SharePoint Server 的驗證概觀

適用于:yes-img-132013 yes-img-16 2016yes-img-192019 yes-img-se訂閱版本 no-img-sopMicrosoft 365 中的 SharePoint

SharePoint Server 針對下列互動類型需要驗證:

  • 使用者存取內部部署 SharePoint 資源

  • 應用程式存取內部部署 SharePoint 資源

  • 內部部署伺服器存取內部部署 SharePoint 資源,或內部部署 SharePoint 資源存取內部部署伺服器

瞭解 Microsoft 365 中的 SharePoint 驗證

注意事項

在SharePoint Server 訂閱版本中,我們現在支援 OIDC 1.0 驗證。 如需如何使用這個新驗證類型的詳細資訊,請參閱 OpenID Connect 1.0 驗證

SharePoint Server 中的使用者驗證

使用者驗證是根據驗證提供者對使用者身分識別進行的驗證,驗證提供者是包含使用者認證並可驗證使用者正確提交認證的目錄或資料庫。 當使用者嘗試存取 SharePoint 資源時,會進行使用者驗證。

SharePoint Server 支援宣告型驗證。

宣告型驗證的結果是由 SharePoint Security Token Service (STS) 所產生的宣告型安全性權杖。

SharePoint Server 支援 Windows、表單型、安全性判斷提示標記語言 (SAML) 和 Open ID Connect (OIDC) 型宣告驗證。 如需 Windows、表單型和 SAML 型驗證方法運作方式的相關資訊,請參閱下列影片。 如需 OIDC 驗證運作方式的相關資訊,請參閱 OIDC 設定指南。

注意事項

影片中的這項資訊適用于 SharePoint Server 2013、SharePoint Server 2016、SharePoint Server 2019和SharePoint Server 訂閱版本。

SharePoint Server 2013 和 2016 中的 Windows 宣告驗證影片

SharePoint Server 2013 和 2016 中的表單型宣告驗證影片

SharePoint Server 2013 和 2016 中採用 SAML 的宣告驗證影片

如需詳細資訊,請參閱在 SharePoint Server 中規劃使用者驗證方法

SharePoint Server 中的應用程式驗證

應用程式驗證會驗證遠端 SharePoint 應用程式識別,並授權安全 SharePoint 資源的應用程式及相關聯使用者。 當 SharePoint 市集 應用程式或應用程式目錄應用程式的外部元件 (例如位在內部網路或網際網路上的網頁伺服器) 嘗試存取安全的 SharePoint 資源時,會進行應用程式驗證。

例如,假設使用者開啟包含 SharePoint 應用程式之 IFRAME 的 SharePoint 頁面,且該 IFRAME 需要外部元件 (例如內部網路或網際網路上的伺服器),才能存取安全的 SharePoint 資源以轉譯頁面。 您必須驗證及授權 SharePoint 應用程式的外部元件,SharePoint 才能提供要求的資訊,且應用程式才能為使用者轉譯頁面。

如果 SharePoint 應用程式不需要 SharePoint 安全資源來轉譯使用者的頁面,則不需要應用程式驗證。 例如,提供氣象預報資訊且只需要存取網際網路上天氣資訊伺服器的 SharePoint 應用程式不需要使用應用程式驗證。

應用程式驗證包含兩個程序:

  • 驗證

    驗證應用程式已向一般信任的身分識別代理正確登錄

  • 授權

    驗證要求的應用程式及相關聯使用者具有執行其作業的適當權限,例如存取資料夾或清單,或執行查詢

為了執行應用程式驗證,應用程式會從 Microsoft Azure 存取控制服務 (ACS) 取得存取權杖,或透過使用 SharePoint Server 信任的憑證自我簽署存取權杖來取得存取權杖。 存取權杖宣告要求可存取特定 SharePoint 資源,並包含可識別應用程式及相關聯使用者的資訊,而不是驗證使用者的認證。 存取權杖不是登入權杖。

SharePoint 市集應用程式的驗證程序範例如下:

  1. 使用者開啟包含 IFRAME 的 SharePoint 網頁並需要透過 SharePoint 市集應用程式轉譯,此應用程式位於網際網路上,並使用 ACS 作為其信任代理。 SharePoint 市集應用程式必須存取 SharePoint 資源,才能為使用者轉譯 IFRAME。

  2. SharePoint STS 從 ACS 要求及接收內容權杖。

  3. SharePoint 將要求的網頁及內容權杖傳送至使用者的網頁瀏覽器。

  4. 使用者的網頁瀏覽器將 IFRAME 的內容要求及內容權杖傳送至網際網路上的 SharePoint 市集應用程式伺服器。

  5. SharePoint 市集應用程式伺服器從 ACS 要求及接收存取權杖。

  6. SharePoint 市集應用程式伺服器將 SharePoint 資源要求及存取權杖傳送至 SharePoint 伺服器。

  7. SharePoint 伺服器授權存取,並檢查應用程式的權限 (在安裝應用程式時指定) 及相關聯使用者的權限。

  8. 如果允許,SharePoint 會將要求的資料傳送至網際網路上的 SharePoint 市集應用程式伺服器。

  9. 網際網路上的 SharePoint 市集應用程式伺服器將 IFRAME 結果傳送至網頁瀏覽器,再由網頁瀏覽器為使用者轉譯頁面的 IFRAME 部分。

請注意,SharePoint 市集 應用程式不需要取得使用者的認證即可存取 SharePoint 伺服器資源。 此存取已透過執行 SharePoint Server 之伺服器信任的 ACS 驗證,並透過一組應用程式和使用者權限授權。

SharePoint App Catalog 應用程式的驗證程序範例如下:

  1. 使用者開啟包含 IFRAME 的 SharePoint 網頁並需要透過應用程式目錄應用程式轉譯,此應用程式位於內部網路上,並針對其存取權杖使用自我簽署的憑證。 應用程式目錄應用程式必須存取 SharePoint 資源,才能為使用者轉譯 IFRAME。

  2. SharePoint 將要求的頁面及 IFRAME 傳送至使用者的網頁瀏覽器。

  3. 使用者的網頁瀏覽器將 IFRAME 的內容要求傳送至內部網路上的應用程式目錄應用程式伺服器。

  4. 應用程式目錄應用程式伺服器驗證使用者,並產生以自我簽署憑證簽署的存取權杖。

  5. 應用程式目錄應用程式伺服器將 SharePoint 資源要求及存取權杖傳送至 SharePoint 伺服器。

  6. SharePoint 伺服器授權存取,並檢查應用程式的權限 (在安裝應用程式時指定) 及相關聯使用者的權限。

  7. 如果允許,SharePoint 伺服器會將要求的資料傳送至內部網路上的應用程式目錄應用程式伺服器。

  8. 應用程式目錄應用程式伺服器將 IFRAME 結果傳送至網頁瀏覽器,再由網頁瀏覽器為使用者轉譯頁面的 IFRAME 部分。

注意事項

應用程式目錄應用程式可以針對其存取權杖使用 ACS 或自我簽署的憑證。

如需詳細資訊,請參閱在 SharePoint Server 中規劃應用程式驗證

SharePoint Server 中伺服器對伺服器的驗證

伺服器對伺服器驗證是根據執行 SharePoint Server 之伺服器的 STS 與另一部支援 OAuth 伺服器對伺服器通訊協定之伺服器的 STS 之間所建立的信任關係,對資源的要求進行驗證,例如執行 SharePoint Server 的內部部署,Exchange Server 2016 年,商務用 Skype 2016 或 Azure 工作流程服務,以及在 Microsoft 365 中執行的 SharePoint Server。 根據此信任關係,要求的伺服器可以根據伺服器和使用者權限,代表指定的使用者帳戶存取 SharePoint 伺服器上的安全資源。

例如,執行 Exchange Server 2016 的伺服器可以要求特定使用者帳戶之執行 SharePoint Server 的伺服器資源。 此布建與應用程式驗證相反,應用程式無法存取使用者帳號憑證資訊。 使用者目前是否可以登入伺服器並提出資源要求,取決於服務和要求。

當執行 SharePoint Server 的伺服器嘗試存取另一部伺服器上的資源,或另一部伺服器嘗試存取執行 SharePoint Server 之伺服器上的資源時,必須驗證傳入存取要求,伺服器才可接受傳入存取要求及後續資料。 伺服器對伺服器驗證會驗證執行 SharePoint Server 的伺服器及其代表的使用者是否受到信任。

用於伺服器對伺服器驗證的權杖是伺服器對伺服器權杖,而不是登入權杖。 伺服器對伺服器權杖包含要求存取之伺服器及伺服器所代表之使用者帳戶的資訊。

內部部署伺服器的基本程序範例如下:

  1. 使用者開啟需要另一部伺服器資訊的 SharePoint 網頁 (例如,顯示 SharePoint Server 和 Exchange Server 2016 的工作清單)。

  2. SharePoint Server 產生伺服器對伺服器權杖。

  3. SharePoint Server 將伺服器對伺服器權杖傳送至另一部伺服器。

  4. 另一部伺服器驗證 SharePoint 伺服器對伺服器權杖。

  5. 另一部伺服器將訊息傳送至 SharePoint Server,指出所傳送的伺服器對伺服器權杖有效。

  6. 執行 SharePoint Server 之伺服器上的服務存取伺服器上的資料。

  7. 執行 SharePoint Server 之伺服器上的服務為使用者轉譯頁面。

當兩部伺服器都執行 Microsoft 365 時,程序範例如下:

  1. 使用者開啟需要另一部伺服器資訊的 SharePoint 網頁 (例如,顯示 SharePoint 和 Exchange Online 的工作清單)。

  2. SharePoint 向 ACS 要求並接收伺服器對伺服器權杖。

  3. SharePoint 將伺服器對伺服器權杖傳送至 Microsoft 365 伺服器。

  4. Microsoft 365 伺服器向 ACS 驗證伺服器對伺服器權杖中的使用者身分識別。

  5. Microsoft 365 伺服器將訊息傳送至 SharePoint,指出所傳送的伺服器對伺服器權杖有效。

  6. SharePoint 上的服務可存取 Microsoft 365 伺服器上的資料。

  7. SharePoint 上的服務可為使用者轉譯頁面。

如需詳細資訊,請參閱<在 SharePoint Server 中規劃伺服器對伺服器的驗證>。