規劃驗證方法 (Office SharePoint Server)

發行項
06/12/2012

本文內容：

關於驗證
支援的驗證方法
設定驗證
規劃如何驗證編目內容
規劃驗證設計的區域
選擇環境所允許的的驗證方法
工作表

本文將說明 Microsoft Office SharePoint Server 2007 所支援的驗證方法。閱讀本文之後，您將可以：

瞭解在 Office SharePoint Server 2007 中如何實作驗證。
找出適合環境使用的驗證方法

關於驗證

驗證是確認使用者身分識別的程序。確認使用者身分識別之後，授權過程將會決定使用者所能存取的網站、內容與其他功能。

在 Office SharePoint Server 2007 中，驗證程序由網際網路資訊服務 (IIS) 管理。IIS 完成使用者驗證之後，Office SharePoint Server 2007 的安全性功能會接著執行驗證程序。

如需實作 Office SharePoint Server 2007 驗證的詳細資訊，請參閱＜規劃網站和內容安全性 (Office SharePoint Server)＞。

驗證的規劃十分重要，不只可以藉由驗證使用者的身分識別保護您的方案，也可以保障使用者認證在網路上的安全。

支援的驗證方法

Office SharePoint Server 2007 的驗證系統極具彈性及擴充性，無論身分識別管理系統是否採用 Microsoft Windows 作業系統，皆可對其提供驗證支援。Office SharePoint Server 2007 藉由整合 ASP .NET 的插入式驗證，而可支援各種表單型驗證配置。Office SharePoint Server 2007 的驗證支援適用於多種驗證案例，包括：

使用標準的 Windows 驗證方法。
使用只包含使用者名稱與密碼的資料庫。
直接連線至組織的身分識別管理系統。
使用兩 (含) 種以上之驗證方法存取合作夥伴應用程式 (例如在使用 Windows 驗證方法驗證貴公司之內部員工時，連線至合作夥伴公司的身分識別管理系統驗證合作夥伴的員工)。
參與同盟身分識別管理系統。

下表是所支援之驗證方法的清單：

驗證方法	描述	範例
Windows	支援標準的 IIS Windows 驗證方法。	匿名基本摘要憑證 Kerberos (整合式 Windows) NTLM (整合式 Windows)
ASP.NET 表單	Office SharePoint Server 2007 藉由整合 ASP.NET 表單驗證系統，對不是採用 Windows 的身分識別管理系統提供支援。ASP.NET 驗證可讓 Office SharePoint Server 2007 與實作成員資格提供者介面的身分識別管理系統搭配運作。您無需重新編寫安全性管理頁面，或管理 Active Directory 目錄服務帳戶。	輕量型目錄存取通訊協定 (LDAP) SQL 資料庫或其他資料庫其他 ASP.NET 型表單的驗證解決方案
網頁單一登入 (SSO)	Office SharePoint Server 2007 透過 Web SSO 廠商支援同盟驗證。Web SSO 可以在包含不同平台上所執行之服務的環境中啟用 SSO。您無需管理個別的 Active Directory 帳戶。	Active Directory Federation Services (AD FS) 其他身分識別管理系統

系統帳戶的驗證

ASP.NET 表單驗證與 Web SSO 可以只用於驗證使用者帳戶。即使是使用替代驗證方法驗證使用者，用於連接至 Microsoft SQL Server 資料庫軟體，以及執行網頁伺服器陣列的處理序帳戶，皆必須是 Windows 的帳戶。

Office SharePoint Server 2007 支援 SQL Server 驗證，以及未執行 Active Directory 之伺服器陣列的本機電腦處理序帳戶。例如，您可以對伺服器陣列內之所有伺服器使用相同的使用者名稱與密碼實作本機帳戶。

設定驗證

設定 Windows 驗證的程序雖然簡單，但設定使用 ASP.NET 表單或 Web SSO 的驗證就需要較多的規劃。本節提供如何在 Office SharePoint Server 2007 中設定驗證的摘要。此資訊有助於您整合方案的驗證策略，並確認需要參與驗證規劃的人員。

設定 SharePoint Web 應用程式的驗證

Office SharePoint Server 2007 的驗證在 SharePoint Web 應用程式層級設定。下列圖表是設定用以主控多家公司之 Windows SharePoint Services 伺服器陣列的說明。每一家公司會個別設定其驗證。

兩家不同公司的主機驗證

一開始建立或延伸 Web 應用程式時，只會提供有限數量的驗證選項 (Kerberos、NTLM 與匿名)。若是使用其中一種方法，即可在建立或延伸 Web 應用程式時設定驗證。

下列圖例是您一開始建立或延伸 Web 應用程式時，所提供的有限數量驗證選項：

預設驗證設定

但若是使用其他驗證設定，請選取預設的驗證選項建立及延伸 Web 應用程式，然後再設定驗證 (若要執行此作業，可以在管理中心 [應用程式管理] 頁面上的 [應用程式安全性]**** 區段中選取 [驗證提供者]，然後按一下該區域開啟 [編輯驗證] 頁面)。可在此頁面上設定的設定，取決於所選驗證類型：Windows、表單或 Web SSO。

下列圖例是 [編輯驗證] 頁面：

編輯驗證頁面

根據您在管理中心選取的驗證選擇，可能需要其他的設定。下表是不同驗證方法之設定步驟摘要。此表亦會指出是否還需要 SharePoint 管理員以外的特殊角色。

驗證方法	額外設定	特殊角色
匿名	無	無
基本	無	無
摘要	直接在 IIS 中設定摘要驗證。	無
憑證	在管理中心中選取 Windows 驗證設定 IIS 的憑證驗證。啟用安全通訊端階層 (SSL)。從憑證授權單位 (CA) 取得並設定憑證。	Windows Server 2003 管理員，取得並設定憑證。
NTLM (整合式 Windows)	無	無
Kerberos (整合式 Windows)	設定 Web 應用程式使用 Kerberos 驗證。設定用於應用程式集區身分識別 (應用程式集區處理序帳戶) 之網域使用者帳戶服務主要名稱 (SPN)。在 Active Directory 中登錄網域使用者帳戶的 SPN。	IIS 管理員
表單	在 SharePoint Web 應用程式的 Web.config 檔案中登錄成員資格提供者。在 SharePoint Web 應用程式的 Web.config 檔案中登錄角色管理員 (選擇性)。在管理中心網站的 Web.config 檔案中登錄成員資格提供者。	ASP.NET 開發人員您要連接之身分識別系統的管理員
Web SSO	除了 ASP.NET 表單驗證的必要設定步驟之外，亦需登錄 Web SSO 提供者的 HTTP 模組。	ASP.NET 開發人員您要連接之身分識別系統的管理員

連接到外部或不是採用 Windows 之身分識別系統的管理員

若要使用 ASP.NET 表單或 Web SSO，根據外部的或不是採用 Windows 的身分識別系統驗證使用者，必須在 Web.config 檔案登錄成員資格提供者。除了成員資格提供者之外，也可登錄角色管理員。Office SharePoint Server 2007 使用標準的 ASP.NET 角色管理員介面收集關於目前使用者的群組資訊。Office SharePoint Server 2007 的授權程序會將每一個 ASP.NET 角色視為一個網域群組。在 Web.config 檔案登錄角色管理員的方法，與登錄驗證用之成員資格提供者的方法相同。

若要從管理中心管理成員使用者或角色，可以選擇是否要在管理中心網站之 Web.config 檔案中，登錄成員資格提供者與角色管理員 (除此之外，也可在裝載內容之 Web 應用程式的 Web.config 檔案中進行登錄)。

確認您在 Web.config 檔案中所登錄的成員資格提供者名稱與角色管理員名稱，與您在管理中心之 Authentication.aspx 頁面中輸入的名稱相同。若未在 Web.config 檔案中輸入角色管理員，可能會改用 machine.config 檔案中所指定的預設提供者。

例如，Web.config 檔案中的下列字串指定一位 SQL 成員資格提供者：

<membership defaultProvider="AspNetSqlMembershipProvider">

如需使用 ASP.NET 表單驗證連接至 SQL Server 驗證提供者的其他資訊，請參閱＜驗證範例＞。

最後，若您是使用 Web SSO 連接至外部的身分識別管理系統，您必須一併登錄 Web SSO 的 HTTP 模組。HTTP 模組是每一次對應用程式提出要求時所呼叫的組件。HTTP 模組為 ASP.NET 要求管道的一部分。如需詳細資訊，請參閱 HTTP 模組簡介 (https://go.microsoft.com/fwlink/?linkid=77954&clcid=0x404) 。

整合 ASP.NET 表單驗證對驗證提供者會有額外的要求。除了在 Web.config 檔案中登錄各種元素之外，成員資格提供者、角色管理員與 HTTP 模組皆須以程式設定為可與 Office SharePoint Server 2007 與 ASP.NET 模組互動，如下表所示：

類別描述

類別	描述
成員資格提供者	若要使用 Office SharePoint Server 2007，成員資格提供者必須實作下列方法： GetUser (String) Office SharePoint Server 2007 會在邀請及取得使用者的顯示名稱時呼叫此方法，以解析使用者名稱。 GetUserNameByEmail Office SharePoint Server 2007 會在邀請中呼叫此方法，以解析使用者名稱。 FindUsersByName、FindUsersByEmail Office SharePoint Server 2007 會呼叫這些方法，在 [新增使用者] 頁面中填入使用者選擇器。若成員資格提供者未傳回任何使用者，選擇器將不會運作，且管理員必須在 [新增使用者] 文字方塊中，輸入使用者名稱或電子郵件地址。
角色管理員	角色管理員必須實作下列方法： RoleExists Office SharePoint Server 2007 會邀請時呼叫此方法，以驗證角色名稱是否存在。 GetRolesForUser Office SharePoint Server 2007 會在存取檢查時呼叫此方法，以搜集目前使用者的角色。 GetAllRoles Office SharePoint Server 2007 會呼叫此方法，以填入群組與角色選擇器。若角色資格提供者未回傳任何群組或角色，Office SharePoint Server 2007 選擇器將不會運作，且管理員必須在 [新增使用者] 文字方塊中輸入角色名稱。
HTTP 模組	HTTP 模組必須處理下列事件： AuthenticateRequest ASP.NET 會在準備就緒可以驗證使用者時呼叫此事件。Web SSO 模組必須解壓縮使用者的驗證 Cookie，並設定 `HttpContext.User` 物件與目前使用者的身分識別。 EndRequest 這是 ASP.NET 管道的最後一個事件。在傳回代碼給用戶端前會呼叫此事件。Web SSO 模組必須擷取來自 Office SharePoint Server 2007 的 401 回應，並將這些回應轉換為適當的 302 重新導向，以供 Web SSO 登入伺服器驗證之用。

成員資格提供者

若要使用 Office SharePoint Server 2007，成員資格提供者必須實作下列方法：

GetUser (String) Office SharePoint Server 2007 會在邀請及取得使用者的顯示名稱時呼叫此方法，以解析使用者名稱。
GetUserNameByEmail Office SharePoint Server 2007 會在邀請中呼叫此方法，以解析使用者名稱。
FindUsersByName、FindUsersByEmail Office SharePoint Server 2007 會呼叫這些方法，在 [新增使用者] 頁面中填入使用者選擇器。若成員資格提供者未傳回任何使用者，選擇器將不會運作，且管理員必須在 [新增使用者] 文字方塊中，輸入使用者名稱或電子郵件地址。

角色管理員

角色管理員必須實作下列方法：

RoleExists Office SharePoint Server 2007 會邀請時呼叫此方法，以驗證角色名稱是否存在。
GetRolesForUser Office SharePoint Server 2007 會在存取檢查時呼叫此方法，以搜集目前使用者的角色。
GetAllRoles Office SharePoint Server 2007 會呼叫此方法，以填入群組與角色選擇器。若角色資格提供者未回傳任何群組或角色，Office SharePoint Server 2007 選擇器將不會運作，且管理員必須在 [新增使用者] 文字方塊中輸入角色名稱。

HTTP 模組

HTTP 模組必須處理下列事件：

AuthenticateRequest ASP.NET 會在準備就緒可以驗證使用者時呼叫此事件。Web SSO 模組必須解壓縮使用者的驗證 Cookie，並設定 HttpContext.User 物件與目前使用者的身分識別。
EndRequest 這是 ASP.NET 管道的最後一個事件。在傳回代碼給用戶端前會呼叫此事件。Web SSO 模組必須擷取來自 Office SharePoint Server 2007 的 401 回應，並將這些回應轉換為適當的 302 重新導向，以供 Web SSO 登入伺服器驗證之用。

啟用匿名存取

除設定更安全的驗證方法之外，也可啟用 Web 應用程式的匿名存取。藉此驗證方式，Web 應用程式內之網站的管理員可以選擇允許匿名存取。當匿名使用者想要存取安全的資源與功能時，可以按一下登入按鈕送出其認證。

使用不同的驗證方法存取網站

您可以在 Office SharePoint Server 2007 設定 Web 應用程式，以最多五種不同的驗證方法或身分識別管理系統存取 2nd_OSS_12。下圖是設定成可以讓使用者由兩部身分識別管理系統進行存取之合人夥伴應用程式的說明。內部員工使用標準的 Windows 驗證方法進行驗證。合作夥伴公司的員工則由其公司的身分識別管理系統進行驗證。

管理驗證選項圖表

若要將 Web 應用程式設定為可由兩 (含) 個以上不同的驗證系統進行存取，必須為 Web 應用程式設定額外的區域。區域代表存取相同實體應用程式的不同邏輯路徑。使用典型的合作夥伴應用程式，合作夥伴公司的員工可透過網際網路存取應用程式，而內部員工則可透過內部網路直接存應用程式。

若要建立新區域，請延伸 Web 應用程式。在 [擴充 Web 應用程式至其他 IIS 網站] 頁面之 [負載平衡 URL] 區段中，指派 URL 與區域類型。區域類型僅為套用至區域的類別名稱，不會影響區域的設定。

延伸 Web 應用程式之後，即可為新區域設定不同的驗證方法。下圖是設定成使用兩個不同區域之 Web 應用程式的 [驗證提供者] 頁面。預設區域是內部員工所使用的區域。網際網路區域的設定目的，在供合作夥伴存取，並使用 ASP.NET 表單，根據合作夥伴身分識別管理系統驗證夥伴員工。

使用兩個區域設定的一個 Web 應用程式

規劃編目內容的驗證

為能成功執行 Web 應用程式的內容編目，您必須瞭解索引伺服器 (亦稱為「編目程式」**) 對於索引元件的驗證需求。本節將描述如何設定 Web 應用程式的驗證，以確保 Web 應用程式中的內容能夠成功地編目。

當伺服器陣列管理員使用所有預設設定建立 Web 應用程式時，Web 應用程式的預設區域會設定為使用 NTLM。伺服器陣列管理員可以將預設區域的驗證方法，變更為 Office SharePoint Server 2007 所支援的任何一種驗證方法。

伺服器陣列管理員也可延伸 Web 應用程式一次或多次，藉此啟用其他的區域。每一個特定的 Web 應用程式最多可與五個區域相關聯，並可將每一個區域設定為使用 Office SharePoint Server 2007 所支援的任一種驗證方法。

編目程式在編目內容時，預設會使用 NTLM。編目特定範圍的 URL 時，搜尋服務管理員也可建立編目規則，將編目程式設定為使用不同的驗證方法，如改用基本驗證或用戶端憑證，而不使用 NTLM。如需編目規則的詳細資訊，請參閱＜規劃編目內容 (Office SharePoint Server)＞。

編目程式存取區域的順序

規劃 Web 應用程式的區域時，應考量嘗試驗證期間，編目程式存取區域的輪詢順序。輪詢順序十分重要；若編目程式發現摘要驗證或 Kerberos 驗證不是使用標準的連接埠 (80 或 443)，驗證即會失敗，且編目程式將不會嘗試存取輪詢順序中的下一個區域。當發生此狀況時，編目程式將不會繼續編目該 Web 應用程式的內容。

秘訣：
請確認您為編目程式設定之驗證方法在輪詢順序中的順序，先於針對使用非標準連接埠或摘要驗證之 Kerbero 的區域。

編目程式會以下列順序輪詢區域：

預設區域
內部網路區域
網際網路區域
自訂區域
外部網路區域

下圖是驗證系統在編目程式嘗試驗證時的決定：

編目程式如何輪詢區域

用於編目程式的輪詢順序

下表是圖例中之各圖說文字的相關動作說明。

圖說文字	動作
1	編目程式嘗試使用預設區域進行驗證。注意驗證時，編目程式一律先嘗試使用預設區域。
2	若為編目程式與區域所設定的驗證方法相同，則會驗證編目程式，並進入授權階段。否則請執行步驟 3。
3	若為區域設定 Kerberos 驗證，請執行步驟 4。否則請執行步驟 5。
4	若將區域設定為使用連接埠 80 或連接埠 443，則會驗證編目程式，並進入授權階段。否則，驗證將會失敗，且編目程式將不會使用其他區域嘗試進行驗證。這表示內容未經編目。
5	若輪詢順序內已無其他區域，則驗證會失敗，並不會編目內容。否則請執行步驟 6。
6	編目程式嘗試使用輪詢順序內的下一個區域進行驗證。返回步驟 2。

若將預設區域設定為使用編目程式所不支援的驗證方法 (如 Web SSO)，您必須額外建立至少一個區域，並將設定該區域設定為使用憑證、基本驗證、使用標準連接埠的 Kerberos，或 NTLM。若使用憑證或基本驗證編目 Web 應用程式，則搜尋服務管理員必須建立編目規則，將編目程式設定成在編目 Web 應用程式使用適當的驗證方法。請考慮下列案例。

驗證案例

伺服器陣列管理員建立 Web 應用程式，並將其設定為使用表單驗證。由於伺服器陣列管理員希望編目 Web 應用程式的內容，並建立其索引，而管理員瞭解編目程式需要將區域設定為使用 NTLM、基本驗證、或憑證，因而將 Web 應用程式加以延伸，並設定內部網站區域使用 NTLM。

當編目程式使用預設區域嘗試驗證時，驗證系統發現編目程式與區域未設定成使用相同的驗證方法。由於區域並不是針對使用非標準連接埠或摘要驗證的 Kerberos　而設定，且輪詢順序內至少有一個額外的區域，因此編目程式會嘗試使用內部網站區域進行驗證。由於內部網站區域設定為使用 NTLM，且編目程式亦是使用 NTLM，因此採用預設驗證方式會成功。

請注意，若伺服器陣列管理員已將內部網站區域設定為使用基本驗證，而非 NTLM，則在編目特定的 Web 應用程式時，搜尋服務管理員必須建立編目規則，將編目程式設定為使用基本驗證。否則，驗證將會失敗，並因此而無法編目內容。同樣地，若伺服器陣列管理員已將內部網站區域設定為使用用戶端憑證，則在編目特定的 Web 應用程式時，搜尋服務管理員必須建立編目規則，將編目程式設定為使用用戶端憑證。此外，伺服器管理員必須在索引伺服器登錄用戶端憑證，否則驗證將會失敗，並因此而無法編目內容。

秘訣：
有效規劃 Web 應用程式的驗證，以及規劃編目這些 Web 應用程式所含的內容，需要建立 Web 應用程式之伺服器陣列管理員，與設定編目程式之搜尋服務管理員兩者的通力合作。

請注意，若是將區域設定為使用基本驗證或憑證，並讓編目程式利用該區域進行驗證，則搜尋服務管理員必須建立編目規則，將編目程式設定為使用您所要驗證之區域所使用的驗證方法。否則，編目程式將會嘗試使用下一個可用的區域。

除了正確地設定驗證方法之外，還必須確認編目程式是否有權可以編目 Web 應用程式的內容。搜尋服務管理員必須確認內容存取帳戶對於利用此區域進行存取的內容，具有讀取權限層級。伺服器陣列管理員可藉由建立原則，賦予內容存取帳戶於特定 Web 應用程式的讀取權限層級。

規劃驗證設計的區域

若要使用區域對 Web 應用程式實作多種驗證方法，請使用下列準則：

使用預設區域實作最安全的驗證設定。若要求無法與特定區域相關聯，將會套用預設區域的驗證設定及其他安全性原則。預設區域是一開始建立 Web 應用程式時所建立的區域。通常最安全驗證設定是為使用者存取而設計。因此，預設區域可能是使用者所存取的區域。
使用應用程式所要求的區域數下限。建立每個區域與新 IIS 網站及網域的關聯性，以存取 Web 應用程式。只有在需要前述各項時，才需新增存取指標。
若要在搜尋結果中包含 Web 應用程式的內容，至少須有一個區域設定為使用 NTLM 驗證。索引元件編目內容時需要 NTLM 驗證。若非必要，請勿建立索引元件的專用區域。

選擇環境所允許的的驗證方法

除了瞭解如何驗證設定之外，還需規劃下列驗證事項：

考量 Web 應用程式在 Office SharePoint Server 2007 中的安全性內容或環境。
評估各方法的建議與利弊。
瞭解使用者認證與相關身分識別資料的快取方式，以及 Office SharePoint Server 2007 的用法。
瞭解如何管理使用者帳戶。
確認驗證方法與您使用者所用的瀏覽器相容。

工作表動作
使用驗證方法工作表 (https://go.microsoft.com/fwlink/?linkid=77970&clcid=0x404) 指定您環境所支援的驗證方法，並記下您的決定與每種方法的建議。此工作表會在規劃 Office SharePoint Server 2007 中之個別 Web 應用程式的驗證方法時使用。

特定安全性環境的建議

應用程式的安全性內容決定您所選擇的驗證方法。下表是針對最常見之安全性環境所提出的建議：

環境	考量
內部網路	最低限度應保護他人無法窺探使用者認證。請整合您環境中所實作的使用者管理系統。若要實作 Active Directory，請使用 IIS 內建的 Windows 驗證方法。
外部安全共同作業	為每個合作夥伴公司設定不同的區域，以連接到網站。請使用 Web SSO 根據每一個合作夥伴公司的身分識別管理系統進行驗證。如此將可避免您自己的身分識別管理系統中建立帳戶，同時亦可確保合作夥伴的雇主能夠繼續維護及驗證參與者的身分識別。若參與者不再受雇於合作夥伴公司，該參與者即喪失存取該合作夥伴應用程式的權利。
外部匿名	啟用匿名存取 (不驗證)，並將唯讀權限授與從網際網路進行連線的使用者。若要提供目標內容或角色型內容，可使用 ASP.NET 表單驗證，以使用只含使用者姓名與角色的資料庫登錄使用者。使用此登錄程序可依角色 (如醫師、病人或藥劑師) 識別使用者。當使用者登入時，您的網站會出現與該使用者角色相關的網站內容。在此案例中，將不會使用驗證來驗證認證，亦不會使用驗證內容的存取者；驗證程序只會針對目標內容提供方法。

驗證方法的建議與利弊

瞭解各種驗證方法的優點、建議及利弊，有助於您決定環境所要採行的方法。下表是各種驗證方法之建議與利弊的摘要。如需 IIS 所支援之各種 Windows 驗證方法的詳細資訊，請參閱 IIS 驗證 (https://go.microsoft.com/fwlink/?linkid=78066&clcid=0x404) 。

驗證方法	優點與建議	利弊
Windows	使用現有的 Active Directory 帳戶進行驗證。簡化使用者管理。設定 Office SharePoint Server 2007 授權時，可善用 Active Directory 群組。避免寫入自訂的程式碼。	每一種方法各有其優缺點。有部分 IIS 驗證通訊協定不受所有網頁瀏覽器支援。
ASP.NET 表單	在未使用 Active Directory (無需 Windows 帳戶) 的環境中設定 Office SharePoint Server 2007。建立合作夥伴應用程式時，根據兩 (含) 種以上的身分識別管理系統進行驗證。使用自定準則實作自訂的驗證配置。驗證來自網際網路的使用者。	需要自訂 Web.config 檔案。除非使用傳輸層安全性 SSL，否則 Cookie 的存留期容易再次遭受攻擊。
Web SSO	在使用同盟驗證的環境中實作 Office SharePoint Server 2007，可保障組織及安全性環境中之數位身分識別的安全。在提供 SSO 給在不同平台上執行之服務的環境中實作 Office SharePoint Server 2007，包括不使用 Active Directory 的環境。善用 AD FS。建立合作夥伴應用程式時，根據兩 (含) 種以上的身分識別管理系統進行驗證。	需要現有的同盟驗證系統。需要自訂 Web.config 檔案。 AD FS 需要 SSL。其他 SSO 系統可能各有其他需求。

使用者身分識別系統的管理

如何處理使用者認證及其他的身分識別資訊，以及 Office SharePoint Server 2007 如何使用這兩個項目，將會影響您所決定最適用於您預定目的的最佳驗證選項。本節將詳述使用者身分識別資訊在下列類別中的處理方式：

二進位識別碼 二進位識別碼 (ID) 的建立方式，或 Office SharePoint Server 2007 對於此項目的使用方式。
快取保留使用者身分一段時間，以避免於每次要求皆重複此驗證處理的程序。
角色與群組成員資格 除可決定使用者之外，驗證程序亦可指定使用者所屬的群組或角色。授權程序期間會利用這項資訊決定使用者有權執行的動作。基於授權的目的，Office SharePoint Server 2007 會將 Active Directory 群組與 ASP.NET 角色視為同類型的實體。

下表根據所採用的驗證方法，詳列 Office SharePoint Server 2007 管理使用者二進位識別碼、快取的使用者資料，以及角色與群組成員資格資料的方式。

項目	Windows 驗證	ASP.NET 表單與 Web SSO
二進位識別碼	Office SharePoint Server 2007 會使用 Windows 安全性識別項 (SID)。	Office SharePoint Server 2007 會結合提供者名稱與使用者名稱，建立唯一的二進位識別碼。
快取	IIS、Internet Explorer 與 Windows 所快取及管理的使用者認證。	ASP.NET 會使用加密的 Cookie，在工作階段期間保留使用者認證。
角色與群組的成員資格	Windows 會將使用者所屬之 Active Directory 網域群組清單保存在存取憑證中。Office SharePoint Server 2007 會使用儲存在存取憑證中的資訊。	登錄角色管理員之後，Windows SharePoint Services 會使用標準角色管理員介面搜集目前使用者的相關群組資訊。授權程序會將每一個 ASP.NET 角色視為網域群組。ASP.NET 可以根據 Web.config 檔案中的設定，在 Cookie 中快取使用者所屬的角色。

使用者帳戶的管理

瞭解如何 Office SharePoint Server 2007 如何處理一般使用者帳戶管理工作對您所選擇之驗證方法的影響。一般而言，區域中驗證提供者的成員使用者只要擁有授權，也可管理所有區域內的帳戶。無論實作何種驗證方法，下列清單中的資訊均適用：

新增及邀請新的使用者 只要在目前的 Web.config 檔案中登錄成員資格提供者與角色管理員，即可新增或邀請任何區域中的新使用者，以及所設定的驗證方式。新增使用者時，Office SharePoint Server 2007 會以下列順序根據下列資源解析使用者名稱：
- Office SharePoint Server 2007 所儲存的使用者清單表格。使用者若已新增至其他網站，其資訊即會列名於此清單中。
- 目前區域所設定的驗證提供者。例如，若使用者是預設區域所設定之驗證提供者成員的成員，Office SharePoint Server 2007 即會先檢查此相關成員資格提供者。
- 所有其他驗證提供者。
刪除使用者 在 Office SharePoint Server 2007 資料庫中標示為已刪除的使用者，但尚未移除該使用者的記錄。

Office SharePoint Server 2007 中之使用者帳戶管理行為會隨驗證提供者而不同。下表是幾種常見隨驗證方法而異的使用者帳戶工作：

工作	Windows 驗證的帳戶	ASP.NET 表單驗證的帳戶與 Web SSO 驗證的帳戶
新增及邀請新使用者	Office SharePoint Server 2007 會使用 Active Directory 驗證使用者身分識別。	Office SharePoint Server 2007 會呼叫成員資格提供者與角色管理員，以驗證使用者與角色是否存在。
變更登入名稱	Office SharePoint Server 2007 會自動辨識更新的使用者名稱。不會將新實體加入使用者清單表格中。	您必須先刪除舊帳戶名稱，再新增帳戶名稱。權限不可移轉。
登入	若使用整合式 Windows 驗證 (Kerberos 或 NTLM)，並將瀏覽器設定為自動登入，使用者將無需手動登入 SharePoint 網站。Internet Explorer 預設會設定為自動登入內部網站。若必須執行登入動作 (如網站要求不同的認證組)，即會提示使用者輸入使用者名稱與密碼。但若是使用基本驗證，或使用者所使用的瀏覽器未設定為自動登入，則當使用者存取 SharePoint 網站時，可能會提示使用者提供登入認證。	對於使用表單認證者，Office SharePoint Server 2007 會提供標準的登入網頁。此網頁包含下列欄位：使用者名稱、密碼、自動登入 (以留存 Cookie)。您可以建立自有的登入頁面，以新增其他的登入控制項 (如建立新的帳戶或重設密碼)。

瀏覽器支援

並非所有瀏覽器皆可使用所支援的每一種驗證方法。選取環境適用的驗證方法之前，請先決定所要使用的瀏覽器。然後決定瀏覽器所適用的驗證方法。Internet Explorer 可使用所支援的每一種驗證方法。Office SharePoint Server 2007 另外還支援下列瀏覽器：

Netscape 8.0
Netscape 7.2
Mozilla 1.7.12
Firefox 1.5
Safari 2.02

工作表

您可以使用下列工作表，記錄您環境所適用的驗證方法：

驗證方法工作表 (https://go.microsoft.com/fwlink/?linkid=77970&clcid=0x404)

下表為完整工作表的範例：

驗證方法	允許	不允許	附註及建議
匿名		x
基本		x
摘要		x
憑證		x
NTLM (整合式 Windows)	x		除財務以外，其他所有部門網站均應使用 NTLM。**
Kerberos (整合式 Windows)	x		所有需要高安全性服務層級的網站均應使用 Kerberos 驗證。**
ASP.NET 表單	x		使用表單驗證可以讓合作夥伴公司存取合作夥伴外部網站上所裝載的網站。目前已可根據下列身分識別管理系統進行驗證：Active Directory、LDAP。若要開發適用於表單驗證的驗證設定，可使用 Sidney Higa。**
Web SSO	x		僅當合作夥伴參與了同盟識別管理系統時，才對合作夥伴套用此方法。如需詳細資訊，請洽詢 David Jones。**

其他附註： 實作之前，請先使用 Denise Smith 簽核所有 SharePoint Web 應用程式的驗證設定。**

下載本書

本主題隨附於下列可下載的叢書中，以便於閱讀與列印：

Office SharePoint Server 2007 規劃與架構 (第 2 部分)

請參閱 Office SharePoint Server 2007 可下載的內容 (英文) 上提供的完整叢書清單。

另請參閱

概念

邏輯架構模型：公司部署