Поделиться через


Обзор проверки подлинности для SharePoint Server

ОБЛАСТЬ ПРИМЕНЕНИЯ:yes-img-132013 yes-img-162016 yes-img-192019 yes-img-seSubscription Edition no-img-sopSharePoint в Microsoft 365

SharePoint Server требует проверки подлинности для следующих типов взаимодействия:

  • доступ пользователей к локальным ресурсам SharePoint;

  • доступ приложений к локальным ресурсам SharePoint;

  • доступ локальных серверов к локальным ресурсам SharePoint или наоборот.

Сведения о проверке подлинности SharePoint в Microsoft 365.

Примечание.

В SharePoint Server Subscription Edition теперь поддерживается проверка подлинности OIDC 1.0. Дополнительные сведения о том, как работать с этим новым типом проверки подлинности, см. в статье Проверка подлинности OpenID Connect 1.0.

Проверка подлинности пользователей в SharePoint Server

Проверка подлинности пользователя — это проверка удостоверения пользователя у поставщика проверки подлинности, который представляет собой каталог или базу данных с учетными данными пользователей и может подтвердить, что пользователь указал их верно. Проверка подлинности пользователя происходит, когда тот пытается получить доступ к ресурсу SharePoint.

SharePoint Server поддерживает проверку подлинности на основе утверждений.

Результатом аутентификации на основе утверждений является маркер безопасности на основе утверждений, который создает служба токенов безопасности SharePoint.

SharePoint Server поддерживает проверку подлинности на основе windows, форм, языка разметки утверждений безопасности (SAML) и проверки подлинности на основе утверждений Open ID Connect (OIDC). Сведения о том, как работают методы проверки подлинности на основе Windows, форм и SAML, см. в следующих видео. Сведения о том, как работает проверка подлинности OIDC, см. в руководстве по настройке OIDC.

Примечание.

Эта информация в видео относится к SharePoint Server 2013, SharePoint Server 2016, SharePoint Server 2019 и SharePoint Server Subscription Edition.

Видео, посвященное проверке подлинности на основе утверждений в SharePoint Server 2013 и 2016

Видео, посвященное проверке подлинности на основе форм в SharePoint Server 2013 и 2016

Видео, посвященное проверке подлинности на основе утверждений SAML в SharePoint Server 2013 и 2016

Дополнительные сведения см. в статье Планирование методов проверки подлинности пользователя в SharePoint Server.

Проверка подлинности приложений в SharePoint Server

Проверка подлинности приложения — это проверка удостоверения удаленного приложения SharePoint и назначение разрешений для приложения и связанного пользователя, отправившего запрос к защищенному ресурсу SharePoint. Проверка подлинности приложения происходит, когда внешний компонент приложения Магазина Магазин SharePoint или каталога Каталог приложений, например веб-сервер, расположенный в интрасети или в Интернете, пытается получить доступ к защищенному ресурсу SharePoint.

Например, допустим, пользователь открывает страницу SharePoint, содержащую элемент IFRAME приложения SharePoint, а для IFRAME требуется внешний компонент, например сервер в интрасети или в Интернете, для доступа к защищенному ресурсу SharePoint для отображения страницы. Внешний компонент приложения SharePoint должен пройти проверку подлинности и быть авторизован, чтобы система SharePoint предоставила запрошенные данные, а приложение могло отобразить страницу для пользователя.

Если приложению SharePoint не требуется защищенный ресурс SharePoint для отрисовки страницы для пользователя, проверка подлинности приложения не требуется. Например, приложению SharePoint, которое предоставляет сведения о прогнозе погоды и имеет доступ только к серверу сведений о погоде в Интернете, не требуется использовать проверку подлинности приложения.

Проверка подлинности приложений состоит из двух процессов:

  • Проверка подлинности

    Проверка того, что приложение правильно зарегистрировано у доверенного посредника

  • Авторизация

    Проверка того, что приложение и связанный пользователь для запроса имеют соответствующие разрешения на выполнение операции, например на доступ к папке или списку или на выполнение запроса.

Для проверки подлинности приложение получает маркер доступа от службы контроля доступа Microsoft Azure или самостоятельно подписывает маркер доступа, используя сертификат, которому доверяет SharePoint Server. Маркер доступа подтверждает запрос на доступ к определенному ресурсу SharePoint и содержит сведения, определяющие приложение и связанного пользователя, поэтому учетные данные пользователя не проверяются. Маркер доступа не является маркером входа.

Ниже приведен пример процесса проверки подлинности для приложений Магазина SharePoint.

  1. Пользователь открывает веб-страницу SharePoint, содержащую элемент IFRAME, который должен отображаться приложением Магазина Магазин SharePoint, размещенным в Интернете и использующим в качестве доверенного посредника службу ACS. Чтобы отобразить IFRAME для пользователя, приложение Магазина Магазин SharePoint должно получить доступ к ресурсу SharePoint.

  2. Служба маркеров безопасности SharePoint запрашивает и получает маркеры контекста от службы ACS.

  3. SharePoint отправляет запрошенную веб-страницу вместе с маркером контекста в веб-браузер пользователя.

  4. Веб-браузер пользователя отправляет запрос на содержимое IFRAME и маркер контекста серверу приложений Магазина Магазин SharePoint в Интернете.

  5. Сервер приложений Магазина Магазин SharePoint запрашивает и получает маркер доступа от службы ACS.

  6. Сервер приложений каталога Магазин SharePoint отправляет запрос на ресурс SharePoint и маркер доступа серверу SharePoint.

  7. Сервер SharePoint авторизует доступ, проверяя разрешения приложения, указанные при установке приложения, и связанные разрешения приложения.

  8. Если это разрешено, SharePoint отправляет запрошенные данные серверу приложений Магазина Магазин SharePoint в Интернете.

  9. Сервер приложений Магазина Магазин SharePoint в Интернете отправляет результаты IFRAME веб-браузеру, который отображает фрагмент страницы в компоненте IFRAME для пользователя.

Обратите внимание, что приложение Магазина SharePoint получило доступ к ресурсам сервера SharePoint без получения учетных данных пользователя. Проверка подлинности была проведена через службу ACS, которой доверяет сервер с SharePoint Server, а авторизация прошла благодаря набору разрешений для приложений и пользователей.

Ниже приведен пример процесса проверки подлинности для каталога приложений SharePoint.

  1. Пользователь открывает веб-страницу SharePoint, содержащую элемент IFRAME, который должен отображаться приложением каталога Каталог приложений, размещенным в интрасети и использующим в качестве маркеров доступа самозаверяющий сертификат. Чтобы отобразить IFRAME для пользователя, приложение каталога Каталог приложений должно получить доступ к ресурсу SharePoint.

  2. SharePoint отправляет запрошенную страницу вместе с элементом IFRAME в веб-браузер пользователя.

  3. Веб-браузер пользователя отправляет запрос на содержимое IFRAME серверу приложений каталога Каталог приложений в Интернете.

  4. Сервер приложений каталога Каталог приложений выполняет проверку подлинности пользователя и создает маркер доступа, подписанный его самозаверяющим сертификатом.

  5. Сервер приложений каталога Каталог приложений отправляет запрос на ресурс SharePoint и маркер доступа серверу SharePoint.

  6. Сервер SharePoint авторизует доступ, проверяя разрешения приложения, указанные при установке приложения, и связанные разрешения приложения.

  7. Если это разрешено, сервер SharePoint отправляет запрошенные данные серверу приложений каталога Каталог приложений в интрасети.

  8. Сервер приложений каталога Каталог приложений отправляет результаты IFRAME веб-браузеру, который отображает фрагмент страницы в компоненте IFRAME для пользователя.

Примечание.

Приложения каталога Каталог приложений могут использовать сертификат службы ACS или самозаверяющий сертификат для своих маркеров доступа.

Дополнительные сведения см. в статье Plan for app authentication in SharePoint Server.

Межсерверная проверка подлинности в SharePoint Server

Проверка подлинности между серверами — это проверка запроса сервера на ресурсы, основанного на отношениях доверия, установленных между stS сервера, на котором выполняется SharePoint Server, и службой stS другого сервера, который поддерживает протокол сервера-сервер OAuth, например локальный сервер SharePoint Server, Exchange Server 2016, Skype для бизнеса 2016 или служба рабочих процессов Azure. и SharePoint Server, работающий в Microsoft 365. На основании этого отношения доверия запрашивающий сервер может получить доступ к защищенным ресурсам на сервере SharePoint от имени указанной учетной записи пользователя в соответствии с разрешениями сервера и пользователя.

Например, сервер с Exchange Server 2016 может запросить ресурсы на сервере, на котором работает SharePoint Server, для определенной учетной записи пользователя. Эта подготовка отличается от проверки подлинности приложения, в которой приложение не имеет доступа к учетным данным учетной записи пользователя. В зависимости от того, каковы служба и запрос, пользователь может при этом войти на сервер, выполняющий запрос ресурса, а может и не входить.

Когда сервер с SharePoint Server пытается получить доступ к ресурсу на другом сервере или другой сервер пытается получить доступ к ресурсу на сервере с SharePoint Server, входящий запрос на доступ должен пройти проверку подлинности, чтобы сервер принял этот запрос и последующие данные. Проверка подлинности между серверами проверяет, что сервер, на котором запущен SharePoint Server, и пользователь, которого он представляет, являются доверенными.

Маркер, используемый для проверки подлинности между серверами, является маркером между серверами, а не маркером входа. Этот межсерверный маркер содержит данные о сервере, запрашивающем доступ, и учетной записи пользователя, от имени которого действует сервер.

Ниже приводится пример основного процесса для локальных серверов.

  1. Пользователь открывает веб-страницу SharePoint, которой нужны сведения от другого сервера (например, для отображения списка задач из SharePoint Server и Exchange Server 2016).

  2. SharePoint Server создает межсерверный маркер.

  3. SharePoint Server отправляет межсерверный маркер другому серверу.

  4. Другой сервер проверяет межсерверный маркер SharePoint.

  5. Другой сервер отправляет сообщение SharePoint Server, подтверждая, что отправленный межсерверный маркер действителен.

  6. Служба на сервере с SharePoint Server получает доступ к данным на другом сервере.

  7. Служба на сервере, на котором работает SharePoint Server, отрисовывает страницу для пользователя.

Когда оба сервера работают в Microsoft 365, происходит описанный ниже процесс.

  1. Пользователь открывает веб-страницу SharePoint, которой нужны сведения от другого сервера (например, для отображения списка задач из SharePoint и Exchange Online).

  2. SharePoint запрашивает и получает межсерверный маркер от службы ACS.

  3. SharePoint отправляет межсерверный маркер серверу Microsoft 365.

  4. Сервер Microsoft 365 проверяет удостоверение в межсерверном маркере с помощью службы ACS.

  5. Сервер Microsoft 365 отправляет сообщение в SharePoint, подтверждая, что отправленный межсерверный маркер действителен.

  6. Служба в SharePoint получает доступ к данным на сервере Microsoft 365.

  7. Служба в SharePoint отображает страницу для пользователя.

Дополнительные сведения см. в статье Планирование проверки подлинности между серверами в SharePoint Server.