SharePoint Server 2016 的驗證概觀

  • 發行項

 

**適用版本:**SharePoint Server 2016

**上次修改主題的時間:**2016-03-28

摘要 ︰ 了解使用者驗證、 應用程式驗證及伺服器對伺服器驗證的運作方式SharePoint Server 2016中。

SharePoint Server 2016 針對下列互動類型需要驗證:

  • 使用者存取內部部署 SharePoint 資源

  • 應用程式存取內部部署 SharePoint 資源

  • 內部部署伺服器存取內部部署 SharePoint 資源,或內部部署 SharePoint 資源存取內部部署伺服器

本文內容:

  • 使用者驗證

  • 應用程式驗證

  • 伺服器對伺服器驗證

SharePoint Server 2016 的使用者驗證

使用者驗證是根據驗證提供者對使用者身分識別進行的驗證,驗證提供者是包含使用者認證並可驗證使用者正確提交認證的目錄或資料庫。當使用者嘗試存取 SharePoint 資源時,會進行使用者驗證。

SharePoint Server 2016支援宣告式驗證。

宣告式驗證的結果是宣告型安全性權杖,由其 SharePoint Security Token Service (STS) 產生。

SharePoint Server 2016 支援 Windows 驗證、表單型驗證和以安全性聲明標記語言 (SAML) 為基礎的宣告式驗證。如需這三種驗證方法之運作方式的資訊,請參考以下影片。

注意

影片的資訊適用於 SharePoint Server 2013 和 SharePoint Server 2016。

Windows 宣告驗證的 SharePoint Server 2013 和 2016 視訊

在 SharePoint Server 2013 和 2016 視訊的表單型宣告驗證

在 SharePoint Server 2013 和 2016 視訊的 SAML 型宣告驗證

如需詳細資訊,請參閱<規劃使用者驗證方法在 SharePoint Server 2016>。

SharePoint Server 2016 的應用程式驗證

應用程式驗證會驗證遠端 SharePoint 應用程式識別,並授權安全 SharePoint 資源的應用程式及相關聯使用者。當 SharePoint 市集 應用程式或應用程式目錄應用程式的外部元件 (例如位在內部網路或網際網路上的網頁伺服器) 嘗試存取安全的 SharePoint 資源時,會進行應用程式驗證。

例如,假設使用者開啟包含 SharePoint 應用程式之 IFRAME 的 SharePoint 頁面,且該 IFRAME 需要外部元件 (例如內部網路或網際網路上的伺服器),才能存取安全的 SharePoint 資源以轉譯頁面。您必須驗證及授權 SharePoint 應用程式的外部元件,SharePoint 才能提供要求的資訊,且應用程式才能為使用者轉譯頁面。

請注意 SharePoint 應用程式不需要保護的 SharePoint 資源轉譯使用者] 頁面上,是否應用程式驗證則不需要。例如,SharePoint 應用程式提供的氣象預測資訊並僅有存取網際網路上的天氣資訊伺服器沒有使用應用程式驗證。

應用程式驗證包含兩個程序:

  • 驗證

    驗證應用程式已向一般信任的身分識別代理正確登錄

  • 授權

    驗證要求的應用程式及相關聯使用者具有執行其作業的適當權限,例如存取資料夾或清單,或執行查詢

若要可執行應用程式驗證、 應用程式會取得存取 token 從Microsoft Azure Access Control Service (ACS) 或自我簽署憑證的存取權杖該SharePoint Server 2016信任。存取權杖判斷提示存取特定的 SharePoint 資源要求及包含識別應用程式及相關聯的使用者,而不是使用者的認證驗證的資訊。登入 token 的無法存取權杖。

SharePoint 市集應用程式的驗證程序範例如下:

  1. 使用者開啟包含 IFRAME 的 SharePoint 網頁並需要透過 SharePoint 市集應用程式轉譯,此應用程式位於網際網路上,並使用 ACS 作為其信任代理。SharePoint 市集應用程式必須存取 SharePoint 資源,才能為使用者轉譯 IFRAME。

  2. SharePoint STS 從 ACS 要求及接收內容權杖。

  3. SharePoint 將要求的網頁及內容權杖傳送至使用者的網頁瀏覽器。

  4. 使用者的網頁瀏覽器將 IFRAME 的內容要求及內容權杖傳送至網際網路上的 SharePoint 市集應用程式伺服器。

  5. SharePoint 市集應用程式伺服器從 ACS 要求及接收存取權杖。

  6. SharePoint 市集應用程式伺服器將 SharePoint 資源要求及存取權杖傳送至 SharePoint 伺服器。

  7. SharePoint 伺服器授權存取,並檢查應用程式的權限 (在安裝應用程式時指定) 及相關聯使用者的權限。

  8. 如果允許,SharePoint 會將要求的資料傳送至網際網路上的 SharePoint 市集應用程式伺服器。

  9. 網際網路上的 SharePoint 市集應用程式伺服器將 IFRAME 結果傳送至網頁瀏覽器,再由網頁瀏覽器為使用者轉譯頁面的 IFRAME 部分。

請注意,SharePoint 市集應用程式不需要取得使用者的認證即可存取 SharePoint 伺服器資源。此存取已透過執行 SharePoint Server 2016 之伺服器信任的 ACS 驗證,並透過一組應用程式和使用者權限授權。

SharePoint 應用程式目錄應用程式的驗證程序範例如下:

  1. 使用者開啟包含 IFRAME 的 SharePoint 網頁並需要透過應用程式目錄應用程式轉譯,此應用程式位於內部網路上,並針對其存取權杖使用自我簽署的憑證。應用程式目錄應用程式必須存取 SharePoint 資源,才能為使用者轉譯 IFRAME。

  2. SharePoint 將要求的頁面及 IFRAME 傳送至使用者的網頁瀏覽器。

  3. 使用者的網頁瀏覽器將 IFRAME 的內容要求傳送至內部網路上的應用程式目錄應用程式伺服器。

  4. 應用程式目錄應用程式伺服器驗證使用者,並產生以自我簽署憑證簽署的存取權杖。

  5. 應用程式目錄應用程式伺服器將 SharePoint 資源要求及存取權杖傳送至 SharePoint 伺服器。

  6. SharePoint 伺服器授權存取,並檢查應用程式的權限 (在安裝應用程式時指定) 及相關聯使用者的權限。

  7. 如果允許,SharePoint 伺服器會將要求的資料傳送至內部網路上的應用程式目錄應用程式伺服器。

  8. 應用程式目錄應用程式伺服器將 IFRAME 結果傳送至網頁瀏覽器,再由網頁瀏覽器為使用者轉譯頁面的 IFRAME 部分。

注意

應用程式目錄應用程式可以針對其存取權杖使用 ACS 或自我簽署的憑證。

如需詳細資訊,請參閱<在 SharePoint Server 中規劃應用程式驗證>。

SharePoint Server 2016 的伺服器對伺服器驗證

伺服器對伺服器驗證是為基礎之伺服器的執行SharePoint Server 2016 STS 和支援的 OAuth 伺服器對伺服器通訊協定,例如在內部執行SharePoint Server 2016、 Exchange Server 2016、 商務用 Skype 2016,或 Azure 工作流程服務,以及SharePoint Server 2016Office 365中執行的另一部伺服器的 STS 之間建立信任關係的伺服器的要求資源的驗證。根據此信任關係,要求的伺服器可存取的 SharePoint 伺服器上的安全的資源代表指定的使用者帳戶,受限於伺服器和使用者權限。

例如,執行Exchange Server 2016伺服器可以要求執行SharePoint Server 2016特定的使用者帳戶之伺服器的資源。這比較與應用程式驗證中應用程式沒有存取權的使用者帳戶認證資訊。使用者可以進行目前登入進行資源要求的伺服器或未,根據服務] 和 [要求。

當執行 SharePoint Server 2016 的伺服器嘗試存取另一部伺服器上的資源,或另一部伺服器嘗試存取執行 SharePoint Server 2016 之伺服器上的資源時,必須驗證傳入存取要求,伺服器才可接受傳入存取要求及後續資料。伺服器對伺服器驗證會驗證是否信任執行 SharePoint Server 2016 的伺服器及其代表的使用者。

伺服器對伺服器驗證所使用的權杖是伺服器對伺服器權杖,而不是登入權杖。伺服器對伺服器權杖包含要求存取之伺服器及伺服器所代表之使用者帳戶的資訊。

內部部署伺服器的基本程序範例如下:

  1. 使用者開啟需要另一部伺服器資訊的 SharePoint 網頁 (例如,顯示SharePoint Server 2016和Exchange Server 2016的工作清單)。

  2. SharePoint Server 2016 產生伺服器對伺服器權杖。

  3. SharePoint Server 2016 將伺服器對伺服器權杖傳送至另一部伺服器。

  4. 另一部伺服器驗證 SharePoint 伺服器對伺服器權杖。

  5. 另一部伺服器將訊息傳送至 SharePoint Server 2016,指出所傳送的伺服器對伺服器權杖有效。

  6. 執行 SharePoint Server 2016 之伺服器上的服務存取伺服器上的資料。

  7. 執行 SharePoint Server 2016 之伺服器上的服務為使用者轉譯頁面。

當兩部伺服器都執行 Office 365 時,程序範例如下:

  1. 使用者開啟需要另一部伺服器資訊的 SharePoint 網頁 (例如,顯示 SharePoint Online 和 Exchange Online 的工作清單)。

  2. SharePoint Online 從 ACS 要求及接收伺服器對伺服器權杖。

  3. SharePoint Online 將伺服器對伺服器權杖傳送至 Office 365 伺服器。

  4. Office 365 伺服器向 ACS 驗證伺服器對伺服器權杖中的使用者身分識別。

  5. Office 365 伺服器將訊息傳送至 SharePoint Online,指出所傳送的伺服器對伺服器權杖有效。

  6. SharePoint Online 上的服務存取 Office 365 伺服器上的資料。

  7. SharePoint Online 上的服務為使用者轉譯頁面。

如需詳細資訊,請參閱<規劃伺服器對伺服器驗證在 SharePoint Server 2016>。

  jj219546(v=office.16).md