本文為機器翻譯文章。如需檢視英文版,請選取 [原文] 核取方塊。您也可以將滑鼠指標移到文字上,即可在快顯視窗顯示英文原文。
譯文
原文

SharePoint 2013 的驗證概觀

 

適用版本:SharePoint Foundation 2013, SharePoint Server 2013 Enterprise, SharePoint Server 2013 Standard

上次修改主題的時間:2014-09-09

摘要:了解 SharePoint 2013 中使用者驗證、應用程式驗證及伺服器對伺服器驗證的運作方式。

SharePoint 2013 針對下列互動類型需要驗證:

  • 使用者存取內部部署 SharePoint 資源

  • 應用程式存取內部部署 SharePoint 資源

  • 內部部署伺服器存取內部部署 SharePoint 資源,或內部部署 SharePoint 資源存取內部部署伺服器

本文內容:

使用者驗證是根據驗證提供者對使用者身分識別進行的驗證,驗證提供者是包含使用者認證並可驗證使用者正確提交認證的目錄或資料庫。當使用者嘗試存取 SharePoint 資源時,會進行使用者驗證。

SharePoint 2013 支援使用兩種驗證類型進行使用者驗證:

  • 宣告式驗證

  • Windows 傳統模式驗證

宣告式驗證的結果是 SharePoint Security Token Service (STS) 所產生的宣告式安全性權杖。Windows 傳統模式驗證的結果是 Windows 安全性權杖。建議您使用宣告式驗證進行使用者驗證。

SharePoint 2013 支援 Windows 驗證、表單型驗證和以安全性聲明標記語言 (SAML) 為基礎的宣告式驗證。如需這三種驗證方法之運作方式的資訊,請參考以下影片。

SharePoint 2013 中的 Windows 宣告驗證影片

視訊 (播放按鈕) 圖示

SharePoint 2013 中的表單型宣告驗證影片

視訊 (播放按鈕) 圖示

SharePoint 2013 中的 SAML 型宣告驗證影片

視訊 (播放按鈕) 圖示

如需詳細資訊,請參閱<在 SharePoint 2013 中規劃使用者驗證方法>。

應用程式驗證會驗證遠端 SharePoint 應用程式識別,並授權安全 SharePoint 資源的應用程式及相關聯使用者。當 SharePoint 市集 應用程式或應用程式目錄應用程式的外部元件 (例如位在內部網路或網際網路上的網頁伺服器) 嘗試存取安全的 SharePoint 資源時,會進行應用程式驗證。

例如,假設使用者開啟包含 SharePoint 應用程式之 IFRAME 的 SharePoint 頁面,且該 IFRAME 需要外部元件 (例如內部網路或網際網路上的伺服器),才能存取安全的 SharePoint 資源以轉譯頁面。您必須驗證及授權 SharePoint 應用程式的外部元件,SharePoint 才能提供要求的資訊,且應用程式才能為使用者轉譯頁面。

請注意,如果 SharePoint 應用程式不需要安全的 SharePoint 資源來為使用者轉譯頁面,則不需要應用程式驗證。例如,提供氣象預測資訊並只能存取網際網路上之氣象資訊伺服器的 SharePoint 應用程式不需要使用應用程式驗證。此類型驗證可透過 SharePoint 2010 產品完成。

應用程式驗證包含兩個程序:

  • 驗證

    驗證應用程式已向一般信任的身分識別代理正確登錄

  • 授權

    驗證要求的應用程式及相關聯使用者具有執行其作業的適當權限,例如存取資料夾或清單,或執行查詢

若要可執行應用程式驗證、 應用程式會取得存取 token 從Microsoft Azure Access Control Service (ACS) 或自我簽署憑證的存取權杖該SharePoint 2013信任。存取權杖判斷提示存取特定的 SharePoint 資源要求及包含識別應用程式及相關聯的使用者,而不是使用者的認證驗證的資訊。登入 token 的無法存取權杖。

SharePoint 市集應用程式的驗證程序範例如下:

  1. 使用者開啟包含 IFRAME 的 SharePoint 網頁並需要透過 SharePoint 市集應用程式轉譯,此應用程式位於網際網路上,並使用 ACS 作為其信任代理。SharePoint 市集應用程式必須存取 SharePoint 資源,才能為使用者轉譯 IFRAME。

  2. SharePoint STS 從 ACS 要求及接收內容權杖。

  3. SharePoint 將要求的網頁及內容權杖傳送至使用者的網頁瀏覽器。

  4. 使用者的網頁瀏覽器將 IFRAME 的內容要求及內容權杖傳送至網際網路上的 SharePoint 市集應用程式伺服器。

  5. SharePoint 市集應用程式伺服器從 ACS 要求及接收存取權杖。

  6. SharePoint 市集應用程式伺服器將 SharePoint 資源要求及存取權杖傳送至 SharePoint 伺服器。

  7. SharePoint 伺服器授權存取,並檢查應用程式的權限 (在安裝應用程式時指定) 及相關聯使用者的權限。

  8. 如果允許,SharePoint 會將要求的資料傳送至網際網路上的 SharePoint 市集應用程式伺服器。

  9. 網際網路上的 SharePoint 市集應用程式伺服器將 IFRAME 結果傳送至網頁瀏覽器,再由網頁瀏覽器為使用者轉譯頁面的 IFRAME 部分。

請注意,SharePoint 市集應用程式不需要取得使用者的認證即可存取 SharePoint 伺服器資源。此存取已透過執行 SharePoint 2013 之伺服器信任的 ACS 驗證,並透過一組應用程式和使用者權限授權。

SharePoint 應用程式目錄應用程式的驗證程序範例如下:

  1. 使用者開啟包含 IFRAME 的 SharePoint 網頁並需要透過應用程式目錄應用程式轉譯,此應用程式位於內部網路上,並針對其存取權杖使用自我簽署的憑證。應用程式目錄應用程式必須存取 SharePoint 資源,才能為使用者轉譯 IFRAME。

  2. SharePoint 將要求的頁面及 IFRAME 傳送至使用者的網頁瀏覽器。

  3. 使用者的網頁瀏覽器將 IFRAME 的內容要求傳送至內部網路上的應用程式目錄應用程式伺服器。

  4. 應用程式目錄應用程式伺服器驗證使用者,並產生以自我簽署憑證簽署的存取權杖。

  5. 應用程式目錄應用程式伺服器將 SharePoint 資源要求及存取權杖傳送至 SharePoint 伺服器。

  6. SharePoint 伺服器授權存取,並檢查應用程式的權限 (在安裝應用程式時指定) 及相關聯使用者的權限。

  7. 如果允許,SharePoint 伺服器會將要求的資料傳送至內部網路上的應用程式目錄應用程式伺服器。

  8. 應用程式目錄應用程式伺服器將 IFRAME 結果傳送至網頁瀏覽器,再由網頁瀏覽器為使用者轉譯頁面的 IFRAME 部分。

注意事項 附註:
應用程式目錄應用程式可以針對其存取權杖使用 ACS 或自我簽署的憑證。

如需詳細資訊,請參閱<在 SharePoint Server 中規劃應用程式驗證>。

伺服器對伺服器驗證會根據執行 SharePoint 2013 之伺服器的 STS 與支援 OAuth 伺服器對伺服器通訊協定之另一部伺服器的 STS (例如內部執行的 SharePoint 2013、Exchange Server 2013、Lync Server 2013 或 Azure 工作流程服務,以及在 Office 365 中執行的 SharePoint 2013) 之間建立的信任關係,來驗證伺服器對資源的要求。根據此信任關係,要求的伺服器可以根據伺服器和使用者權限,代表指定的使用者帳戶存取 SharePoint 伺服器上的安全資源。

例如,執行 Exchange Server 2013 的伺服器可以要求特定使用者帳戶之執行 SharePoint 2013 的伺服器資源。這與應用程式驗證相反,在應用程式驗證中,應用程式無法存取使用者帳戶認證資訊。使用者目前是否可以登入伺服器並提出資源要求,取決於服務和要求。

當執行 SharePoint 2013 的伺服器嘗試存取另一部伺服器上的資源,或另一部伺服器嘗試存取執行 SharePoint 2013 之伺服器上的資源時,必須驗證傳入存取要求,伺服器才可接受傳入存取要求及後續資料。伺服器對伺服器驗證會驗證是否信任執行 SharePoint 2013 的伺服器及其代表的使用者。

伺服器對伺服器驗證所使用的權杖是伺服器對伺服器權杖,而不是登入權杖。伺服器對伺服器權杖包含要求存取之伺服器及伺服器所代表之使用者帳戶的資訊。

內部部署伺服器的基本程序範例如下:

  1. 使用者開啟需要另一部伺服器資訊的 SharePoint 網頁 (例如,顯示 SharePoint 2013 和 Exchange Server 2013 的工作清單)。

  2. SharePoint 2013 產生伺服器對伺服器權杖。

  3. SharePoint 2013 將伺服器對伺服器權杖傳送至另一部伺服器。

  4. 另一部伺服器驗證 SharePoint 伺服器對伺服器權杖。

  5. 另一部伺服器將訊息傳送至 SharePoint 2013,指出所傳送的伺服器對伺服器權杖有效。

  6. 執行 SharePoint 2013 之伺服器上的服務存取伺服器上的資料。

  7. 執行 SharePoint 2013 之伺服器上的服務為使用者轉譯頁面。

當兩部伺服器都執行 Office 365 時,程序範例如下:

  1. 使用者開啟需要另一部伺服器資訊的 SharePoint 網頁 (例如,顯示 SharePoint Online 和 Exchange Online 的工作清單)。

  2. SharePoint Online 從 ACS 要求及接收伺服器對伺服器權杖。

  3. SharePoint Online 將伺服器對伺服器權杖傳送至 Office 365 伺服器。

  4. Office 365 伺服器向 ACS 驗證伺服器對伺服器權杖中的使用者身分識別。

  5. Office 365 伺服器將訊息傳送至 SharePoint Online,指出所傳送的伺服器對伺服器權杖有效。

  6. SharePoint Online 上的服務存取 Office 365 伺服器上的資料。

  7. SharePoint Online 上的服務為使用者轉譯頁面。

如需詳細資訊,請參閱<在 SharePoint 2013 中規劃伺服器對伺服器的驗證>。

https://technet.microsoft.com/zh-tw/library/jj219758.aspx
顯示: