配置 SharePoint 服务器的客户端证书身份验证
适用于:
2013 2016 2019 Subscription Edition 
SharePoint in Microsoft 365
客户端证书身份验证使基于 Web 的客户端可以通过使用数字证书对服务器建立其身份,从而为用户身份验证提供了额外的安全性。 SharePoint Server 不提供对客户端证书身份验证的内置支持,但客户端证书身份验证可通过安全断言标记语言 (SAML) 基于的声明身份验证进行。 可以使用 Active Directory 联合身份验证服务 (AD FS) 2.0 作为安全令牌服务, (SAML 声明的 STS) ,或者支持标准安全协议(如 WS-Trust、WS-Federation、SAML 1.1 和 SAML 2.0)的任何第三方标识管理系统。
注意
有关 SharePoint Server 协议要求的详细信息,请参阅 SharePoint Front-End 协议。
SharePoint Server 中基于声明的身份验证允许使用不同的 STS。 如果将 AD FS 配置为 STS,SharePoint Server 可以支持 AD FS 支持的任何标识提供者或身份验证方法,其中包括客户端证书身份验证。
注意
有关 AD FS 的详细信息,请参阅Active Directory 联合身份验证服务概述和 AD FS 2016。
有关 SharePoint 中身份验证概述的其他信息,请参阅 规划 SharePoint Server 中的用户身份验证方法。
下图适用于 SharePoint Server 2013 和 SharePoint Server 2016,SharePoint Server 配置为基于 AD FS 的 STS 的信赖伙伴。
AD FS 可以通过多种不同类型的身份验证方法对用户帐户进行身份验证:基于表单的身份验证、Active Directory 域服务 (AD DS)、客户端证书和智能卡。 将 SharePoint Server 配置为 AD FS 的信赖伙伴时,SharePoint Server 信任 AD FS 验证的帐户以及 AD FS 用于验证这些帐户的身份验证方法。 这是 SharePoint Server 支持客户端证书身份验证的方式。
配置客户端证书身份验证
以下主题说明在使用 AD FS 作为 STS 时如何使用客户端证书身份验证或智能卡身份验证配置 SharePoint Server:
配置 AD FS 以支持基于声明的身份验证。
有关详细信息,请参阅 AD FS 中的复合身份验证和 AD DS 声明。
配置 SharePoint Server 以支持使用 AD FS 进行基于 SAML 的声明身份验证。
有关详细信息,请参阅 在 SharePoint Server 中使用 AD FS 配置基于 SAML 的声明身份验证 和 改进了与 SAML 2.0 的互操作性。
创建结合使用基于 SAML 安全令牌的声明身份验证的 Web 应用程序。
有关详细信息,请参阅在 SharePoint 服务器中创建基于声明的 web 应用程序。
注意
第三方 STS 所需的步骤与此类似。
另请参阅
其他资源
在 SharePoint Server 中使用 AD FS 配置基于 SAML 的声明身份验证