Новые возможности. Усовершенствования функций безопасности

Статья
04/21/2015

Дата последнего изменения: 14 апреля 2010 г.

Применимо к: SharePoint Foundation 2010

В этой статье
Удостоверения и проверка подлинности на основе утверждений
Автоматическое изменение паролей и управляемые учетные записи
API действующих разрешений
Служба безопасного хранения

Microsoft SharePoint Foundation и Microsoft SharePoint Server 2010 продолжают создавать новые и совершенствовать существующие функции безопасности в Windows SharePoint Services 3.0 и Microsoft Office SharePoint Server 2007. В этом разделе представлен краткий обзор новых и усовершенствованных функций безопасности в SharePoint Foundation и SharePoint Server 2010.

Удостоверения и проверка подлинности на основе утверждений

Удостоверение, основанное на утверждениях — это модель удостоверения в SharePoint Foundation и SharePoint Server 2010, которая содержит такие функции, как проверка подлинности пользователей во всех системах, как на базе Windows, так и не на базе Windows, множество типов проверки подлинности, надежная проверка подлинности в режиме реального времени, широкий набор типов участников безопасности и делегирование удостоверения пользователя между приложениями.

Когда пользователь выполняет вход в SharePoint Foundation и SharePoint Server 2010, его маркер проверяется и затем используется для входа в SharePoint. Маркер пользователя — это маркер безопасности, выданный поставщиком утверждений. В SharePoint Foundation и SharePoint Server 2010 поддерживается пять режимов входа и доступа:

Классический режим входа Windows
Режим входа Windows на основе утверждений
Пассивный режим входа SAML
Членство в ASP.NET и пассивный вход на основе ролей
Анонимный доступ

Примечание
Пассивный режим входа SAML описывает процедуру входа. Если в веб-приложении вход настроен для принятия маркеров от доверенного поставщика входа в систему, этот тип входа называется пассивным режимом входа SAML. Доверенный поставщик входа в систему является внешней (по отношению к SharePoint) службой маркеров безопасности, которой SharePoint доверяет. Дополнительные сведения о входе в SharePoint и различных режимах входа см. в статье Входящие утверждения. Вход в SharePoint.

Пассивный режим входа SAML описывает процедуру входа. Если в веб-приложении вход настроен для принятия маркеров от доверенного поставщика входа в систему, этот тип входа называется пассивным режимом входа SAML. Доверенный поставщик входа в систему является внешней (по отношению к SharePoint) службой маркеров безопасности, которой SharePoint доверяет. Дополнительные сведения о входе в SharePoint и различных режимах входа см. в статье Входящие утверждения. Вход в SharePoint.

В приложениях с поддержкой утверждений пользователь предоставляет удостоверение в виде набора утверждений. Одно утверждение может быть именем пользователя, другое — адресом электронной почты. Идея заключается в том, что внешняя система управления удостоверениями передает приложению все необходимые ему данные о пользователе вместе с каждым запросом наряду с криптографическим подтверждением того, что данные удостоверения, полученные приложением, поступают из надежного источника.

В такой модели гораздо проще реализовать единый вход и в приложении больше не нужно обеспечивать следующие функции:

Проверка подлинности пользователей
Хранение учетных записей и паролей пользователей
Обращение к каталогам предприятия с целью поиска сведений об удостоверении пользователя
Интеграция с системами управления удостоверениями на других платформах и в других предприятиях

В этой модели приложением принимаются решения, связанные с удостоверениями, на основании утверждений, предоставленных пользователем. Такие решения могут варьироваться от простого использования имени пользователя в приложении, до разрешения пользователю обращаться к важным функциям и ресурсам приложения.

Дополнительные сведения об удостоверениях на основе утверждений и поставщиках утверждений см. в статьях Обзор и основные понятия модели идентификации на основе утверждений и Поставщик утверждений.

Маркер пользователя членства в ASP.NET, преобразованный в маркер безопасности на основе утверждений

В SharePoint Foundation поставщик членства ASP.NET должен реализовать обязательный метод System.Web.Security.Membership.ValidateUser. Система поставщика ролей принимает имя пользователя и возвращает список ролей, к которым принадлежит пользователь. Поставщик членства отвечает за проверку учетных данных с помощью метода System.Web.Security.Membership.ValidateUser (обязательный в SharePoint Foundation).

Однако используемый маркер пользователя создается службой маркеров безопасности (STS) SharePoint Foundation. Служба маркеров безопасности SharePoint Foundation создает утверждения из имени пользователя, проверенного поставщиком членства, и из набора сведений о членстве в группах, связанного с именем пользователя, указанным поставщиком членства.

Примечание
Дополнительные сведения о службе маркеров безопасности см. в статье Обзор и основные понятия модели идентификации на основе утверждений. Дополнительные сведения о входе в SharePoint см. в статье Входящие утверждения. Вход в SharePoint.

Дополнительные сведения о службе маркеров безопасности см. в статье Обзор и основные понятия модели идентификации на основе утверждений. Дополнительные сведения о входе в SharePoint см. в статье Входящие утверждения. Вход в SharePoint.

Автоматическое изменение паролей и управляемые учетные записи

Новая функция автоматического изменения паролей в SharePoint Foundation позволяет обновлять и развертывать пароли без необходимости вручную выполнять эти задачи для нескольких учетных записей, служб и веб-приложений. Эта функция облегчает управление паролями в SharePoint Foundation существенно упрощается. Настройки возможности автоматического изменения паролей позволяют определить срок действия пароля и сбросить его с использованием надежно зашифрованной строки с большим числом случайных знаков, если срок действия истек.

Чтобы реализовать возможность автоматического изменения паролей, необходимо настроить управляемые учетные записи. Управляемые учетные записи в SharePoint Foundation повышают безопасность и обеспечивают изоляцию приложений.

Дополнительные сведения об API управляемых учетных записей см. в следующих разделах:

API действующих разрешений

В Windows SharePoint Services 3.0 довольно трудно получить действующие разрешения пользователя для защищаемых объектов, таких как SPWeb, SPList, SPListItem и т. д. Со временем сайт может иметь очень сложные параметры разрешений, особенно если несколько объектов не наследуют разрешения от родительских объектов (уникальная область). Администратору трудно определить действующее разрешение для конкретного пользователя и способ получения пользователем разрешения для конкретного объекта. В SharePoint Foundation добавлена новая команда ленты Проверить разрешения и API набора действующих разрешений, которые позволяют быстро перечислить все назначения ролей для конкретного пользователя в конкретной области.

Класс SPSecurableObject предоставляет новый метод GetUserEffectivePermissionsInfo(). Этот метод извлекает объект, содержащий подробные сведения о действующих разрешениях указанного пользователя в текущей области и назначениях ролей, относящихся к этому пользователю в данной области. Этот метод не содержит сведения о политике безопасности веб-приложения в маске разрешений, если указанный пользователь принадлежит политике, которая помечена как "Учетная запись действует как система". Этот метод доступен пользователям, которым назначено разрешение EnumeratePermissions. Дополнительные сведения о разрешении EnumeratePermissions см. в описании перечисления SPBasePermissions.

Класс SPSecurableObject также предоставляет новый метод GetUserEffectivePermissions(). Для текущей области этот метод возвращает объект SPBasePermissions, который представляет маску действующих разрешений пользователя.

Класс SPWeb содержит метод GetWebsAndListsWithUniquePermissions() для администраторов семейства веб-сайтов, позволяющий извлекать семейства веб-сайтов и списки, которые имеют уникальные разрешения или элементы с уникальными разрешениями.

Поведение API выглядит следующим образом: для начального URL-адреса возвращает список URL-адресов контейнеров (например, SPWeb или SPList), в которых присутствует уникальная область безопасности (в которой нарушается наследование ролей), включая все контейнеры, не имеющие уникальных областей безопасности, но имеющие как минимум один дочерний элемент с уникальными областями безопасности.

Класс SPList содержит новый метод GetItemsWithUniquePermissions() для администраторов семейства веб-сайтов, позволяющий извлекать все элементы списка с уникальными разрешениями.

Дополнительные сведения об этих API см. в Microsoft.SharePoint.

Примечание
В этом разделе описаны только часть новых API. Новые API, относящиеся к безопасности, которые добавлены в SharePoint Foundation, не описаны.

Служба безопасного хранения

Secure Store заменяет функцию единого входа Microsoft Office SharePoint Server 2007. Secure Store — это служба, которая обеспечивает хранение и сопоставление учетных данных, например имен учетных записей и паролей. Эта служба позволяет безопасно хранить данные, предоставляющие учетные данные, которые требуются для подключения к внешним системам и для связи этих учетных данных с конкретным удостоверением или группой удостоверений. Как правило, решения пытаются проверить подлинность внешних систем, в которых текущий пользователь имеет другую учетную запись для проверки подлинности. В таких случаях Secure Store может использоваться для хранения и сопоставления учетных данных пользователей, которые требуются внешней системе . Можно настроить Secure Store таким образом, чтобы несколько пользователей получали доступ к внешней системе с помощью одного набора учетных данных во внешней системе.

Дополнительные сведения о Secure Store см. в статье Служба безопасного хранения.

См. также

Концепции

Приступая к работе с безопасностью и моделью идентификации на основе заявок

Поделиться через