Partager via


您不可不知的 SharePoint 2010 宣告驗證重要知識 - 需要嚴謹的工作階段

英文原文已於 2011 年 10 月 28 日星期五發佈

大家好,我想要跟大家分享我在使用宣告驗證時,同樣遇到的令人苦惱的異常情形。接著,我將在本篇文章中仔細說明這種基礎層面的部署,以免大家遇到相同的情況。

簡單地說,如果您是使用宣告驗證,那麼請務必使用負載平衡解決方案中的相關性。TechNet 雖有相關說明,但僅屬於附註說明,並非較具說服力的形式。您可在 https://technet.microsoft.com/zh-tw/library/cc288475.aspx 中找到該文章,其內容為:

附註:如果 SharePoint Foundation 2010 伺服陣列中有多部設定負載平衡的網頁伺服器,而您在其中使用 SAML 權杖型驗證搭配 AD FS,這可能會影響用戶端網頁檢視效能及功能。當 AD FS 提供驗證權杖給用戶端時,該權杖便會提交至 SharePoint Foundation 2010 供每個權限受到限制的頁面元素使用。如果負載平衡解決方案並未使用相關性,每個受到保護的元素便需向多個 SharePoint Foundation 2010 伺服器驗證,如此可能會導致權杖遭拒。一旦權杖遭拒,SharePoint Foundation 2010 會將用戶端重新導向,回到 AD FS 伺服器重新驗證。發生此情況之後,AD FS 伺服器可能會拒絕在短時間內發出的多個要求。此行為是原本的設計,這是為了免遭拒絕服務攻擊。如果對效能發生負面影響,或是未能完整載入頁面,請試著將網路負載平衡設定為單一相關性,如此可將對 SAML 權杖的要求隔離在單一網頁伺服器上。

之所以在本篇文章中特別提出,就是要呼籲各位不要過於在意這項附註說明。我在以上附註說明中設定為斜體的文字,即可證明其不構成正當理由的原因 (或許我應該將這些字設定為粗體)。如果您並未使用相關性,就會發生以下問題:

  • 系統可能會將您隨機重新導向至登入頁面。
  • 您最後可能會遇到驗證迴圈,讓 ADFS 如同附註說明所述,因為查覺到拒絕服務的攻擊 (DOS) 而停止要求。
  • 查看活動的記錄時,SharePoint 可能會將您的 Fedauth Cookie 設定為到期的值,然後再次向 ADFS 發出要求,如此一來,除了 ADFS 可能不會向您發出非到期的 Cookie 之外,也可能使 SharePoint 查看並將其轉換成到期的 Cookie,其原因仍舊不明。這就是造成以上 DOS 循環的主要原因。現在回想一下,在過去遇到此情況的人不多,我想造成這種問題的罪魁禍首可能就是因為缺乏嚴謹的工作階段。

簡而言之,縱使繼續討論這項問題,也不會得到任何結論,如果您打算使用 SharePoint 2010 宣告驗證的話,請務必使用負載平衡器的相關性

這是翻譯後的部落格文章。英文原文請參閱 Make Sure You Know This About SharePoint 2010 Claims Authentication - Sticky Sessions Are REQUIRED