本文為機器翻譯文章。如需檢視英文版,請選取 [原文] 核取方塊。您也可以將滑鼠指標移到文字上,即可在快顯視窗顯示英文原文。
譯文
原文

設定 SharePoint Server 2013 的應用程式驗證

 

適用版本:SharePoint Server 2013 Enterprise, SharePoint Server 2013 Standard

上次修改主題的時間:2016-12-16

摘要︰了解如何在 SharePoint Server 2013 中設定應用程式驗證。

當您使用 SharePoint 相關應用程式時,應用程式的外部元件可能需要存取 SharePoint 資源。例如,位於內部網路或網際網路上的網頁伺服器可能會嘗試存取 SharePoint 資源。如果發生此情況,SharePoint 必須確認下列事項:

  • 應用程式及應用程式所代表之使用者的身分識別驗證。

  • 應用程式及應用程式所代表之使用者的存取授權。

應用程式驗證包含這兩項確認。

本主題說明如何設定 SharePoint Server 2013 伺服器陣列以進行應用程式驗證,您可以透過設定信任、使用 Application Management Service 登錄應用程式,以及設定應用程式權限來完成。

重要事項 重要事項:
您必須將含有傳入要求之應用程式驗證端點的 SharePoint Web 應用程式設定為使用安全通訊端階層 (SSL)。如需如何設定新 Web 應用程式之 SSL 的資訊,請參閱<在 SharePoint 2013 中建立宣告式 Web 應用程式>。
注意事項 附註:
本主題不適用於 SharePoint Foundation 2013。

此設定包含下列步驟,您必須依序執行這些步驟:

  1. 設定 SharePoint Server 2013 應用程式驗證信任。

  2. 使用 Application Management Service 登錄應用程式。

  3. 設定應用程式權限。

如需 SharePoint 應用程式 的資訊,請參閱<SharePoint 2013 應用程式概觀>。

注意事項 附註:
由於 SharePoint Server 2013 是在 Internet Information Services (IIS) 中執行的網站,因此管理員與使用者都必須仰賴瀏覽器所提供的協助工具功能。SharePoint Server 2013 支援其所支援之瀏覽器的協助工具功能。如需詳細資訊,請參閱下列資源:

您可以使用兩種方式設定 SharePoint Server 2013 的應用程式驗證信任:

  • 如果您具有Office 365訂閱及應用程式也會使用Azure Active Directory進行驗證,您可以設定 SharePoint 伺服器陣列信任Office 365訂閱的對應的Azure Active Directory執行個體。並沒有已Office 365訂閱。您可以分別取得Azure Active Directory帳戶。如需詳細資訊,請參閱Azure Active Directory。Azure Active Directory然後會做為內部部署 SharePoint 伺服器陣列與應用程式之間的一般驗證 broker] 和 [存 online security token service (STS)。應用程式要求的存取權的 SharePoint 資源Azure Active Directory就會產生內容權杖。

    在此例中,設定為信任Azure Active DirectorySharePoint Server 2013 。

  • 如果您不需要Office 365訂閱或應用程式不會使用Azure Active Directory進行驗證,您必須設定 SharePoint 伺服器陣列與應用程式,又稱為高信任應用程式之間的伺服器對伺服器信任關係。它會要求 SharePoint 資源的存取權的高信任應用程式就會產生自己的內容權杖。這必須完成的 SharePoint 伺服器陣列必須信任各個高信任應用程式。例如,如果上一部伺服器皆在執行多個應用程式與因此皆使用不同的權杖簽署憑證,您必須建立不同的信任與每個。

    在此情況下,請設定 SharePoint Server 2013 信任應用程式。

若要設定為信任Azure Active DirectorySharePoint Server 2013使用下列程序。

若要設定Azure Active DirectorySharePoint Server 2013信任關係
  1. 確認您是執行 Windows PowerShell Cmdlet 之伺服器上的系統管理員群組成員。

    • SQL Server 執行個體上的 securityadmin 固定伺服器角色。

    • 所有要更新之資料庫上的 db_owner 固定資料庫角色。

    系統管理員可以使用 Add-SPShellAdmin Cmdlet 授與使用 SharePoint Server 2013 Cmdlet 的權限。

    注意事項 附註:
    如果您不具備上述權限,請連絡安裝程式系統管理員或 SQL Server 系統管理員要求權限。如需 Windows PowerShell 權限的其他資訊,請參閱<Add-SPShellAdmin>。
  2. 啟動 SharePoint 2013 管理命令介面。

    • 若為 Windows Server 2008 R2:

      • 在 SharePoint 2013 環境中的 [開始] 功能表上,依序按一下 [所有程式]、[Microsoft SharePoint 2013 產品]、[SharePoint 2013 管理命令介面]。

    • 若為 Windows Server 2012:

      • 在 SharePoint 2013 環境的 [開始] 畫面上,按一下 [SharePoint 2013 管理命令介面]。

        如果 [SharePoint 2013 管理命令介面] 不在 [開始] 畫面上:

      • 在 [電腦] 上按一下滑鼠右鍵,按一下 [所有應用程式],然後按一下 [SharePoint 2013 管理命令介面]。

    如需如何與 Windows Server 2012 互動的詳細資訊,請參閱 Windows Server 2012 的常見管理工作及瀏覽方式

  3. 在 Windows PowerShell 命令提示字元中輸入下列命令:

    $New-SPTrustedSecurityTokenIssuer -MetadataEndpoint "<Metadata endpoint URL of Azure AD>" -IsTrustBroker -Name "Azure AD"
    

    其中:

    • <Metadata endpoint URL of Azure AD>https://accounts.accesscontrol.windows.net/< Azure AD 網域名稱或領域識別碼 >/metadata/json/1

  4. 讓 Windows PowerShell 命令提示字元保持開啟以便進行<使用 Application Management Service 登錄應用程式>程序。

使用下列程序可設定 SharePoint Server 2013 信任應用程式。

設定 SharePoint Server 2013 與高信任應用程式的信任關係
  1. 確認您是執行 Windows PowerShell Cmdlet 之伺服器上的系統管理員群組成員。

    • SQL Server 執行個體上的 securityadmin 固定伺服器角色。

    • 所有要更新之資料庫上的 db_owner 固定資料庫角色。

    系統管理員可以使用 Add-SPShellAdmin Cmdlet 授與使用 SharePoint Server 2013 Cmdlet 的權限。

    注意事項 附註:
    如果您不具備上述權限,請連絡安裝程式系統管理員或 SQL Server 系統管理員要求權限。如需 Windows PowerShell 權限的其他資訊,請參閱<Add-SPShellAdmin>。
  2. 在伺服器陣列中的 SharePoint Server 2013 伺服器上,於 [管理中心] 的 [快速啟動] 上,按一下 [系統設定],然後按一下 [管理伺服器上的服務]。

  3. 在伺服器上的服務清單中,確定已啟動 User Profile Service。

  4. 管理中心的 [快速啟動] 上,按一下 [應用程式管理],然後按一下 [管理服務應用程式]。

  5. 在服務應用程式清單中,確定已啟動 App Management Service 和 User Profile Service 應用程式。

  6. 取得高信任應用程式之簽署憑證的 CER 版本,然後儲存在此程序的其餘部分期間可存取的位置。

  7. 確認您是執行 Windows PowerShell Cmdlet 之伺服器上的系統管理員群組成員。

    • SQL Server 執行個體上的 securityadmin 固定伺服器角色。

    • 所有要更新之資料庫上的 db_owner 固定資料庫角色。

    系統管理員可以使用 Add-SPShellAdmin Cmdlet 授與使用 SharePoint Server 2013 Cmdlet 的權限。

    注意事項 附註:
    如果您不具備上述權限,請連絡安裝程式系統管理員或 SQL Server 系統管理員要求權限。如需 Windows PowerShell 權限的其他資訊,請參閱<Add-SPShellAdmin>。
  8. 依序按一下 [開始] 功能表、[所有程式]、[SharePoint 2013 產品] 及 [SharePoint 2013 管理命令介面]。

  9. 在 Windows PowerShell 命令提示字元中輸入下列命令:

    $appId = "<AppID>"
    
    $spweb = Get-SPWeb "<AppURL>"
    
    $realm = Get-SPAuthenticationRealm -ServiceContext $spweb.Site
    
    $certificate = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("<CERFilePath>")
    
    $fullAppIdentifier = $appId + '@' + $realm
    
    New-SPTrustedSecurityTokenIssuer -Name "<FriendlyName>" -Certificate $certificate -RegisteredIssuerName $fullAppIdentifier
    

    其中:

    • <應用程式識別碼> 是建立高信任應用程式時,指派給高信任應用程式的用戶端識別碼。

      重要事項 重要事項:
      應用程式識別碼的所有字母必須為小寫。
    • <應用程式 URL> 是高信任應用程式在應用程式伺服器上的位置 URL。

    • <CER 檔案路徑> 是高信任應用程式之簽署憑證的 .CER 版本路徑。

    • <易記名稱> 是識別應用程式的易記名稱。

  10. 讓 Windows PowerShell 命令提示字元保持開啟以便進行下一個程序。

使用下列程序可透過 Application Management Service 登錄應用程式。

將應用程式登錄為 SharePoint 應用程式主體
  1. 在 Windows PowerShell 命令提示字元中輸入下列命令:

    $appPrincipal = Register-SPAppPrincipal -NameIdentifier $fullAppIdentifier -Site $spweb -DisplayName "<DisplayName>" 
    

    其中:

    • <顯示名稱> 是應用程式在管理中心中的顯示名稱。

  2. 讓 Windows PowerShell 命令提示字元保持開啟以便進行下一個程序。

使用下列 Windows PowerShell 命令可新增或變更個別應用程式權限。請視需要重複此程序多次,以設定應用程式的權限。

設定應用程式權限
  • 在 Windows PowerShell 命令提示字元中輸入下列命令:

    Set-AppPrincipalPermission -appPrincipal $appPrincipal -site $web -right <Level> -scope <Scope>
    

    其中:

    • <層級> 是「讀取」、「寫入」、「管理」或「完全控制」。

    • <範圍> 是伺服器陣列、網站集合、SharePoint Online、Web、文件、清單或文件庫。

    如需詳細資訊,請參閱<Set-SPAppPrincipalPermission>。

如需詳細資訊,請參閱<在 SharePoint 2013 中規劃應用程式權限的管理>。

https://technet.microsoft.com/zh-tw/library/jj219576.aspx
顯示: