规划 SharePoint Server 中的服务器到服务器身份验证

适用于：2013 2016 2019 Subscription Edition SharePoint in Microsoft 365

服务器到服务器身份验证允许具有服务器到服务器身份验证功能的服务器代表用户访问和请求来自其他服务器的资源。 具有服务器到服务器身份验证功能的服务器运行 SharePoint Server、Exchange Server 2016、Skype for Business Server 2015、Azure Workflow Service 或者支持 Microsoft 服务器到服务器协议的其他软件。 服务器到服务器身份验证支持一组可通过跨服务器的资源共享和访问实现的新功能和方案。

要提供来自可执行服务器到服务器身份验证的其他服务器的请求资源，运行 SharePoint Server 的服务器必须执行以下操作：

• 确认正在请求的服务器是受信任的。 要对正在请求的服务器进行身份验证，必须配置运行 SharePoint Server 的服务器以信任正在向其发送请求的服务器。 这是单向信任关系。

• 确认服务器正在请求的访问类型是已授权的。 要授权访问，必须配置运行 SharePoint Server 的服务器以获得对所请求资源的一组适当权限。

请注意，SharePoint Server 中的服务器到服务器身份验证协议与用户身份验证是分开的，且 SharePoint 用户不会将该协议用作登录身份验证协议。 服务器到服务器身份验证协议（使用 Open Authorization (OAuth) 2.0 协议）不会添加到用户登录协议组，例如 WS 联合身份验证。 SharePoint Server 中没有新的用户身份验证协议。 服务器到服务器身份验证协议不会出现在标识提供程序列表中。

有关如何规划用户配置文件应用程序服务以进行服务器到服务器身份验证的信息，请参阅SharePoint Server 中的服务器到服务器身份验证和用户配置文件。

简介

规划服务器到服务器身份验证包含以下任务：

• 标识必须在运行 SharePoint Server 的服务器上配置的信任关系组。

• 处理用户配置文件应用程序服务注意事项。 有关详细信息，请参阅SharePoint Server 中的服务器到服务器身份验证和用户配置文件。

重要

包括服务器到服务器身份验证终结点（用于传入服务器到服务器请求）或者向其他服务器发出传出服务器到服务器请求的 Web 应用程序必须配置为使用安全套接字层 (SSL)。

注意

如果要配置一个或多个需要使用它的服务器到服务器方案，只需规划运行 SharePoint Server 的服务器上的服务器到服务器身份验证。

标识信任关系组

从运行 SharePoint Server 的服务器的角度看，与可执行服务器到服务器身份验证的其他服务器的信任关系包含以下内容：

• 运行 SharePoint Server 的服务器信任来自可执行服务器到服务器身份验证的服务器的请求（传入到运行 SharePoint Server 的服务器）。

  这需要配置运行 SharePoint Server 的服务器以便它信任正在请求的服务器。

• 可执行服务器到服务器身份验证的服务器信任来自运行 SharePoint Server 的服务器的请求（从运行 SharePoint Server 的服务器传出）。

  这需要配置可执行服务器到服务器身份验证的服务器以便它信任正在请求的运行 SharePoint Server 的服务器。

对每个运行 SharePoint Server 的场，将具有服务器到服务器身份验证功能的服务器以及将基于涉及场的服务器到服务器方案接收传入请求的服务器制成一个列表。 有两个可供分析的服务器到服务器身份验证关系案例。

案例 1：服务器场在本地

如果可执行服务器到服务器身份验证的场在本地，则必须配置运行 SharePoint Server 的服务器场。 使用 New-SPTrustedSecurityTokenIssuerPowerShell cmdlet 将可执行服务器到服务器身份验证的服务器的 JavaScript Object Notation (JSON) 元数据终结点添加到运行 SharePoint Server 的服务器。 如果可执行服务器到服务器身份验证的服务器是另一台运行 SharePoint Server 的服务器，则 JSON 元数据终结点的格式为：https://< HostName>/_layouts/15/metadata/json/1。

案例 2：场是 Microsoft 365 租赁的一部分

如果运行 SharePoint Server 的场和另一台可执行服务器间身份验证的服务器都是 Microsoft 365 组织的一部分，则无需对服务器间身份验证进行其他任何配置。

确定需要服务器到服务器身份验证的服务器组之后，请参阅Configure server-to-server authentication in SharePoint Server以配置服务器到服务器信任关系。

另请参阅

概念

SharePoint Server 身份验证概述

SharePoint Server 中的服务器到服务器身份验证和用户配置文件