Udostępnij za pośrednictwem

Team Foundation Server, uwierzytelniania i dostępu

  • Artykuł

Można skonfigurować rozmieszczania, zabezpieczania połączeń między użytkowników i wdrażania Visual Studio Team Foundation Server.Team Foundation Server(TFS) może obsługiwać uwierzytelnianie podstawowe, uwierzytelnianie szyfrowane i certyfikaty.W związku z tym można skonfigurować rozmieszczenia TFS używać Hypertext Transfer Protocol Secure (HTTPS) z Secure Sockets Layer (SSL) i Basic lub szyfrowanego uwierzytelniania.Jeżeli przyjmie się tej strategii, użytkowników można bezpieczniej łączyć rozmieszczenia bez konieczności korzystania z połączeń wirtualnej sieci prywatnej (VPN).

Konfiguracje

Wspieranie bardziej bezpiecznych połączeń zewnętrznych do wdrażania Team Foundation Server, należy skonfigurować Internet Information Services (IIS), aby włączyć uwierzytelnianie podstawowe lub uwierzytelnianie szyfrowane.Należy także skonfigurować dowolne połączenia zewnętrznego wymagają certyfikatów.

Aa833874.collapse_all(pl-pl,VS.110).gifUwierzytelnianie podstawowe i uwierzytelnianie szyfrowane

Uwierzytelnianie podstawowe jest częścią specyfikacji protokołu HTTP 1.0 i używa konta użytkowników systemu Windows.Podczas uwierzytelniania podstawowego przeglądarka monituje użytkownika o nazwę użytkownika i hasło, a następnie przesyła informacje przez HTTP w formacie Base64.Domyślnie uwierzytelniania podstawowego wymaga konta użytkownika systemu Windows, aby mieć prawa do logowania lokalnego na serwerze sieci web.Uwierzytelnianie podstawowe można użyć w przypadku wdrożeń domeny i grupy roboczej.Większość serwerów sieci web, serwerów proxy i przeglądarek sieci web obsługuje uwierzytelnianie podstawowe, ale nie jest bezpieczne.Ponieważ dane zakodowane w formacie Base64 jest łatwy do dekodowania, uwierzytelnianie podstawowe jest zasadniczo wysyłania hasła w postaci zwykłego tekstu.Monitorując komunikację w sieci, złośliwy użytkownik może łatwo przechwycić i rozszyfrować te hasła przy użyciu powszechnie dostępnych narzędzi.Aby zwiększyć bezpieczeństwo, należy rozważyć przy użyciu protokołu HTTPS za pomocą protokołu SSL.

Uwierzytelnianie szyfrowane jest mechanizm wyzwania i odpowiedzi, który wysyła wyciąg (zwane również wartość mieszania) zamiast hasła przez sieć.Podczas uwierzytelniania szyfrowanego usług IIS wysyła wyzwanie do klienta, aby utworzyć skrót, a następnie wysłać ten skrót do serwera.W odpowiedzi na wezwanie klient wysyła szyfrowane, który jest oparty na haśle użytkownika wraz z danymi, o której wiadomo, że zarówno klient, jak i serwer.Serwer używa tego samego procesu co klient do tworzenia własnych digest informacje użytkownika z usługi Active Directory.Usługi IIS uwierzytelniają klienta tylko wtedy, gdy jest to skrót, który serwer tworzy pasuje do szyfrowanego, tworzonego przez klienta.Tylko w przypadku wdrożeń usługi Active Directory, można użyć uwierzytelniania szyfrowanego.Przez siebie uwierzytelnianie szyfrowane jest tylko niewielką poprawę uwierzytelnianie podstawowe.Złośliwy użytkownik może rejestrować komunikację między klientem a serwerem a następnie wykorzystać te informacje do powtarzania transakcji.Uwierzytelnianie szyfrowane ma również zależności na protokołu HTTP 1.1, nie wszystkie przeglądarki obsługują.Ponadto, próbuje uzyskać dostęp do Team Foundation Server zakończy się niepowodzeniem, jeśli nie poprawnie skonfigurować uwierzytelnianie szyfrowane.Nie wybieraj uwierzytelniania szyfrowanego, chyba, że wdrażanie spełnia wszystkie wymagania dla tego trybu.Aby uzyskać więcej informacji, zobacz następujące strony w witrynie sieci Web firmy Microsoft (Konfigurowanie uwierzytelniania szyfrowanego (usług IIS 7.0)).

Aa833874.collapse_all(pl-pl,VS.110).gifProtokoły uwierzytelniania

Domyślnie Team Foundation Server używa protokołu uwierzytelniania typu wyzwanie/odpowiedź systemu Windows (NTLM).Poświadczenia NTLM są oparte na danych uzyskanych w trakcie procesu logowania interakcyjnego i obejmują jednokierunkowa wartość mieszania hasła.

Team Foundation Serverobsługuje również Microsoft Negocjuj protokół uwierzytelniania.W protokole Negocjuj protokół Kerberos jest zaznaczone, chyba, że nie może być używane przez jeden z systemów zaangażowanych w proces uwierzytelniania.Te systemy nie są skonfigurowane dla protokołu Kerberos używane jest uwierzytelnianie NTLM.Negocjowania jest bezpieczniejsza dla większości wdrożeń, ale może wymagać dodatkowe zadania konfiguracyjne.

Aa833874.collapse_all(pl-pl,VS.110).gifOgraniczenia

W uzupełnieniu do wymagań domeny i grupy roboczej, które zostały wymienione wcześniej w tym temacie zarówno podstawowe, jak i szyfrowanego uwierzytelniania są niewystarczające same zabezpieczenia sieci zewnętrznych klientów.Dlatego nie należy konfigurować Team Foundation Server do obsługi klientów zewnętrznych, chyba że również skonfigurować połączenia te wymagają HTTPS za pomocą protokołu SSL.

Zobacz też

Koncepcje

Team Foundation Architektura serwera

Inne zasoby

Securing Team Foundation Server with HTTPS and Secure Sockets Layer (SSL)