本文為機器翻譯文章。如需檢視英文版,請選取 [原文] 核取方塊。您也可以將滑鼠指標移到文字上,即可在快顯視窗顯示英文原文。
譯文
原文

SharePoint 2013 的身分識別管理概觀

SharePoint 2013
 

適用版本:SharePoint Foundation 2013, SharePoint Server 2013 Enterprise, SharePoint Server 2013 Standard

上次修改主題的時間:2016-12-16

摘要:了解 SharePoint 2013 如何支援驗證、授權和儲存、同步處理,以及顯示實體及其屬性。

SharePoint 2013 中的身分識別管理為下列各部分的組合:

  • 實體的識別碼集、其儲存位置、各身分識別儲存區之間信任關係的建立,以及識別碼資訊的顯示。

    使用者、電腦或服務皆為實體的範例。

  • 這些方法通常以受加密保護的認證交換形式提供,使用識別碼來驗證資源的存取權限。

  • 這些方法一般由指派給驗證碼的一組權限所指定,並且會指定並強制執行資源的存取授權。

一般身分識別管理系統由下列元素組成:

  • 實體

  • 帳戶及屬性的儲存區

  • 驗證方法

  • 授權方法

  • 儲存、同步處理及實體屬性顯示

下列部分章節說明這些元素,以及 SharePoint 2013 的支援這些元素方式。

在身分識別管理系統範圍內,實體會呈現需要資源存取權限的實體或邏輯物件。網路上使用 Active Directory 網域服務 (AD DS) 的實體包括使用者、電腦和服務。每個實體都具有可對應至目錄中帳戶的身份識別,如 AD DS。帳戶可包含一組描述實體的屬性,如名稱、群組成員資格、電子郵件地址等等。

針對 SharePoint 2013 中的身分識別管理作業,實體是指使用者、群組、服務、電腦及應用程式。

包含帳戶及屬性的儲存區可提供實體帳戶及其屬性的位置。使用 AD DS 的網路會將儲存區帳戶及屬性儲存在 AD DS 。包含帳戶及屬性的儲存區可執行下列動作:

  • 在驗證期間驗證帳戶認證。

  • 為要求驗證的實體提供帳戶屬性,以便這些屬性可以用於授權。

SharePoint 2013 可針對 AD DS 或其他儲存區使用表單型或安全性聲明標記語言 (SAML) 使用者驗證方法。SharePoint 2013 不包括帳戶及屬性的儲存區。

識別身分同盟是連結多存放區的帳戶及透過信任關係的屬性,讓資源的存取權的驗證與授權,即會發生順暢地跨這些存放區的程序。Forefront Identity Manager 2010 R2可讓您管理 identity life cycle 與角色管理跨異質性的身分識別平台。

驗證方法是電腦互相傳送一組特定訊息以執行驗證。訊息可驗證實體的身分識別。驗證程序的結果是安全性權杖,通常包含加密證明,其帳戶及屬性儲存區已驗證身分識別。安全性權杖也可包含實體屬性,例如實體所屬之安全性群組清單。

關於 AD DS,驗證方法通常為 NTLM 或 Kerberos 通訊協定。例如,當使用者登入已加入網域的電腦時,就會收集使用者的安全認證,並藉由 AD DS 網域控制站使用 Kerberos 通訊協定來驗證那些認證。在使用者存取資源的時候,使用者電腦會收到要使用的 Kerberos 票證。Kerberos 票證包含 AD DS 已驗證認證之加密證明,以及使用者所屬之群組清單。

雖然 Kerberos 和 NTLM 能夠對 AD DS 網路有效運作,但他們不容易透過協力廠商擴充為多個帳戶及屬性儲存區,或在雲端擴充為身分識別管理系統。

關於宣告式身分識別,使用者可取得已數位簽署之受信任安全性權杖服務 (STS) 並包含一組宣告的安全性權杖。每個宣告表示與使用者相關的特定資料項目,例如名稱、群組成員及在網路上的角色。宣告式身分識別可讓應用程式仰賴驗證證明的安全性權杖和授權的宣告集,或其他處理程序。宣告式身分識別通常可讓使用者執行驗證以取得安全性權杖,並將權杖提交至應用程式。宣告感知 (Claims-Aware) 應用程式會驗證安全性權杖的數位簽章,並使用該宣告來實作授權及其他應用程式專屬的函數。

Windows 中的宣告式身分識別及驗證是根據 Windows Identity Foundation (WIF,一組用來實作宣告式身分識別的 .NET Framework 類別) 所建立。宣告式驗證需依賴一些標準,例如 WS-同盟、WS-Trust 及 SAML 等通訊協定。

簡化的宣告式身分識別實作包含下列元件:

  • 宣告感知 (Claims-Aware) 用戶端應用程式:是指可從 STS 取得安全性權杖,並提交以進行驗證和授權的應用程式。宣告感知 (Claims-Aware) 用戶端應用程式的範例有網頁瀏覽器,例如 Internet Explorer。

  • STS:是指為宣告感知 (Claims-Aware) 用戶端應用程式建立安全性權杖的伺服器或服務。SharePoint 2013 中的 STS 可提供其安全性權杖以要求宣告感知 (Claims-Aware) 用戶端應用程式,亦可使用 Active Directory Federation Services (AD FS) 2.0 做為外部 STS。

  • 信賴憑證者:是指仰賴 STS 取得權杖的電腦或應用程式。信賴憑證者可將宣告感知 (Claims-Aware) 用戶端應用程式重新導向 STS 以取得適用的安全性權杖。SharePoint 2013 可擔任外部 STS 的信賴憑證者。例如將 SharePoint Web 應用程式設定為使用 AD FS 作為其 STS。

  • 宣告感知 (Claims-Aware) 伺服器應用程式:是指需要安全性權杖以進行驗證和授權的應用程式。例如,預設使用宣告式驗證的 SharePoint 2013 Web 應用程式。

SharePoint 2013 可針對下列實體支援宣告式身分識別及驗證:

  • 使用者:針對帳戶及屬性儲存區進行的使用者身分識別驗證包含使用者的認證,並可驗證使用者是否已正確提交認證。當使用者試圖存取 SharePoint 資源時,會進行使用者驗證。如需詳細資訊,請參閱在 SharePoint 2013 中規劃使用者驗證方法

  • 應用程式:是指要求安全 SharePoint 資源的遠端 SharePoint 相關應用程式 身分識別驗證、應用程式授權及相關聯的使用者。在 SharePoint 市集應用程式或應用程式目錄應用程式 (例如位於內部網路或 Internet 的網頁伺服器) 外部元件企圖存取安全 SharePoint 資源時,會進行應用程式驗證。如需詳細資訊,請參閱 在 SharePoint Server 中規劃應用程式驗證

  • 伺服器:伺服器之資源要求的驗證是以執行 SharePoint 2013 之伺服器的 STS 與支援 OAuth 伺服器對伺服器通訊協定之其他伺服器的 STS 二者之間的信任為基礎。根據此信任關係,要求的伺服器可以根據伺服器和使用者權限,代表指定的使用者帳戶存取執行 SharePoint 2013 之伺服器上的安全資源。如需詳細資訊,請參閱在 SharePoint 2013 中規劃伺服器對伺服器的驗證

在驗證成功後,應用程式必須判斷實體是否已授與所要求資源的存取權限。若要執行此項分析,應用程式會將安全性權杖 (適用於宣告式身分識別) 中有關實體的身分識別資訊 (例如使用者名稱及其成員身分所屬的群組) 或 Kerberos 票證,與預設值清單或接受存取之資源的設定權限進行比較。

權限是一項設定,可指定實體 (例如使用者或群組名稱) 及實體可進行和不可進行之項目 (例如讀取、編輯或刪除共用資料夾中的檔案)。若要取得資源的存取權限,設定的權限必須允許實體要求的存取類型。

SharePoint 2013 可為使用者提供 Web 應用程式及其資源的存取權限、伺服器對伺服器資源要求的伺服器權限及應用程式資源要求的應用程式權限。

如需有關如何規劃 SharePoint 2013 中的權限,請參閱在 SharePoint 2013 中規劃網站及內容的權限在 SharePoint 2013 中規劃應用程式權限的管理

若要設定權限,身分識別管理系統必須從儲存區位置取得實體清單並使其顯示。如果該儲存區位置並非帳戶及屬性原先的儲存區,則實體資訊必須使用該儲存區進行同步處理,並複寫至其他電腦。

在 SharePoint 2013 中,顯示權限設定實體資訊的工具為「人員選擇器」,收集、同步處理及複寫本機實體資訊的服務為「使用者設定檔」應用程式服務。

如需詳細資訊,請參閱人員選擇與宣告提供者概觀 (SharePoint 2013)SharePoint Server 2013 的 User Profile Service 應用程式概觀

https://technet.microsoft.com/zh-tw/library/ee662538.aspx
顯示: