Доступные режимы проверки подлинности
Дата последнего изменения: 16 апреля 2010 г.
Применимо к: SharePoint Server 2010
В этой статье
Проверка подлинности Pass-Through
Проверка подлинности RevertToSelf
Проверка подлинности WindowsCredentials
Проверка подлинности Credentials
Проверка подлинности DigestCredentials
Важно
Следующие режимы проверки подлинности доступны при использовании Microsoft Business Connectivity Services (BCS) для подключения к веб-службе или к службе WCF.
Проверка подлинности Pass-Through
Под проверкой подлинности Pass-Through подразумевается способность операционной системы передавать сведения о проверке подлинности клиента во внешнюю систему. Службы BCS поддерживают проверку подлинности Pass-Through для подключений к базам данных и к веб-службам/службам WCF. При использовании проверки подлинности Pass-Through пользователь проверяется как удостоверение конечного пользователя.
При обращении к BDC из веб-страницы выполнение происходит в рабочем процессе служб Microsoft IIS, w3wp.exe. Удостоверением этого процесса является учетная запись пула приложений IIS, олицетворяющая вошедшего в систему пользователя. Чтобы избежать потери удостоверения вошедшего в систему пользователя при проверке подлинности BDC на внутреннем сервере, необходимо включить делегирование Kerberos между сервером, выполняющим службы IIS, и другим компьютером. Делегирование Kerberos позволяет принимающему серверу отправлять запрос проверки подлинности в правильное расположение.
При использовании BDC для обхода выполнение происходит в процессе демона фильтра, mssdmn.exe. Чтобы обратиться к источнику контента на внутреннем сервере, потоки в процессе демона фильтра олицетворяют учетную запись для доступа к контенту, связанную с этим источником контента на внутреннем сервере.
Одним из недостатков использования проверки подлинности Pass-Through является то, что операционная система предоставляет только имя пользователя и пароль. Поэтому, если компания использует проверку подлинности на основании двух факторов (если, кроме имени пользователя и пароля, пользователям требуются некоторые особые — личные — данные), использовать проверку подлинности Pass-Through невозможно.
Простота использования делает проверку подлинности Pass-Through хорошим вариантом для применения в тестовой среде. Ее также можно использовать, если веб-служба или целевой сервер использует анонимную проверку подлинности или подключения SSL.
Проверка подлинности RevertToSelf
Если пользователь входит в систему с помощью проверки подлинности Windows, службы IIS олицетворяют эту конкретную учетную запись. Хотя службы IIS выполняются под удостоверением пула приложений, они олицетворяют вошедшего в систему пользователя, и запрос выполняется под олицетворением пользователя, перед тем как он перенаправляется дальше.
Проверка подлинности RevertToSelf позволяет обратить это олицетворение и провести проверку подлинности через базовую учетную запись, которая настроена для пула приложений IIS.
.gif "Предупреждающая заметка") Внимание! |
|---|
Если пользовательский код использует для проверки подлинности RevertToSelf, он может предоставлять пользователям права уровня системы на внутренних серверах, предоставляя права удостоверению пула приложений. Необходимо тщательно протестировать пользовательский код перед его выполнением в рабочей системе. |
Проверка подлинности WindowsCredentials
В Microsoft SharePoint Server 2010 выполняется проверка подлинности с помощью учетных данных Windows из предоставленного поставщика безопасного хранения. Используйте этот режим, если веб-служба или служба WCF использует проверку подлинности Windows. Перед использованием этого режима необходимо настроить Secure Store. При использовании учетных данных Windows BDC пытается разбить возвращенное из Secure Store поле имени пользователя на части домен\пользователь, а затем использует для проверки подлинности триаду домен, имя пользователя, пароль.
Проверка подлинности Credentials
В Microsoft SharePoint Server 2010 проверка подлинности систем веб-службы/службы WCF выполняется с помощью учетных данных, отличных от учетных данных проверки подлинности Windows из предоставленного поставщика безопасного хранения. Эти учетные данные используются для обычной проверки подлинности или дайджест-проверки, в зависимости от настройки сервера веб-служб. Так как обычная или дайджест-проверка подлинности не защищает учетные данные должным образом, следует использовать протоколы SSL или IPSec (либо оба), чтобы обеспечить безопасность связи между сервером веб-служб и сервером, на котором выполняется BDC.
Используйте этот режим, если веб-служба или служба WCF использует учетные данные, отличные от учетных данных Windows. Перед использованием этого режима необходимо настроить Secure Store. При использовании учетных данных BDC не пытается разбить возвращенное из Secure Store поле имени пользователя на части домен\пользователь, как в режиме WindowsCredentials, а использует для проверки подлинности непосредственно имя пользователя и пароль.
Проверка подлинности DigestCredentials
В Microsoft SharePoint Server 2010 можно выполнить проверку подлинности систем службы WCF с помощью учетных данных дайджест-проверки по протоколу HTTP. Дополнительные сведения см. в статье Свойство ClientCredentials.HttpDigest.
Важно
Если получено сообщение об ошибке импорта определения приложения, которое констатирует, что BDC не удалось подключиться к WSDL, имейте в виду, что WSDL может не быть общедоступным. В таком случае необходимо настроить проверку подлинности с помощью одного из режимов, рассмотренных в этом разделе, либо вручную скопировать WSDL в локальную систему и указать WSDLFetchURL на URL-адрес файла.