SharePoint Server 的伺服器對伺服器驗證及使用者設定檔
適用於:2013 Subscription Edition SharePoint in Microsoft 365
伺服器對伺服器驗證可讓具備伺服器對伺服器驗證功能的伺服器,代表使用者互相存取及要求資源。 因此,執行 SharePoint Server 及服務傳入資源要求的服務必須能夠完成下列兩項工作:
將要求解析為特定 SharePoint 使用者
決定與該使用者關聯的一組角色宣告,此程序稱為「解除凍結」使用者的身分識別
若要解除凍結使用者的身分識別,可執行伺服器對伺服器驗證的伺服器會要求存取 SharePoint 資源。 SharePoint Server 會採用傳入安全性權杖的宣告,然後將其解析為特定 SharePoint 使用者。 依預設,SharePoint Server 會使用內建的 User Profile Service 應用程式來解析身分識別。
找出對應使用者設定檔的關鍵使用者屬性如下:
Windows 安全性識別碼 (SID)
Active Directory 網域服務 (AD DS) 使用者主體名稱 (UPN)
簡易郵件傳送通訊協定 (SMTP) 位址
工作階段初始通訊協定 (SIP) 位址
因此,這些使用者屬性的其中至少一個必須在使用者設定檔中是現值。
注意事項
[!附註] 僅針對 SharePoint Server 2013,建議您定期從身分識別存放區同步到 User Profile Service 應用程式。 如需詳細資訊,請參閱<規劃 SharePoint Server 2013 Preview 的設定檔同步處理>。
此外,根據這四個屬性所進行的指定查閱查詢,SharePoint Server 只預期 User Profile Service 應用程式中只有一個符合項目。 否則,查詢會傳回找到多個使用者設定檔的錯誤狀態。 因此,您應該定期刪除 User Profile Service 應用程式中過時的使用者設定檔,避免多個使用者設定檔共用這四個屬性。
如果該使用者的使用者設定檔與相關的群組成員資格未同步處理,SharePoint Server 可能會錯誤地拒絕對指定資源的存取。 因此,請確認群組成員資格與 User Profile Service 應用程式保持同步的狀態。 對於 Windows 宣告,User Profile Service 應用程式會匯入先前描述的四個重要使用者屬性和群組成員資格。
對於表單型宣告驗證和以安全性聲明標記語言 (SAML) 為基礎的宣告驗證,必須執行下列其中一項作業:
對 User Profile Service 應用程式支援的資料來源建立同步處理連線,並將該連線關聯至特定的表單型或 SAML 驗證提供者。 此外,必須將使用者存放區的屬性對應至先前說明的四個使用者屬性,或從資料來源取得越多越好。
建立並部署自訂元件以手動執行同步處理。 對於不使用 Windows 的使用者而言,這是最可能的選項。 請注意,在解除凍結使用者的身分識別以取得其角色宣告時,會叫用表單型或 SAML 驗證提供者。
要求伺服器的使用者解除凍結
如果要求伺服器執行 Exchange Server 2016 或 商務用 Skype Server 2015 (皆使用標準 Windows 驗證方法),則要求伺服器傳送的傳入安全性權杖會包含使用者的 UPN,並且可能包含其他屬性,例如 SMTP、SIP 和使用者身分識別的 SID。 SharePoint Server (接收伺服器) 會使用此資訊找到使用者設定檔。
針對執行 SharePoint Server 的要求伺服器,接收伺服器會透過下列以宣告為基礎的驗證方法來解除凍結使用者:
針對 Windows 宣告驗證,SharePoint Server 會使用 AD DS 屬性來尋找使用者的使用者設定檔 (例如 UPN 或 SID 值) 及其角色宣告 (群組成員資格)。
針對表單型驗證,SharePoint Server 會使用 Account 屬性來找到使用者設定檔,然後叫用角色提供者和其他所有自訂宣告提供者,以取得一組對應的角色宣告。 例如,SharePoint Server 會使用 AD DS、資料庫 (例如 SQL Server 資料庫) 或輕量型目錄存取通訊協定 (LDAP) 資料存放區中的屬性,來尋找代表使用者的使用者設定檔 (例如 UPN 或 SID 值)。 同步處理表單型提供者的元件至少必須在使用者設定檔中填入使用者的帳戶名稱。 還可以建立自訂宣告提供者,將其他宣告做為屬性匯入使用者設定檔。
針對以 SAML 為基礎的宣告驗證,SharePoint Server 會使用 AccountName 屬性來找到使用者設定檔,然後叫用 SAML 提供者和其他所有自訂宣告提供者,以取得一組對應的角色宣告。 透過對應的 SAML 宣告提供者 (應設定為填入使用者設定檔),使用者身分識別宣告應該對應至使用者設定檔中的 Account 屬性。 同樣地,UPN 宣告應該對應至 UPN 屬性,SMTP 宣告應該對應至 SMTP 屬性。 若要複製使用者通常從身分識別提供者取得的一組宣告,則必須透過宣告增強來新增那些宣告,包括角色宣告。 自訂宣告提供者必須將那些宣告做為屬性匯入使用者設定檔。