Sdílet prostřednictvím

Team Foundation Server, ověřování a přístupu

  • Článek

Můžete nakonfigurovat zabezpečení připojení mezi uživatele a nasazení nasazení Visual Studio Team Foundation Server.Team Foundation Server(TFS) může podporovat základní ověřování, ověřování algoritmem Digest a certifikáty.Proto můžete nakonfigurovat nasazení TFS Hypertext Transfer protokol HTTPS (Secure) pomocí ověřování Basic nebo Digest a protokol SSL (Secure Sockets Layer) (SSL).Pokud přijmout tuto strategii uživatelé připojit bezpečněji k nasazení bez nutnosti použít připojení virtuální privátní sítě (VPN).

Konfigurace

Podporovat bezpečnější externí připojení k nasazení Team Foundation Server, Internetová informační služba (IIS) povolit základní ověřování nebo ověřování algoritmem Digest je nutné nakonfigurovat.Měli byste také nakonfigurovat všechny externí připojení požadovat certifikáty.

Aa833874.collapse_all(cs-cz,VS.110).gifZákladní ověřování a ověřování algoritmem Digest

Základní ověřování je součástí specifikace HTTP 1.0 a používá uživatelské účty systému Windows.Při základním ověřování prohlížeč vyzve uživatele k zadání uživatelského jména a hesla a informací přenáší HTTP pomocí kódování Base64.Výchozí základní ověřování vyžaduje uživatelský účet systému Windows k dispozici webový server místní přihlašovací práva.V pracovní skupině a doméně nasazení lze použít základní ověřování.Většina webových serverů, servery proxy a webové prohlížeče podporují základní ověřování, ale není zabezpečená.Data s kódováním Base64 s je snadno dekódovat, základní ověřování v podstatě odesílá heslo jako prostý text.Sledováním komunikace v síti, uživatel se zlými úmysly snadno zachytit a dešifrovat pomocí veřejně přístupných nástrojů tato hesla.Chcete-li zvýšit zabezpečení, zvažte použití protokolu HTTPS a SSL.

Ověřování algoritmem Digest je mechanismus výzvy a odezvy, odešle výtah (označovaný také jako algoritmus hash) namísto hesla v síti.Během ověřování algoritmem Digest odešle služba IIS výzvou klientovi vytvořit výtah a že digest odeslat na server.Jako odpověď na výzvu klient odešle digest, založené na heslo uživatele spolu s daty na klienta a serveru.Server používá stejný proces jako klient vytvořit vlastní digest uživatelské informace získané ze služby Active Directory.Služba IIS ověří klienta pouze v případě, že výtah, který vytvoří server odpovídá výtah, který klient vytvoří.Ověřování algoritmem Digest lze použít pouze v implementacích služby Active Directory.Ověřování algoritmem Digest je sama o sobě malé zlepšení základní ověřování.Uživatel se zlými úmysly může zaznamenat komunikace mezi klientem a serverem a tyto informace použít k přehrání transakce.Ověřování algoritmem Digest má také závislostí na všechny webové prohlížeče nepodporují protokolu HTTP 1.1.Kromě toho pokusí o přístup k Team Foundation Server se nezdaří, pokud neprovedete konfiguraci ověřování algoritmem Digest správně.Ověřování algoritmem Digest nevybírejte, pokud nasazení splňuje všechny požadavky režimu.Další informace naleznete na webu společnosti Microsoft na následující stránce (Konfigurace ověřování algoritmem Digest (služba IIS 7.0)).

Aa833874.collapse_all(cs-cz,VS.110).gifOvěřovací protokoly

Ve výchozím nastavení Team Foundation Server používá ověřovací protokol typu výzva a odpověď systému Windows (NTLM).Pověření NTLM jsou založeny na údajích získaných během interaktivního procesu přihlašování a zahrnovat jednosměrná hodnota hash hesla.

Team Foundation Servertaké podporuje Microsoft vyjednat ověřovací protokol.Dohodnutí protokolu Kerberos zaškrtnuto, pokud nelze použít jeden systémů zapojených do procesu ověřování.Tyto systémy není nakonfigurován pro protokol Kerberos použití ověřování NTLM.Vyjednávání je bezpečnější pro většinu nasazení, ale může požadovat dodatečné úlohy konfigurace.

Aa833874.collapse_all(cs-cz,VS.110).gifOmezení

Kromě požadavků domén a pracovních skupin uvedených v tomto tématu ověřování Basic a ověřování algoritmem Digest jsou nedostatečné samy poskytují zabezpečení sítě pro externí klienti.Proto byste neměli konfigurovat Team Foundation Server Pokud konfigurujete připojení požadují HTTPS, SSL podpora externích klientů.

Viz také

Koncepty

Team Foundation Architektura serveru

Další zdroje

Securing Team Foundation Server with HTTPS and Secure Sockets Layer (SSL)