Настройка проверки подлинности на основе утверждений для веб-приложения с классическим режимом проверки подлинности в SharePoint 2013

ОБЛАСТЬ ПРИМЕНЕНИЯ:2013 2016 2019 Subscription Edition SharePoint в Microsoft 365

Проверка подлинности на основе утверждений — это важный компонент для обеспечения расширенных функциональных возможностей SharePoint 2013. Чтобы переместить веб-приложения с классическим режимом из продуктов Продукты SharePoint 2010 в SharePoint 2013, вы можете преобразовать их в веб-приложения, основанные на утверждениях, в продуктах Продукты SharePoint 2010, а затем перенести их в SharePoint 2013. В приведенных в данной статье процедурах рассматриваются различные поддерживаемые сценарии.

Командлет PowerShell Convert-SPWebApplication в SharePoint 2013 преобразует веб-приложения с классическим режимом в веб-приложения, основанные на утверждениях.

Предостережение

После миграции веб-приложения на проверку подлинности на основе утверждений вернуться к классическому режиму проверки подлинности уже нельзя.

Преобразуйте веб-приложения с классическим режимом продуктов Продукты SharePoint 2010 в веб-приложения с проверкой подлинности на основе утверждений в продуктах Продукты SharePoint 2010, а затем выполните обновление до SharePoint 2013

Выполните в продуктах Продукты SharePoint 2010 следующую процедуру, чтобы преобразовать существующее веб-приложение в веб-приложение с проверкой подлинности на основе утверждений. После завершения такого преобразования выполните дополнительную операцию по переносу этого веб-приложения в SharePoint 2013. Чтобы завершить данную процедуру, вам потребуется следующая информация:

• URL-адрес преобразуемого веб-приложения: http://yourWebAppUrl

• Учетная запись пользователя для установки в качестве администратора сайта: yourDomain\yourUser

Преобразование веб-приложения Продукты SharePoint 2010 для использования проверки подлинности на основе утверждений

1. Убедитесь, что вы являетесь участником следующих групп:

• Предопределенная роль сервера securityadmin для экземпляра SQL Server.

• Предопределенная роль базы данных db_owner во всех базах данных, которые должны обновляться.

• Группа администраторов для сервера, на котором выполняются командлеты PowerShell.

• Необходимо прочитать about_Execution_Policies (https://go.microsoft.com/fwlink/p/?LinkId=193050).

• Добавьте участие в группах, необходимое помимо приведенных выше минимальных требований.

  Администратор может использовать командлет Add-SPShellAdmin для предоставления разрешений на использование командлетов SharePoint 2013.

  Примечание.

  При отсутствии разрешений обратитесь к своему администратору программы установки или администратору SQL Server за разрешениями. Дополнительные сведения о разрешениях PowerShell см. в разделах Разрешения и Add-SPShellAdmin.

2. Чтобы задать для указанной учетной записи пользователя права администратора сайта, в командной строке PowerShell введите следующие команды.

$WebAppName = "http://<yourWebAppUrl>"
$wa = get-SPWebApplication $WebAppName
$wa.UseClaimsAuthentication = $true
$wa.Update()

Где:

• <yourWebAppUrl> — URL-адрес веб-приложения.

3. Для настройки политики, включающей полный доступ для пользователя, в командной строке PowerShell введите следующие команды.

$account = "yourDomain\yourUser"
$account = (New-SPClaimsPrincipal -identity $account -identitytype 1).ToEncodedString()
$wa = get-SPWebApplication $WebAppName
$zp = $wa.ZonePolicies("Default")
$p = $zp.Add($account,"PSPolicy")
$fc=$wa.PolicyRoles.GetSpecialRole("FullControl")
$p.PolicyRoleBindings.Add($fc)
$wa.Update()

Дополнительные сведения см. в статье Get-SPWebApplication.

4. Чтобы выполнить миграцию пользователей, в командной строке PowerShell введите следующие команды.

$wa.MigrateUsers($true)

5. После завершения миграции пользователя введите в командной строке PowerShell следующую команду для выполнения подготовки:

$wa.ProvisionGlobally()

Дополнительные сведения см. в статье New-SPClaimsPrincipal.

После выполнения предыдущих процедур может возникнуть одна или несколько из следующих проблем: пользователи, которые передают действительные учетные данные при доступе к перенесенным веб-приложению, могут получать уведомления о том, что у них нет разрешений. Возможно, перед выполнением миграции были настроены свойства portalsuperuseraccount и portalsuperreaderaccount веб-приложения. В этом случае необходимо обновить свойства portalsuperuseraccount и portalsuperreaderaccount для использования новой учетной записи на основе утверждений. После миграции вы можете найти новое имя учетной записи на основе утверждений в политике веб-приложения для перенесенного веб-приложения. Если существующие оповещения не вызываются после миграции, может потребоваться удалить и повторно создать оповещения. Если после миграции обход поиска не работает в веб-приложении, убедитесь, что в учетной записи обхода поиска указано новое преобразованное имя учетной записи. Если новая преобразованная учетная запись не отображается в списке, необходимо вручную создать новую политику для учетной записи обхода контента.

Перенос веб-приложения Продукты SharePoint 2010 на основе утверждений в SharePoint 2013

1. В SharePoint 2013 создайте веб-приложение на основе утверждений. Дополнительные сведения см. в статье Создание на основе утверждений веб-приложений в SharePoint Server.

2. Подключите две существующие базы данных контента Продукты SharePoint 2010 к созданному веб-приложению на основе утверждений SharePoint 2013. Дополнительные сведения см. в статье Подключение или отключение баз данных контента в SharePoint Server.

   Примечание.

   При подключении баз данных контента Продукты SharePoint 2010 к веб-приложению на основе утверждений SharePoint 2013 базы данных будут обновлены до формата базы данных SharePoint 2013, но не будут включены утверждения.

Преобразование веб-приложений продуктов Продукты SharePoint 2010 с классическим режимом в веб-приложения SharePoint 2013, основанные на утверждениях

Выполните в SharePoint 2013 следующую процедуру, чтобы преобразовать существующее веб-приложение продуктов Продукты SharePoint 2010 с классическим режимом в веб-приложение SharePoint 2013 с проверкой подлинности на основе утверждений.

Преобразование классического веб-приложения Продукты SharePoint 2010 для использования проверки подлинности на основе утверждений в SharePoint 2013

1. Убедитесь, что вы являетесь участником следующих групп:

• Предопределенная роль сервера securityadmin для экземпляра SQL Server.

• Предопределенная роль базы данных db_owner во всех базах данных, которые должны обновляться.

• Группа администраторов для сервера, на котором выполняются командлеты PowerShell.

• Необходимо прочитать about_Execution_Policies (https://go.microsoft.com/fwlink/p/?LinkId=193050).

• Добавьте участие в группах, необходимое помимо приведенных выше минимальных требований.

  Администратор может использовать командлет Add-SPShellAdmin для предоставления разрешений на использование командлетов SharePoint 2013.

  Примечание.

  При отсутствии разрешений обратитесь к своему администратору программы установки или администратору SQL Server за разрешениями. Дополнительные сведения о разрешениях PowerShell см. в разделах Разрешения и Add-SPShellAdmin.

2. В среде SharePoint 2013 в меню Пуск выберите Все программы.

3. Нажмите SharePoint 2013.

4. Щелкните Командная консоль Командная консоль SharePoint 2013.

5. Измените каталог сохранения файла.

6. В командной строке PowerShell введите следующую команду:

$ap = New-SPAuthenticationProvider -UseWindowsIntegratedAuthentication -DisableKerberos
New-SPWebApplication -name "ClaimsWebApp" -Port 80 -ApplicationPool "ClaimsAuthAppPool" -ApplicationPoolAccount (Get-SPManagedAccount "<domainname>\<user>") -AuthenticationMethod NTLM -AuthenticationProvider $ap

Где:

• <domainname>\ <user> — домен, в который входит сервер, и имя учетной записи пользователя.

7. Подключите две существующие базы данных контента Продукты SharePoint 2010 к новому веб-приложению SharePoint 2013 в режиме утверждений. Дополнительные сведения см. в статье Подключение или отключение баз данных контента в SharePoint Server.

   Примечание.

   При подключении баз данных контента Продукты SharePoint 2010 к веб-приложению режима утверждений SharePoint 2013 базы данных обновляются до формата базы данных SharePoint 2013. После подключения баз данных контента требуется убедиться в их работоспособности.

8. В командной строке PowerShell введите следующую команду:

Convert-SPWebApplication -Identity <yourWebAppUrl> -From Legacy -To Claims -RetainPermissions [-Force]

Где:

• <yourWebAppUrl> — URL-адрес веб-приложения.

Примечание.

Convert-SPWebApplication преобразует базы данных контента в проверку подлинности на основе утверждений. Вы должны убедиться, что пользователи могут получить доступ к веб-приложению после преобразования баз данных контента.

9. При необходимости подключите третью базу данных контента Продукты SharePoint 2010 к новому веб-приложению в режиме утверждений SharePoint 2013 и убедитесь, что база данных контента работает правильно после ее подключения.

10. В командной строке PowerShell введите следующую команду:

Convert-SPWebApplication -Identity <yourWebAppUrl> -From Legacy -To Claims -RetainPermissions [-Force]

Убедитесь, что пользователи могут получить доступ к веб-приложению после преобразования баз данных контента в проверку подлинности на основе утверждений. Дополнительные сведения см. в статьях New-SPWebApplication, Get-SPManagedAccount и Convert-SPWebApplication.

Преобразование веб-приложений SharePoint 2013 с классическим режимом в веб-приложения, основанные на утверждениях

Выполните следующие процедуры в SharePoint 2013, чтобы создать веб-приложение с классическим режимом, а затем преобразовать его для использования проверки подлинности на основе утверждений.

Создание классического веб-приложения в SharePoint 2013

• Убедитесь, что вы являетесь участником следующих групп:

  • Предопределенная роль сервера securityadmin для экземпляра SQL Server.

  • Предопределенная роль базы данных db_owner во всех базах данных, которые должны обновляться.

  • Группа администраторов для сервера, на котором выполняются командлеты PowerShell.

  • Необходимо прочитать about_Execution_Policies (https://go.microsoft.com/fwlink/p/?LinkId=193050).

  • Добавьте участие в группах, необходимое помимо приведенных выше минимальных требований.

    Администратор может использовать командлет Add-SPShellAdmin для предоставления разрешений на использование командлетов SharePoint 2013.

    Примечание.

    При отсутствии разрешений обратитесь к своему администратору программы установки или администратору SQL Server за разрешениями. Дополнительные сведения о разрешениях PowerShell см. в разделах Разрешения и Add-SPShellAdmin.

• В командной строке PowerShell введите следующую команду:

  New-SPWebApplication -Name <Name> -ApplicationPool <ApplicationPool> -AuthenticationMethod <WindowsAuthType> -ApplicationPoolAccount <ApplicationPoolAccount> -Port <Port> -URL <URL>
  

  Где:

  • <Name> — имя нового веб-приложения, использующего классический режим проверки подлинности.

  • <ApplicationPool> — имя пула приложений.

  • <WindowsAuthType> имеет значение NTLM или Kerberos. Рекомендуется использовать Kerberos.

  • <ApplicationPoolAccount> — учетная запись пользователя, от имени которого будет выполняться данный пул приложений.

  • <Port> — номер порта, на котором в IIS будет создано веб-приложение.

  • <URL> — общедоступный URL-адрес для веб-приложения.

  Примечание.

  Дополнительные сведения см. в статье New-SPWebApplication.

  Примечание.

  После успешного создания веб-приложения при открытии страницы центра администрирования отображается предупреждение правила анализатора работоспособности, указывающее на то, что в одном или нескольких веб-приложениях включен классический режим проверки подлинности. Это предупреждение согласовано с рекомендацией использовать проверку подлинности на основе утверждений вместо классического режима проверки подлинности.

Преобразование классического веб-приложения SharePoint 2013 для использования проверки подлинности на основе утверждений

• В командной строке PowerShell введите следующую команду:

  Convert-SPWebApplication -Identity "http:// <servername>:port" -From Legacy -To Claims -RetainPermissions [-Force]
  

  Где:

  • <servername> — имя сервера.

Убедитесь, что пользователи могут получать доступ к веб-приложению после его преобразования. Дополнительные сведения см. в описаниях командлетов New-SPWebApplication, Get-SPManagedAccount и Convert-SPWebApplication.

Миграция веб-приложений продуктов Продукты SharePoint 2010 с классическим режимом в веб-приложения SharePoint 2013 с классическим режимом

Выполните в SharePoint 2013 следующую процедуру, чтобы создать веб-приложение с классическим режимом, а затем выполнить его миграцию существующего веб-приложения продуктов Продукты SharePoint 2010 с классическим режимом в SharePoint 2013.

Перенос классического веб-приложения Продукты SharePoint 2010 в SharePoint 2013

1. Убедитесь, что вы являетесь участником следующих групп:

• Предопределенная роль сервера securityadmin для экземпляра SQL Server.

• Предопределенная роль базы данных db_owner во всех базах данных, которые должны обновляться.

• Группа администраторов для сервера, на котором выполняются командлеты PowerShell.

• Необходимо прочитать about_Execution_Policies (https://go.microsoft.com/fwlink/p/?LinkId=193050).

• Добавьте участие в группах, необходимое помимо приведенных выше минимальных требований.

  Администратор может использовать командлет Add-SPShellAdmin для предоставления разрешений на использование командлетов SharePoint 2013.

  Примечание.

  При отсутствии разрешений обратитесь к своему администратору программы установки или администратору SQL Server за разрешениями. Дополнительные сведения о разрешениях PowerShell см. в разделах Разрешения и Add-SPShellAdmin.

2. В командной строке PowerShell введите следующую команду:

New-SPWebApplication -name "ClassicAuthApp" -Port 100 -ApplicationPool "ClassicAuthAppPool" -ApplicationPoolAccount (Get-SPManagedAccount "<domainname>\<user>")

Где:

• <domainname>\ <user> — домен, в который входит сервер, и имя учетной записи пользователя.

3. Подключите две существующие базы данных контента Продуктов SharePoint 2010 к новому веб-приложению SharePoint 2013 в классическом режиме. После подключения баз данных контента убедитесь в их работоспособности. Дополнительные сведения см. в статье Подключение или отключение баз данных контента в SharePoint Server.

Дополнительные сведения см. в статьях New-SPWebApplication и Get-SPManagedAccount.

См. также

Другие ресурсы

Создание на основе утверждений веб-приложений в SharePoint Server

Создание веб-приложений, использующих классический режим проверки подлинности в SharePoint Server