Проверка подлинности службы подключения к бизнес-данным
Дата последнего изменения: 28 июля 2010 г.
Применимо к: SharePoint Server 2010
В этой статье
Режимы проверки подлинности
Шаблоны проверки подлинности для режимов проверки подлинности
Проверка подлинности уровня приложения
подключения к бизнес-данным (BDC) поддерживает две модели проверки подлинности:
Доверенная подсистема
Олицетворение и делегирование
В модели доверенной подсистемы средний уровень (обычно веб-сервер) осуществляет проверку подлинности на внутреннем сервере с использованием фиксированного удостоверения. Модель доверенной подсистемы обладает следующими достоинствами:
группа, владеющая и управляющая внутренним сервером, предоставляет доступ к одной учетной записи, которой управляет.
предоставляет пул подключений;
снижает затраты на лицензирование внутреннего сервера;
относительно несложна;
В модели олицетворения и делегирования клиент делегирует проверку подлинности среднему уровню, на котором выполняется олицетворение клиента и осуществляется проверка подлинности на внутреннем сервере от имени клиента. Эта модель используется по следующим причинам:
Для соблюдения требования внутреннего сервера к авторизации каждого пользователя
Для включения аудита на внутреннем сервере
Режимы проверки подлинности
Следующие режимы проверки подлинности доступны при использовании BDC для подключения к базе данных или веб-службе.
.gif "Примечание") Примечание |
|---|
Чтобы определить шаблон проверки подлинности для использования в каждом из режимов, см. раздел Шаблоны проверки подлинности для режимов проверки подлинности . |
Сквозная проверка подлинности (системы баз данных и веб-служб)
Сквозная проверка подлинности — это способность операционной системы передавать сведения о проверке подлинности клиента на внутренний сервер. BDC поддерживает сквозную проверку подлинности для подключений как к базам данных, так и к веб-службам. При использовании сквозной проверки подлинности проверяется удовлетворение пользователя, вошедшего в систему.
При доступе к BDC с веб-страницы на интерфейсном веб-сервере запускается рабочий процесс служб IIS, w3wp.exe. Удостоверением этого процесса является учетная запись пула приложений IIS, однако, поток, используемый для обслуживания запроса, олицетворяет пользователя, выполнившего вход в систему. Во избежание потери идентификации вошедшего в систему пользователя при выполнении BDC проверки подлинности на внутреннем сервере необходимо включить делегирование Kerberos между сервером IIS и другим компьютером. Делегирование Kerberos позволяет принимающему серверу отправить запрос проверки подлинности в правильное расположение.
При использовании BDC для обхода контента выполняется процесс демона фильтра, mssdmn.exe. Для доступа к внутреннему источнику контента потоки в процессе демона фильтра олицетворяются для внутреннего источника контента как учетная запись доступа к контенту.
Однако при использовании сквозной проверки подлинности операционная система представляет только имя пользователя и пароль. Таким образом, если компания использует двухфакторную проверку подлинности (то есть, помимо пароля и имени пользователя, пользователи должны иметь некоторые дополнительные личные сведения), сквозная проверка подлинности работать не будет.
Несмотря на эти ограничения, простота использования предоставляет ряд преимуществ при использовании сквозной проверки подлинности в среде тестирования или при использовании сервером назначения анонимной проверки подлинности.
Проверка подлинности RevertToSelf (системы базы данных и веб-служб)
Если пользователь выполняет вход с использованием проверки подлинности Windows, службы IIS олицетворяют данную конкретную учетную запись. Поэтому пока службы IIS выполняются с удостоверением пула приложений, они олицетворяют вошедшего в систему пользователя, и запрос выполняется под этим олицетворением пользователя до его передачи.
Проверка подлинности RevertToSelf позволяет обратить это олицетворение и провести проверку подлинности через базовую учетную запись, которая настроена для пула приложений IIS.
.gif "Предупреждающая заметка") Внимание! |
|---|
Если настраиваемый код использует для проверки подлинности метод RevertToSelf, он может предоставлять пользователям права уровня системы на внутренних серверах путем предоставления прав удостоверению пула приложений. В связи с этим не следует выполнять настраиваемый код в производственной системе без тщательного тестирования. |
WindowsCredentials (системы баз данных и веб-служб)
Microsoft SharePoint Server 2010 выполняет проверку подлинности с использованием учетных данных Windows, полученных из своего Secure Store по умолчанию.
RdbCredentials (только системы баз данных)
В режиме RdbCredentials SharePoint Server 2010 выполняет проверку подлинности с использованием учетных данных базы данных из своего Secure Store по умолчанию. SharePoint Server добавляет учетные данные базы данных к строке подключения и передает на сервер базы данных.
Credentials (только системы веб-служб)
SharePoint Server 2010 выполняет проверку подлинности систем веб-служб с использованием учетных данных, отличных от данных проверки подлинности Windows из Secure Store по умолчанию. Эти учетные данные используются для базовой или дайджест-проверки подлинности, в зависимости от конфигурации сервера веб-служб. Поскольку базовая и дайджест-проверка подлинности не обеспечивает адекватной защиты учетных данных, следует применять SSL и/или IPsec для защиты обмена данными между сервером веб-служб и сервером BDC.
DigestCredentials (только для систем веб-службы WCF)
При использовании режима проверки подлинности DigestCredentials SharePoint Server 2010 использует Secure Store по умолчанию для сопоставления учетных данных пользователя с учетными данными, которые не использовались для проверки подлинности в Windows. Сопоставленные учетные данные используются для дайджест-проверки подлинности. Поскольку дайджест-проверка подлинности не обеспечивает надлежащей защиты учетных данных, необходимо использовать протокол SSL, IPsec или оба протокола в целях обеспечения безопасности передачи данных между сервером веб-служб WCF и сервером BDC.
Сводка
Таблица 1 содержит сводку сценариев использования каждого режима проверки подлинности и предоставляет ссылки на примеры, доступные в настоящее время в SDK SharePoint 2010
Режим проверки подлинности |
Применяется к |
Сценарии для использования |
|---|---|---|
PassThrough |
Базы данных и веб-службы |
Используйте в среде тестирования с конфигурацией "одного ящика" (сервер базы данных и сервер SharePoint Server на одном компьютере) или при включенном делегировании Kerberos в домене. Также можно использоваться, если сервер назначения или веб-служба используют анонимную проверку подлинности или SSL-соединения. |
RevertToSelf |
Базы данных и веб-службы |
Используйте при необходимости обращения олицетворения и проверки подлинности с использованием базовых учетных данных, настроенных для пула приложений IIS. |
WindowsCredentials |
Базы данных и веб-службы |
Используйте, если сервер базы данных или веб-служба используют проверку подлинности Windows. Для этого режима необходимо настроить Secure Store. |
RdbCredentials |
Только системы баз данных |
Используйте, если сервер базы данных или веб-служба используют учетные данные базы данных; например, если сервер SQL Server использует проверку подлинности SQL Server вместо проверки подлинности Windows. Для этого режима необходимо настроить Secure Store. |
Credentials |
Только системы веб-служб |
Используйте, если веб-служба использует учетные данные, отличные от учетных данных Windows. Для этого режима необходимо настроить Secure Store. |
DigestCredentials |
Только системы веб-службы WCF |
Используется в том случае, если веб-служба WCF использует для дайджест-проверки подлинности учетные данные, не являющиеся учетными данными Windows. Для этого режима необходимо настроить Secure Store. |
Шаблоны проверки подлинности для режимов проверки подлинности
В следующей таблице приведены шаблоны проверки подлинности каждого из режимов проверки подлинности.
Шаблон / режим |
PassThrough |
RevertToSelf |
Credentials, RdbCredentials, WindowsCredentials (отдельное приложение безопасного хранения) |
Credentials, RdbCredentials, WindowsCredentials (групповое приложение безопасного хранения) |
|---|---|---|---|---|
Доверенная подсистема |
Да |
Да |
||
Олицетворение и делегирование |
Да |
Да |
Проверка подлинности уровня приложения
BDC также поддерживает дополнительную проверку подлинности на уровне приложения, которая используется в дополнение к основной проверке подлинности, настроенной для системы. Это особенно полезно в ситуациях, когда внутреннее приложение требует передачи учетных данных в вызовы метода для пользователей, проходящих проверку подлинности.
Можно включить проверку подлинности на уровне приложения путем определения фильтров в модели подключения к бизнес-данным, в частности, фильтров по имени пользователя, паролю, SSOTicket и UserContext. Дополнительные сведения об этих фильтрах см. в статье Типы фильтров, поддерживаемых службой подключения к бизнес-данным.
Далее рассматриваются способы включения проверки подлинности на уровне приложения путем добавления фильтров по имени пользователя и паролю в модель подключения к бизнес-данным.
Включение проверки подлинности уровня приложения
В свойстве SecondarySsoApplicationId экземпляра LobSystemInstance укажите приложение Secure Store, содержащее учетные данные.
Определите UsernameCredentialFilter и PasswordCredentialFilter, а также свяжите их с входными параметрами.