Поделиться через


Проверка подлинности, авторизация и безопасность в SharePoint

Новые возможности SharePoint для проверки подлинности, авторизации и безопасности

Ниже приведены некоторые улучшения, добавленные в SharePoint:

  • Вход пользователей

    • SharePoint по-прежнему поддерживает как утверждения, так и классические режимы проверки подлинности. Проверка подлинности утверждений — это вариант проверки подлинности по умолчанию в SharePoint. Проверка подлинности в классическом режиме является устаревшей и может управляться только с помощью Windows PowerShell. Для многих функций в SharePoint требуется режим утверждений.

    • Метод MigrateUsers из SharePoint 2010 не рекомендуется для миграции учетных записей. Чтобы перенести учетные записи, используйте новый командлет Windows PowerShell с именем Convert-SPWebApplication. Дополнительные сведения см. в статье Переход с классического режима на проверку подлинности на основе утверждений в SharePoint.

    • Требование регистрации поставщиков утверждений устранено. Однако необходимо предварительно настроить тип утверждений. Вы можете выбрать символы для типа утверждения, и порядок типов утверждений не применяется.

    • SharePoint отслеживает файлы cookie FedAuth в новой службе распределенного кэша с помощью кэширования Windows Server AppFabric.

    • Расширенные возможности ведения журнала помогают устранить проблемы с проверкой подлинности.

  • Проверка подлинности служб и приложений

    • В SharePoint теперь можно создавать приложения для SharePoint. Надстройка SharePoint имеет собственное удостоверение и связано с субъектом безопасности, который называется субъектом приложения. Так же как пользователи и группы, субъект приложения имеет определенные разрешения и права.

    • В SharePoint служба маркеров безопасности предоставляет маркеры доступа для проверки подлинности по протоколу S2S. Эта служба обеспечивает временный доступ к другим службам приложения, например Exchange Server 2013 и Microsoft Lync 2013, а также приложениям для SharePoint.

Проверка подлинности и авторизация

SharePoint поддерживает безопасность доступа пользователей на уровне веб-сайта, списка, папки списка или библиотеки и элемента. Управление безопасностью осуществляется на основе ролей на всех уровнях, обеспечивая согласованное управление безопасностью в масштабе всей платформы SharePoint с помощью единообразного пользовательского интерфейса на основе ролей и объектной модели для назначения разрешений в объектах. В результате в системе безопасности на уровне списка, папки или элемента реализована та же пользовательская модель, что и в системе безопасности на уровне веб-сайта, упрощая управление правами пользователей и групп в масштабе веб-сайта. SharePoint также поддерживает уникальные разрешения для папок и элементов, находящихся внутри списков и библиотек документов.

Примечание.

Сведения об авторизации, связанной с надстройками SharePoint, см. в статье Авторизация и проверка подлинности надстроек SharePoint.

Авторизацией называется процесс, посредством которого SharePoint обеспечивает безопасность веб-сайтов, списков, папок или элементов с помощью определения того, какие пользователи могут выполнять отдельные действия над данным объектом. Процесс авторизации предполагает, что пользователь уже прошел проверку подлинности, которая является процессом, посредством которого SharePoint идентифицирует текущего пользователя. В SharePoint не реализована собственная система проверки подлинности или управления удостоверениями, но используются внешние системы проверки подлинности (Microsoft Windows или другие).

SharePoint поддерживает следующие типы проверки подлинности:

  • Windows: поддерживаются все службы IIS и параметры интеграции проверки подлинности Windows, включая обычную проверку подлинности, дайджест-проверку подлинности подпись, сертификаты, NTLM и Kerberos. Проверка подлинности Windows позволяет службам IIS выполнять проверку подлинности для SharePoint.

    Сведения о входе в SharePoint с помощью режима утверждений Windows см. в статье Входящие утверждения: вход в SharePoint.

    Важно!

    Сведения о задержке олицетворения см. в статье Устранение задержки олицетворения вызывающего пользователя.

  • Формы ASP.NET: поддерживается система управления удостоверениями, не относящаяся к Windows, в которой используется подключаемая система проверки подлинности на основе форм ASP.NET. Этот режим позволяет SharePoint работать с разными системами управления удостоверениями, включая внешне определенные группы или роли, такие как протокол LDAP и упрощенные системы управления удостоверениями базы данных. Проверка подлинности на основе форм позволяет платформе ASP.NET выполнять проверку подлинности для SharePoint, часто включая перенаправление на страницу входа. В SharePoint формы ASP.NET поддерживаются только в режиме проверки подлинности на основе утверждений. Поставщик форм должен быть зарегистрирован в веб-приложении, в котором настроена работа с утверждениями.

    Сведения о входе в SharePoint с помощью ASP.NET членства и пассивного входа ролей см. в статье Входящие утверждения: вход в SharePoint.

Примечание.

SharePoint не поддерживает работу с поставщиком членства с учетом регистра. SharePoint использует хранилище SQL без учета регистра для всех пользователей в базе данных независимо от поставщика членства.

Удостоверение и проверка подлинности на основе утверждений

Удостоверение, основанное на утверждениях, это модель удостоверений в SharePoint, поддерживающая такие возможности, как проверка подлинности пользователей систем на базе Windows и других ОС, несколько типов проверки подлинности, надежная проверка подлинности в режиме реального времени, широкий спектр типов участников и делегирование удостоверений пользователей между приложениями.

Когда пользователь входит в SharePoint, его маркер проверяется и затем используется для входа в SharePoint. Маркер пользователя — это маркер безопасности, который выдается поставщиком утверждений. Поддерживаются такие режимы входа или доступа:

  • режим утверждений Windows (по умолчанию);

  • режим пассивного входа SAML;

  • пассивный вход на основе членства и роли ASP.NET;

  • Вход на основе классического режима Windows (не рекомендуется в этой версии)

Примечание.

Дополнительные сведения о входе в SharePoint и различных режимах входа см. в статье Входящие утверждения: Вход в SharePoint.

При создании утверждения приложения пользователь представляет удостоверения для приложения как набор утверждений. Одно утверждение может быть именем пользователя, другое — адресом электронной почты. Идея заключается в том, что внешняя система управления удостоверениями передает приложению все необходимые ему данные о пользователе вместе с каждым запросом наряду с криптографическим подтверждением того, что данные удостоверения, полученные приложением, поступают из надежного источника.

С этой моделью проще обеспечить единый вход и освободить ваше приложение от выполнения таких задач, как:

  • проверка подлинности пользователей;

  • хранение пользовательских учетных записей и паролей;

  • обращение в каталог предприятия для поиска данных об удостоверении пользователя;

  • интеграция с системами удостоверений других платформ и компаний.

В этой модели ваше приложение принимает решения, связанные с удостоверениями, на основе утверждений, предоставленных пользователем. Такие решения могут варьироваться от простого использования имени пользователя в приложении, до разрешения пользователю обращаться к важным функциям и ресурсам приложения.

Примечание.

Дополнительные сведения об удостоверениях на основе утверждений и поставщиках утверждений см. в разделах Удостоверение на основе утверждений и основные понятия в SharePoint и Поставщик утверждений в SharePoint.

Проверка подлинности на основе форм

Проверка подлинности на основе форм обеспечивает настраиваемое управление удостоверениями в SharePoint, добавляя поставщика членства, который определяет интерфейсы для идентификации и проверки подлинности отдельных пользователей, и диспетчера ролей, который определяет интерфейсы для группирования отдельных пользователей в логические группы или роли. В SharePoint поставщик членства должен реализовать необходимый метод System.Web.Security.Membership.ValidateUser . По имени пользователя система поставщика ролей возвращает список ролей, которым принадлежит пользователь.

Поставщик членства отвечает за проверку учетных данных с помощью метода System.Web.Security.Membership.ValidateUser (требуется в SharePoint). Но фактический маркер пользователя создается службой маркеров безопасности. Она создает маркер пользователя на основе имени пользователя, подтвержденного поставщиком членства, и сведений о членстве в группах, связанных с именем пользователя, которые предоставляются поставщиком членства.

Диспетчер ролей необязателен. Так, если пользовательская система проверки подлинности не поддерживает группы, то диспетчер ролей не требуется. SharePoint поддерживает один поставщик членства и один диспетчер ролей для каждой зоны URL-адресов ( SPUrlZone ). Роли форм ASP.NET не наследуют связанные с ними права. Вместо этого SharePoint назначает права ролям форм через политики и авторизацию. В SharePoint проверка подлинности на основе форм интегрирована с моделью удостоверений на основе утверждений. Если требуется обойти ограничение на одного поставщика ролей для одной зоны URL-адресов, можно воспользоваться поставщиками утверждений.

Примечание.

Дополнительные сведения об удостоверениях на основе утверждений и поставщиках утверждений см. в разделах Удостоверение на основе утверждений и основные понятия в SharePoint и Поставщик утверждений в SharePoint.

В ASP.NET членства и ролей пассивный вход входа в происходит путем перенаправления клиента на веб-страницу, где размещены элементы управления ASP.NET в журнал. После создания объекта identity, представляющего удостоверение пользователя, SharePoint преобразует его в объект ClaimsIdentity (который представляет представление пользователя на основе утверждений).

Примечание.

Дополнительные сведения о входе в SharePoint см. в статье Входящие утверждения: вход в SharePoint.

SharePoint использует стандартный интерфейс поставщика ролей ASP.NET для сбора сведений о группах текущего пользователя. Для проверки подлинности нет разницы между ролями и группами: это способ группирования пользователей в логические наборы для авторизации. Каждая роль ASP.NET обрабатывается службами SharePoint как доменная группа.

Дополнительные сведения о подключаемой платформе проверки подлинности, которую обеспечивает ASP.NET, см. в документации для разработчиков ASP.NET.

Примечание.

Дополнительные сведения о проверке подлинности на основе форм см. в разделе Проверка подлинности на основе форм в продуктах и технологиях SharePoint (часть 1): введение.

См. также