OpenID Connect 1.0 身份验证
适用于:2013 2016 2019 Subscription Edition SharePoint in Microsoft 365
OpenID Connect (OIDC) 1.0 是一种新式身份验证协议,可将应用程序和设备与标识和身份验证管理解决方案无缝集成,以跟上组织不断变化的安全性和合规性需求。
在 SharePoint 2019 和早期版本中,SharePoint Server 支持三种类型的身份验证方法:
- Windows 身份验证 (新技术 LAN 管理器 (NTLM) 、Kerberos 等 )
- 基于表单的身份验证
- 安全断言标记语言 (SAML) 基于 1.1 的身份验证
OIDC 1.0 身份验证协议仅支持SharePoint Server 订阅版。 使用此功能,可以设置一个启用 SPTrustedIdentityTokenIssuer
OIDC 的 、可与远程标识提供者配合使用以启用 OIDC 身份验证。
OIDC 1.0 身份验证协议与 SharePoint 证书管理集成,以管理) cookie 认证后使用的 nonce (编号。 nonce Cookie 证书可确保 OIDC 身份验证令牌是安全的。
在 OIDC 1.0 身份验证与 SharePoint 证书管理集成之前,管理员使用 Windows 中的证书管理单元来检查 nonce 证书的状态。 在多服务器场中,管理员需要手动导出证书、导入证书并单独授予每个服务器的权限。 当管理员使用新的应用程序池帐户为新的 Web 应用程序启用 OIDC 时,管理员必须记住授予该帐户的权限。
服务器场管理员可以使用以下命令在场级别建立或替换 nonce 证书。 无论在初始配置期间还是在替换现有 nonce 证书期间完成,都可以使用此命令。
# Use one of the commands to acquire the nonce cookie certificate if it's already imported:
$nonceCert = Get-SPCertificate -DisplayName <the certificate name>
$nonceCert = Get-SPCertificate -Thumbprint <thumbprint>
# Update
$farm = Get-SPFarm
$farm.UpdateNonceCertificate($nonceCert, $true)
可以使用以下任一选项在 SharePoint Server 中设置 OIDC 身份验证:
Microsoft Entra ID。 有关详细信息,请参阅使用 Microsoft Entra ID 在 SharePoint Server 中设置 OIDC 身份验证。
Active Directory 联合身份验证服务 (AD FS)。 有关详细信息,请参阅使用 Active Directory 联合身份验证服务 (AD FS) 在 SharePoint Server 中设置 OIDC 身份验证。