本文為機器翻譯文章。如需檢視英文版,請選取 [原文] 核取方塊。您也可以將滑鼠指標移到文字上,即可在快顯視窗顯示英文原文。
譯文
原文

SharePoint 2013 的驗證新功能

SharePoint 2013
 

適用版本:SharePoint Foundation 2013, SharePoint Server 2013 Enterprise, SharePoint Server 2013 Standard

上次修改主題的時間:2014-09-13

摘要 ︰SharePoint 2013 包含宣告基礎結構與驗證功能可讓新的伺服器對伺服器和應用程式驗證案例增強功能。

SharePoint 2013 的驗證增強可讓宣告式驗證更容易使用,並啟用 Exchange Server 2013、Lync Server 2013 的新分析藍本與功能,以及 SharePoint 市集 或 應用程式目錄 的應用程式。SharePoint 2013 利用並擴充 Open Authorization 2.0 (OAuth 2.0) Web 授權通訊協定,藉以針對伺服器對伺服器與應用程式驗證提供支援。OAuth 是業界標準通訊協定,提供暫時的重新導向式驗證。使用者或代表使用者的 Web 應用程式可要求驗證暫時存取資源所有人的指定網路資源。

SharePoint 2013 支援 OAuth,可讓使用者允許 SharePoint 市集 與應用程式目錄的應用程式存取指定、受保護的使用者資源與資料 (包括連絡人清單、文件、相片與影片),應用程式不須取得、存放或送出使用者的認證。OAuth 允許應用程式與服務代表使用者有限存取 SharePoint 資源。例如使用者可能允許應用程式有權限授予文件庫指定資料夾的存取權。這讓第三方相片列印應用程式等應用程式得以依照使用者要求存取並複製指定資料夾的檔案,不需使用或驗證使用者的帳戶認證。

SharePoint 2013 的使用者驗證是確認要求存取 SharePoint Web 應用程式使用者身分的程序。驗證提供者向已驗證的使用者核發安全性 Token,其封裝一組有關使用者的宣告式判斷提示,並且用於驗證一組指派給使用者的權限。 SharePoint 2013 的使用者授權則是決定哪些使用者可在 SharePoint Web 應用程式內的指定資源執行定義的操作。SharePoint 2013 根據下列方法支援使用者驗證:

  • Windows 宣告

  • 安全性聲明標記語言 (SAML) 宣告

  • 表單型驗證宣告

這些宣告式驗證方法是目前針對 SharePoint 2013 建議的驗證方法。

SharePoint 2013 的應用程式驗證與伺服器對伺服器驗證功能需要宣告式驗證。因為如此,宣告式驗證為 SharePoint 2013 新 Web 應用程式的預設。在管理中心建立 Web 應用程式時,您可只指定宣告式驗證的驗證方法。雖然 SharePoint 2013 仍提供 Windows Classic 模式驗證,也可透過 Windows PowerShell 設定,但是還是建議您使用宣告式驗證。Windows Classic 模式驗證會在 SharePoint 2013 中被取代。

SharePoint 2013 也包括下列宣告基礎結構改良:

  • 透過新的 Convert-SPWebApplicationWindows PowerShell Cmdlet,將傳統模式輕鬆移轉到 Windows 式宣告模式

    您可針對各內容資料庫與 Web 應用程式執行移轉。SharePoint 2010 產品則不然,僅可針對所有 Web 應用程式執行移轉。如需詳細資訊,請參閱<在 SharePoint 2013 中從傳統模式移轉至宣告式驗證>。

  • 登入 Token 目前可在新的分散式快取服務中快取

    SharePoint 2013 使用新「分散式快取服務」快取登入 Token。在 SharePoint 2010 產品 中,登入 Token 是存放在各 Web 前端伺服器的記憶體中。每次使用者存取指定的 Web 前端伺服器,就需要驗證。若您在 Web 前端之前使用網路負載平衡器,使用者必須驗證在負載平衡器之後存取的各 Web 前端伺服器,可能造成多次重新驗證。若要避免重新驗證及延遲,建議啟用並設定負載平衡器相似性 (也稱為相黏工作階段)。將「分散式快取服務」的登入 Token 存放至 SharePoint 2013,就不再需要負載平衡器解決方案的相似性組態;因為有專用的快取服務, Web 前端也多了向外延展的好處,且耗用更少的記憶體使用量。

  • 事件記錄越多會讓驗證問題的疑難排解更容易

    SharePoint 2013 有更多事件記錄,幫助您疑難排解驗證問題。下列為增強式記錄支援範例:

    • 各驗證模式的個別分類式宣告相關記錄

    • 從「分散式快取服務」加入或移除 FedAuth Cookies 的相關資訊

    • FedAuth Cookie 為何無法使用的相關資訊 (例如 Cookie 到期日或無法解密)

    • 驗證要求重新導向目的地的相關資訊

    • 在指定網站集合無法進行使用者移轉的相關資訊

SharePoint 2013 延伸 OAuth 以實作伺服器對伺服器驗證通訊協定 (SharePoint 2013 等服務可使用) 來驗證 Exchange Server 2013 或 Lync Server 2013 等其他服務,或是符合伺服器對伺服器驗證通訊協定的服務。

SharePoint 2013具有專用的本機伺服器對伺服器 security token service (STS 提供包含以啟用跨伺服器已驗證的存取權的使用者身分識別宣告的伺服器對伺服器安全性權杖)。這些使用者的身分識別宣告所其他服務所用來查閱根據自己的身分識別提供者。本機 STS ( SharePoint 2013伺服器對伺服器 STS) 和其他伺服器對伺服器相容服務 ( Exchange Server 2013或Lync Server 2013伺服器對伺服器 STS) 之間建立信任是進行伺服器對伺服器可能的主要功能。在內部部署設定的其他伺服器對伺服器相容服務來建立此信任關係的 JavaScript Object Notation (JSON) 中繼資料端點。線上服務的執行個體Azure Access Control Service (ACS) 會做為信任 broker 啟用跨伺服器的三種伺服器類型之間的通訊。

SharePoint 2013 的新伺服器對伺服器 STS 核發伺服器對伺服器驗證的存取 Token。SharePoint 2013 (以及 SharePoint 2010 產品) 支援符合WS-同盟通訊協定的信任身分識別提供者。但是,SharePoint 2013 的新伺服器對伺服器 STS 只執行可讓暫時存取 Token 存取其他服務 (例如 Exchange Server 2013 與 Lync Server 2013) 的功能。伺服器對伺服器 STS 不用於使用者驗證,也不列於使用者登入頁面、管理中心的 [驗證提供者] 使用者介面,或是SharePoint 2013 產品 的「人員選擇器」。

SharePoint 2013 使用 OAuth 2.0 驗證 SharePoint 市集 與應用程式目錄應用程式的要求,以代表使用者存取 SharePoint 資源。使用者授予 SharePoint 市集 與應用程式目錄應用程式權限,以在應用程式安裝時代表使用者存取 SharePoint 資源。例如使用者安裝 SharePoint 市集 的應用程式。SharePoint 網站包含由應用程式轉譯的內嵌 HTML 內置框架 (IFRAME),需要利用應用程式存取使用者清單。網頁瀏覽器會顯示網站,接著應用程式會回撥執行 SharePoint 2013 的伺服器,代表使用者存取清單。應用程式從清單取得資料後,會顯示 IFRAME 的內容。

應用程式驗證程序SharePoint 2013中的使用 OAuth 驗證應用程式進行宣告及判斷提示應用程式可以代表已驗證的使用者身分。在SharePoint 2013、 Azure ACS 執行個體會做為應用程式身分識別提供者。您也可以使用 ACS 沒有應用程式驗證。授權程序驗證已驗證的應用程式具有執行已定義的作業,以存取指定之的資源的權限。

https://technet.microsoft.com/zh-tw/library/jj219795.aspx
顯示: