Авторизация и проверка подлинности
Дата последнего изменения: 20 апреля 2010 г.
Применимо к: SharePoint Foundation 2010
Microsoft SharePoint Foundation поддерживает безопасность доступа пользователей на уровне веб-сайта, списка, папки списка или библиотеки и элемента. Управление безопасностью осуществляется на основе ролей на всех уровнях, обеспечивая согласованное управление безопасностью в масштабе всей платформы SharePoint Foundation с помощью единообразного пользовательского интерфейса на основе ролей и объектной модели для назначения разрешений в объектах. В результате в системе безопасности на уровне списка, папки или элемента реализована та же пользовательская модель, что и в системе безопасности на уровне веб-сайта, упрощая управление правами пользователей и групп в масштабе веб-сайта. SharePoint Foundation также поддерживает уникальные разрешения для папок и элементов, находящихся внутри списков и библиотек документов.
Авторизацией называется процесс, посредством которого SharePoint Foundation обеспечивает безопасность веб-сайтов, списков, папок или элементов с помощью определения того, какие пользователи могут выполнять отдельные действия над данным объектом. Процесс авторизации предполагает, что пользователь уже прошел проверку подлинности, которая является процессом, посредством которого SharePoint Foundation идентифицирует текущего пользователя. В SharePoint Foundation не реализована собственная система проверки подлинности или управления удостоверениями, но используются внешние системы проверки подлинности (Microsoft Windows или другие).
SharePoint Foundation поддерживает следующие типы проверки подлинности:
Windows: все службы IIS и параметры интеграции проверки подлинности Windows, включая обычную проверку подлинности, дайджест-проверку подлинности подпись, сертификаты, NTLM и Kerberos. Проверка подлинности Windows позволяет службам IIS выполнять проверку подлинности для SharePoint Foundation.
Сведения о входе в SharePoint в режиме утверждений Windows см. в разделе Входящие утверждения. Вход в SharePoint.
.gif "Важное примечание")
Важно!Сведения о приостановке олицетворения см. в разделе Устранение задержки олицетворения вызывающего пользователя.
Формы ASP.NET: система управления удостоверениями, не относящаяся к Windows, в которой используется подключаемая система проверки подлинности на основе форм Microsoft ASP.NET. Этот режим позволяет SharePoint Foundation работать с разными системами управления удостоверениями, включая внешне определенные группы или роли, такие как протокол LDAP и упрощенные системы управления удостоверениями базы данных. Проверка подлинности на основе форм позволяет платформе ASP.NET выполнять проверку подлинности для SharePoint Foundation, часто включая перенаправление на страницу входа. В SharePoint Foundation формы ASP.NET поддерживаются только в режиме проверки подлинности на основе утверждений. Поставщик форм должен быть зарегистрирован в веб-приложении, в котором настроена работа с утверждениями. Сведения о входе в SharePoint с помощью членства в ASP.NET и пассивного входа на основе ролей см. в разделе Входящие утверждения. Вход в SharePoint.
.gif "Примечание") Примечание |
|---|
SharePoint Foundation не поддерживает работу с чувствительным к регистру поставщиком членства и использует не чувствительное к регистру хранилище SQL для всех пользователей в базе данных, независимо от поставщика участия. |
Удостоверения и проверка подлинности на основе утверждений
Удостоверение на основе утверждений представляет собой модель удостоверений в SharePoint Foundation и Microsoft SharePoint Server 2010, поддерживающую такие возможности как проверка подлинности пользователей систем на базе Windows и других ОС, несколько типов проверки подлинности, надежная проверка подлинности в режиме реального времени, широкий спектр типов участников и делегирование удостоверений пользователей между приложениями.
Когда пользователь выполняет вход в SharePoint Foundation и SharePoint Server 2010, его маркер проверяется и затем используется для входа в SharePoint. Маркер пользователя — это маркер безопасности, выданный поставщиком утверждений. В SharePoint Foundation и SharePoint Server 2010 поддерживается пять режимов входа и доступа:
Классический режим входа Windows
Режим входа Windows на основе утверждений
Пассивный режим входа SAML
Членство в ASP.NET и пассивный вход на основе ролей
Анонимный доступ
| Примечание |
|---|
Дополнительные сведения о входе в SharePoint и разных режимах входа см. в разделе Входящие утверждения. Вход в SharePoint. |
В приложениях с поддержкой утверждений пользователь предоставляет удостоверение в виде набора утверждений. Одно утверждение может быть именем пользователя, другое — адресом электронной почты. Идея заключается в том, что внешняя система управления удостоверениями передает приложению все необходимые ему данные о пользователе вместе с каждым запросом наряду с криптографическим подтверждением того, что данные удостоверения, полученные приложением, поступают из надежного источника.
В такой модели гораздо проще реализовать единый вход и в приложении больше не нужно обеспечивать следующие функции:
Проверка подлинности пользователей
Хранение учетных записей и паролей пользователей
Обращение к каталогам предприятия с целью поиска сведений об удостоверении пользователя
Интеграция с системами управления удостоверениями на других платформах и в других предприятиях
В этой модели приложением принимаются решения, связанные с удостоверениями, на основании утверждений, предоставленных пользователем. Такие решения могут варьироваться от простого использования имени пользователя в приложении, до разрешения пользователю обращаться к важным функциям и ресурсам приложения.
| Примечание |
|---|
Дополнительные сведения об удостоверениях на основе утверждений и поставщиках утверждений см. в разделах Обзор и основные понятия модели идентификации на основе утверждений и Поставщик утверждений. |
Проверка подлинности на основе форм
Проверка подлинности на основе форм предоставляет пользовательское управление удостоверениями в SharePoint Foundation путем реализации поставщика членства, определяющего интерфейсы для идентификации и проверки подлинности отдельных пользователей, а также диспетчера ролей, определяющего интерфейсы для группирования отдельных пользователей в логические группы или роли. В SharePoint Foundation поставщик членства должен реализовывать обязательный метод System.Web.Security.Membership.ValidateUser. По имени пользователя система поставщика ролей возвращает список ролей, которым принадлежит пользователь.
Поставщик членства выполняет проверку учетных данных с помощью метода System.Web.Security.Membership.ValidateUser (является обязательной в SharePoint Foundation). Однако фактический маркер пользователя создается службой маркеров безопасности. Она создает пользовательский маркер на основе имени пользователя, подтвержденного поставщиком членства, и сведений о членстве в группах, связанных с именем пользователя, которые предоставляются поставщиком членства.
| Примечание |
|---|
Дополнительные сведения о службе маркеров безопасности см. в разделе Обзор и основные понятия модели идентификации на основе утверждений. |
Диспетчер ролей необязателен. Так, если пользовательская система проверки подлинности не поддерживает группы (например, Windows Live ID), то диспетчер ролей не требуется. SharePoint Foundation поддерживает один поставщик членства и один диспетчер ролей для каждой зоны URL-адресов (SPUrlZone). Роли форм ASP.NET не наследуют связанные с ними права. Вместо этого SharePoint Foundation назначает права ролям форм через политики и авторизацию. В SharePoint Foundation проверка подлинности на основе форм интегрирована с моделью удостоверений на основе утверждений. Если требуется обойти ограничение на одного поставщика ролей для одной зоны URL-адресов, можно воспользоваться поставщиками утверждений.
| Примечание |
|---|
Дополнительные сведения об удостоверениях на основе утверждений и поставщиках утверждений см. в разделах Обзор и основные понятия модели идентификации на основе утверждений и Поставщик утверждений. |
При членстве в ASP.NET и пассивном входе на основе ролей вход выполняется путем перенаправления клиента на веб-страницу, на которой размещены элементы управления входа ASP.NET. После создания объекта удостоверения, представляющего удостоверение пользователя, SharePoint Foundation 2010 преобразует его в объект ClaimsIdentity (который является представлением пользователя на основе утверждений).
| Примечание |
|---|
Дополнительные сведения о входе в SharePoint см. в разделе Входящие утверждения. Вход в SharePoint. |
SharePoint Foundation использует стандартный интерфейс управляющего ролями ASP.NET 2.0 для сбора сведений о текущем пользователе. Для целей проверки подлинности не существует разницы между ролями и группами: это способ группирования пользователей в логические наборы для авторизации. Каждая роль ASP.NET обрабатывается службами SharePoint Foundation как доменная группа.
Сведения о модульной платформе проверки подлинности,в ASP.NET, см. в разделе New Security Features in ASP.NET 2.0.
| Примечание |
|---|
Дополнительные сведения о проверке подлинности на основе форм см. в разделе Forms Authentication in SharePoint Products and Technologies (Part 1): Introduction. |