作为一个区域中的身份验证提供程序的成员的用户可以管理所有区域中的帐户(只要授予他们权限)。无论实现哪一种身份验证方法,下表中的信息都适用:
添加和邀请新用户 如果已在当前 Web.config 文件中注册成员资格提供程序和角色管理器,则可以添加或邀请使用所配置的任意区域及所有身份验证方法的新用户。当添加新用户时,Windows SharePoint Services 3.0 将针对以下资源按下面的顺序解析用户名:
由 Windows SharePoint Services 3.0 存储的 UserInfoList 表。如果已将用户添加到另一个网站,则用户信息将位于此列表中。
为当前区域配置的身份验证提供程序。例如,如果用户是为默认区域配置的身份验证提供程序的成员之一,则 Windows SharePoint Services 3.0 首先检查此关联的成员资格提供程序。
所有其他的身份验证提供程序。
删除用户 用户帐户在 Windows SharePoint Services 3.0 数据库中标记为已删除。但是,不会移除用户记录。
根据身份验证提供程序的不同,Windows SharePoint Services 3.0 内的某些用户帐户管理行为会有所不同。下表主要列出了几个常见的用户帐户任务,这些任务因实现的身份验证方法而异:
| 任务 | 经 Windows 身份验证的帐户 | 经 ASP.NET 表单身份验证的帐户和经 Web SSO 身份验证的帐户 |
|---|---|---|
添加和邀请新用户 |
Windows SharePoint Services 3.0 通过使用 Active Directory 来验证用户身份。 |
Windows SharePoint Services 3.0 调用成员资格提供程序和角色管理器来验证用户和角色是否存在。 |
更改登录名 |
Windows SharePoint Services 3.0 将自动识别更新的用户名。新项不会添加到 UserInfoList 表中。 |
必须删除旧的帐户名并添加新的帐户名。不能迁移权限。 |
登录 |
如果使用集成 Windows 身份验证(Kerberos 或 NTLM)并将浏览器配置为自动登录,则用户无需手动登录到 SharePoint 网站。默认情况下,将 Internet Explorer 配置为自动登录到 Intranet 站点。如果要求登录(例如,需要一组不同凭据的网站),则系统只提示用户输入用户名和密码。但是,如果使用基本身份验证或用户使用的浏览器没有配置为自动登录,则当用户访问 SharePoint 网站时,系统可能会提示用户输入登录凭据。 |
Windows SharePoint Services 3.0 提供用于表单身份验证的标准登录页。此页包含下列字段:用户名、密码、自动登录(保存在 Cookie 中)。可以创建自己的登录页以添加其他登录控件(例如,创建新的帐户或重置密码)。 |
浏览器支持
受支持的每种身份验证方法并非适用于所有浏览器。在选择环境中允许的身份验证方法之前,请确定需要支持的浏览器。然后,确定浏览器支持的身份验证方法。受支持的每种身份验证方法都适用于 Internet Explorer。Windows SharePoint Services 3.0 支持的其他浏览器包括:
Netscape 8.0
Netscape 7.2
Mozilla 1.7.12
Firefox 1.5
Safari 2.02
工作表
可使用下面的工作表来记录适用于您的环境的身份验证方法:
下表表示一个已完成的工作表的示例:
| 身份验证方法 | 允许 | 不允许 | 注释和建议 |
|---|---|---|---|
匿名 |
x |
||
基本 |
x |
||
摘要 |
x |
||
证书 |
x |
||
NTLM(集成的 Windows) |
x |
“为除财务部门网站以外的所有部门网站使用 NTLM。” |
|
Kerberos(集成的 Windows) |
x |
“为使用高安全服务级别协议的网站设置 Kerberos 身份验证。” |
|
ASP.NET 表单 |
x |
“使用表单身份验证以允许合作伙伴公司访问合作伙伴的 Extranet 中承载的网站。目前我们允许针对以下身份管理系统进行身份验证:Active Directory、LDAP。与 Sidney Higa 一起开发用于表单身份验证的身份验证设置。” |
|
Web SSO |
x |
“仅当合作伙伴公司加入联合身份管理系统时,才为合作伙伴应用程序使用此方法。有关详细信息,请咨询 David Jones。” |
附加注释: “在实施之前,请与 Denise Smith 一起注销 SharePoint Web 应用程序的所有身份验证设置。”
下载此书籍
本主题包含在以下可下载书籍内,以方便您阅读和打印:
有关可下载书籍的完整列表,请参阅 Windows SharePoint Services 的可下载书籍(该链接可能指向英文页面)。