Share via

宣告式驗證搭配 Microsoft UAG 2010 (SharePoint Server 2010)

  • 發行項

 

適用版本: SharePoint Foundation 2010, SharePoint Server 2010

上次修改主題的時間: 2016-11-30

Microsoft Unified Access Gateway (UAG) 2010 Service Pack 1 (SP1) 新增了 Active Directory Federated Services Version 2.0 (ADFS 2.0) 的支援,且 UAG 是宣告感知信賴憑證者,現在支援使用宣告式驗證來發佈 Microsoft SharePoint Server 2010 應用程式 (仍然支援夥伴使用單一登入存取不是宣告感知的應用程式或執行 SharePoint Server 2010 的伺服器)。

下列步驟詳述驗證夥伴組織使用者,從執行 UAG 的伺服器到執行 SharePoint Server 2010 之伺服器的處理流程:

  1. 夥伴使用者嘗試以下列兩種方式的其中一種,使用宣告式驗證來存取已發佈的 SharePoint Server 應用程式:存取 Forefront UAG 入口網站,然後按一下已發佈的 SharePoint Server 應用程式;或者,使用 SharePoint Server 替代存取對應名稱,直接存取已發佈的 SharePoint Server 應用程式。

  2. Forefront UAG 會將網頁瀏覽器要求重新導向到資源同盟伺服器以驗證使用者。

  3. 資源同盟伺服器會對使用者顯示首頁領域探索網頁,使用者必須在其中選擇所屬的組織;在此案例中,就是夥伴組織。

  4. 資源同盟伺服器會將網頁瀏覽器重新導向至帳戶同盟伺服器;在此伺服器上,使用者在收到安全性權杖後,要使用自己的認證進行驗證。有些驗證配置會提示使用者提供認證。

  5. 會以無訊息方式將使用者重新導向數次,而且使用帳戶同盟伺服器建立的安全性權杖,會自動驗證資源同盟伺服器,接著是驗證 Forefront UAG。如果使用者嘗試直接存取已發佈的 SharePoint Server 應用程式,就會以無訊息方式將他們重新導向到 SharePoint Server 網站,接著會出現 SharePoint Server 網站。如果使用者先存取 Forefront UAG 入口網站,必須按一下 SharePoint Server 應用程式才能檢視 SharePoint Server 網站。

  6. 第一次成功連線至 SharePoint Server 網站後,資源同盟伺服器會將 Cookie 儲存在使用者的電腦上。Cookie 預設儲存 30 天;在資源同盟伺服器的 web.config 檔案中可以設定此期間。在這段期間,使用者不需要回答首頁領域探索網頁上關於識別的問題;也就是,選擇他們所屬的組織即可。

圖案

警告

如果 UAG 伺服器上遠端用戶端的工作階段過期了,在此案例中,Office 整合將會失敗。

注意

如需遠端使用者使用宣告和 Microsoft UAG 進行存取的詳細資訊,請參閱<Plan employee access using claims>。

UAG SP1 也新增了宣告式授權。例如,如果使用者具有角色宣告,UAG 可以根據宣告值允許或拒絕使用者的存取。這些規則是透過 UAG 中的原則來進行設定,而且會對應到 ADFS 中的角色。

注意

僅在 UAG 是 ADFS 的信賴憑證者時,才能使用這些宣告式授權規則。

UAG SP1 也新增了單一登出功能;登出的使用者也會從依賴驗證同盟伺服器的所有應用程式中登出。用戶端登出 (或被登出) 的幾種方式如下:

  • 使用者可以從 UAG 入口網站登出。

  • 設定非使用時間間隔可以登出使用者。

  • UAG 的排程登出時間可以登出使用者。

如需單一登出的詳細資訊,請參閱 AD FS 2.0 搭配 Forefront UAG 的概觀 (可能為英文網頁) (https://go.microsoft.com/fwlink/?linkid=207207&clcid=0x404) (可能為英文網頁)。

如果應用程式使用 NTLM 或 Kerberos 驗證,且 UAG 為用戶端執行 Kerberos 轉譯,則 UAG 仍然提供單一登入 (SSO) 存取。如需詳細資訊,請參閱設定使用 Kerberos 限制委派單一登入到非宣告感知應用程式 (可能為英文網頁) (https://go.microsoft.com/fwlink/?linkid=207208&clcid=0x404) (可能為英文網頁)。

See Also

Other Resources

Plan employee access using claims
AD FS 2.0 搭配 Forefront UAG 的概觀 (https://go.microsoft.com/fwlink/?linkid=207207&clcid=0x404) (可能為英文網頁)
設定使用 Kerberos 限制委派單一登入到非宣告感知應用程式 (https://go.microsoft.com/fwlink/?linkid=207208&clcid=0x404) (可能為英文網頁)