建立採用 Windows 宣告驗證的 Web 應用程式 (SharePoint Server 2010)
上次修改主題的時間: 2016-11-30
本文說明如何建立使用 Windows 宣告驗證的 Web 應用程式。
提示
如果您要改用 Windows 傳統驗證,請參閱<建立採用 Windows 傳統驗證的 Web 應用程式 (SharePoint Server 2010)>。
執行此程序之前,請先確認:
您的系統執行 Microsoft SharePoint Server 2010。
您已經備妥邏輯架構設計。如需詳細資訊,請參閱<邏輯架構元件 (SharePoint Server 2010)>。
您已經為 Web 應用程式規劃驗證。如需詳細資訊,請參閱<規劃驗證方法 (SharePoint Server 2010)>、<規劃 Kerberos 驗證 (SharePoint Server 2010)>及<選擇安全性群組 (SharePoint Server 2010)>。
您已經選取要用於 Web 應用程式的服務應用程式。如需詳細資訊,請參閱<服務應用程式與服務管理 (SharePoint Server 2010)>。
如果您使用安全通訊端階層 (SSL),則必須在建立 IIS 網站之後,使 SSL 憑證與 Web 應用程式的 IIS 網站產生關聯。如需設定 SSL 的詳細資訊,請參閱如何在 IIS 7.0 上設定 SSL(可能為英文網頁) (https://go.microsoft.com/fwlink/?linkid=187887&clcid=0x404)(可能為英文網頁)。
您已經瞭解備用存取對應。
如果 Windows 已啟用 [使用者帳戶控制] (UAC),並且您使用 Windows PowerShell 2.0 來建立 Web 應用程式,則必須以滑鼠右鍵按一下 [SharePoint 2010 管理命令介面] 並選取 [以系統管理員身分執行]。
您可以使用 SharePoint 管理中心網站或 Windows PowerShell 建立 Web 應用程式。一般會使用管理中心來建立 Web 應用程式。若要自動化建立 Web 應用程式的工作 (這在企業中很常見),請使用 Windows PowerShell。完成程序之後,即可在已建立的 Web 應用程式上建立一或數個網站集合。
使用管理中心建立採用 Windows 宣告驗證的 Web 應用程式
確認您具備下列管理認證:
- 若要建立 Web 應用程式,您必須是執行管理中心之電腦上的 SharePoint 伺服器陣列管理員群組成員,以及本機管理員群組的成員。
在管理中心首頁上,按一下 [應用程式管理] 區段中的 [管理 Web 應用程式]。
在功能區上,按一下 [新增]。
在 [建立新的 Web 應用程式] 頁面上,按一下 [驗證] 區段中的 [宣告式驗證]。
您可以在 [IIS 網站] 區段中選取下列兩個選項之一,設定新 Web 應用程式的設定:
按一下 [使用現有的 IIS 網站],然後選取要安裝新 Web 應用程式的網站。
按一下 [建立新的 IIS 網站],然後在 [名稱] 方塊中輸入網站的名稱。
在 [IIS 網站] 區段的 [連接埠] 方塊中,輸入您要用以存取 Web 應用程式的連接埠號碼。若要建立新的網站,此欄位會填入隨機的連接埠號碼。若要使用現有的網站,此欄位會填入目前的連接埠號碼。
注意
HTTP 存取的預設連接埠號碼為 80,而 HTTPS 存取的預設連接埠號碼為 443。如果您希望使用者直接存取 Web 應用程式,而不需輸入連接埠號碼,他們應使用適當的預設連接埠號碼。
選用:在 [IIS 網站] 區段的 [主機標頭] 方塊中,輸入您要用以存取 Web 應用程式的主機名稱 (例如 www.contoso.com)。
注意
除非您想要設定兩個以上的 IIS 網站在同一伺服器上共用相同連接埠號碼,且已設定 DNS 將要求路由傳送至同一伺服器,否則一般不會設定此欄位。
在 [IIS 網站] 區段的 [路徑] 方塊中,輸入 IIS 網站主目錄在伺服器上的路徑。若要建立新的網站,此欄位會填入建議的路徑。若要使用現有的網站,此欄位會填入該網站的目前路徑。
在 [安全性設定] 區段中,選擇是否使用允許匿名存取,以及是否使用 Secure Sockets Layer (SSL)。
在 [允許匿名] 下,按一下 [是] 或 [否]。若選擇允許匿名存取,則會使用特定電腦的匿名存取帳戶 (亦即 IIS_IUSRS) 以啟用網站的匿名存取。
注意
若要使用者可匿名存取任何網站內容,則必須在啟用 SharePoint 網站層級的匿名存取之前,啟用整個 Web 應用程式區域的匿名存取;之後,網站擁有者即可設定在其網站內使用匿名存取的方式。如果未啟用 Web 應用程式層級的匿名存取,之後便無法在網站層級啟用匿名存取。如需詳細資訊,請參閱<選擇安全性群組 (SharePoint Server 2010)>。
在 [使用 Secure Sockets Layer (SSL)] 下,按一下 [是] 或 [否]。若選擇對網站啟用 SSL,即必須要求及安裝 SSL 憑證,以設定 SSL。如需設定 SSL 的詳細資訊,請參閱如何在 IIS 7.0 上設定 SSL(可能為英文網頁) (https://go.microsoft.com/fwlink/?linkid=187887&clcid=0x404)(可能為英文網頁)。
在 [宣告驗證類型] 區段中,選取要用於 Web 應用程式的驗證。
如果要啟用 Windows 驗證,請選取 [啟用 Windows 驗證],然後在下拉式功能表中選取 [交涉 (Kerberos)] 或 [NTLM]。如需詳細資訊,請參閱<規劃 Kerberos 驗證 (SharePoint Server 2010)>。
如果不要使用整合式 Windows 驗證,請清除 [整合的 Windows 驗證]。
若要透過網路以未加密的格式傳送使用者認證,請選取 [基本驗證 (密碼以純文字傳送)]。
注意
您可以選取基本驗證或整合式 Windows 驗證,或兩者都選。如果兩者都選,SharePoint Server 2010 將會對用戶端網頁瀏覽器提供兩種驗證類型。接著,用戶端網頁瀏覽器會判斷要使用何種驗證。如果只選取基本驗證,請確定已啟用 SSL,否則認證可能會遭到惡意使用者的攔截。
若要啟用表單型驗證,請選取 [啟用表單為主的驗證 (FBA)],然後在方塊中輸入成員資格提供者名稱與角色管理員名稱。
如需詳細資訊,請參閱<設定宣告式 Web 應用程式的表單型驗證 (SharePoint Server 2010)>。
注意
如果選取此選項,請確定已啟用 SSL,否則認證可能會遭到惡意使用者的攔截。
如果您已經在 Windows PowerShell 中設定信任的身分識別提供者驗證,則 [信任的身分識別提供者] 核取方塊會呈現選取狀態。
如需詳細資訊,請參閱<設定使用 SAML 安全性憑證的驗證 (SharePoint Server 2010)>。
您可以使用一或多種宣告驗證類型。如需詳細資訊,請參閱<規劃驗證方法 (SharePoint Server 2010)>。
在 [登入頁面 URL] 區段中,選擇下列其中一個選項以登入 SharePoint Server 2010。
如果您希望將使用者重新導向至預設登入網站以進行宣告式驗證,請選取 [預設登入頁面 URL]。
如果您希望將使用者重新導向至自訂登入網站以進行宣告驗證,請選取 [自訂登入頁面 URL],然後輸入登入 URL。
在 [公用 URL] 區段中,輸入使用者將在此 Web 應用程式中存取之所有網站的網域名稱 URL。此 Web 應用程式各頁面上所顯示的連結,會將此 URL 當做基底 URL。預設 URL 是目前伺服器的名稱與連接埠,它會自動更新以反映此頁面的目前 SSL、主機標頭和連接埠號碼設定。如果要在負載平衡器或 Proxy 伺服器後方部署 SharePoint Server 2010,此 URL 可能必須不同於此頁面上的 SSL、主機標頭和連接埠號碼設定。
[區域] 值會自動設為新 Web 應用程式的 [預設]。
注意
您可以在擴充 Web 應用程式時變更區域。如需詳細資訊,請參閱<擴充 Web 應用程式 (SharePoint Server 2010)>。
在 [應用程式集區] 區段中,執行下列其中一項:
按一下 [使用現有的應用程式集區],然後從下拉式功能表中選取您要使用的應用程式集區。
按一下 [建立新的應用程式集區],然後輸入新應用程式集區的名稱,或保留預設名稱。
如需詳細資訊,請參閱<邏輯架構元件 (SharePoint Server 2010)>。
在 [選取應用程式集區的安全性帳戶] 下,執行下列其中一項:
按一下 [預先定義] 使用預先定義的安全性帳戶,然後從下拉式功能表中選取安全性帳戶。
按一下 [可設定] 指定要用為現有應用程式集區的新安全性帳戶。
注意
您可以按一下 [註冊新的受管理帳戶] 連結建立新帳戶。
在 [資料庫名稱與驗證] 區段中,選擇新 Web 應用程式的資料庫伺服器、資料庫名稱與驗證方法 (如下表所述)。
項目 動作 資料庫伺服器
以 <伺服器名稱\執行個體> 格式,輸入您要使用的資料庫伺服器名稱與 Microsoft SQL Server 執行個體。您也可以使用預設項目。
資料庫名稱
輸入資料庫的名稱,或使用預設項目。
資料庫驗證
執行下列其中一項來選取要使用的資料庫驗證:
若要使用 Windows 驗證,請維持選取此選項。之所以建議此選項,是因為 Windows 驗證會在連線至 SQL Server 時自動加密密碼。
若要使用 SQL 驗證,請按一下 [SQL 驗證]。在 [帳戶] 方塊中,輸入您要 Web 應用程式驗證 SQL Server 資料庫時所使用的帳戶名稱,然後在 [密碼] 方塊中輸入密碼。
注意
SQL 驗證會將 SQL 驗證密碼傳送給 SQL Server 解密。建議如果要對 SQL Server 上使用 IPsec 的網路流量強制執行通訊協定加密,才使用 SQL 驗證。
若使用資料庫鏡像,請在 [容錯移轉伺服器] 區段的 [容錯移轉資料庫伺服器] 方塊中,輸入您要與內容資料庫建立關聯的特定容錯移轉資料庫伺服器名稱。
在 [服務應用程式連線] 區段中,選取 Web 應用程式可使用之服務應用程式連線。在下拉式功能表中,按一下 [預設] 或 [自訂]。使用 [自訂] 選項即可選擇您要用於 Web 應用程式的服務應用程式連線。
在 [客戶經驗改進計畫] 區段中,按一下 [是] 或 [否]。
按一下 [確定] 建立新的 Web 應用程式。
使用 Windows PowerShell 建立採用 Windows 宣告驗證的 Web 應用程式
請確認符合下列基本需求:請參閱<Add-SPShellAdmin>。 您也必須是執行 Windows PowerShell 之電腦的本機管理員群組成員。此外,部分程序必須要有 SQL Server 固定伺服器角色 dbcreator 和 securityadmin 中的成員資格。
在 [開始] 功能表上,按一下 [所有程式]。
按一下 [Microsoft SharePoint 2010 產品]。
按一下 [SharePoint 2010 管理命令介面]。
若要建立 Windows 宣告驗證提供者,請在 Windows PowerShell 命令提示字元處,輸入下列命令:
$ap = New-SPAuthenticationProvider若要建立使用 Windows 宣告驗證的 Web 應用程式,請在 Windows PowerShell 命令提示字元處,輸入下列命令:
$wa = New-SPWebApplication -Name <ClaimsWindowsWebApplication> -ApplicationPool <ClaimsApplicationPool> -ApplicationPoolAccount <ClaimsApplicationPoolAccount> -URL <URL> -Port <Port> -AuthenticationProvider $ap注意
建議的應用程式集區帳戶是伺服器陣列中的受管理帳戶。
其中:
<名稱> 是使用 Windows 宣告驗證的新 Web 應用程式名稱。
<應用程式集區> 是應用程式集區的名稱。
<應用程式集區帳戶> 是這個應用程式集區所用執行身分的使用者帳戶。
<URL> 是 Web 應用程式的公用 URL。
<連接埠> 是 IIS 中用於建立 Web 應用程式的連接埠。
範例
$ap = New-SPAuthenticationProvider $wa = New-SPWebApplication -Name "Contoso Internet Site" -ApplicationPool "ContosoAppPool" -ApplicationPoolAccount (Get-SPManagedAccount "DOMAIN\jdoe") -URL "https://www.contoso.com" -Port 80 -AuthenticationProvider $ap
如需詳細資訊,請參閱<New-SPWebApplication>及<New-SPAuthenticationProvider>。
注意
建議您在執行命令列管理工作時使用 Windows PowerShell。Stsadm 命令列工具已過時,但為與舊版產品相容,仍會隨附提供。
See Also
Concepts
擴充 Web 應用程式 (SharePoint Server 2010)
建立網站集合 (SharePoint Server 2010)
設定宣告式 Web 應用程式的表單型驗證 (SharePoint Server 2010)
設定使用 SAML 安全性憑證的驗證 (SharePoint Server 2010)
建立採用 Windows 傳統驗證的 Web 應用程式 (SharePoint Server 2010)Other Resources