共用方式為


規劃 Office SharePoint Server 中的 Web 應用程式的驗證設定

本文內容:

  • 規劃驗證設定

  • 規劃驗證排除

  • 工作表

本文將告訴您,在 Microsoft Office SharePoint Server 2007 中需要為個別 Web 應用程式規劃的驗證組態設定。請以本文搭配 Web 應用程式驗證設定工作表 (英文) (https://go.microsoft.com/fwlink/?linkid=73334&clcid=0x404)。請針對 Office SharePoint Server 2007 解決方案設計中的下列每個元素,完成個別工作表:

  • Office SharePoint Server 2007 中新增或擴充的 Web 應用程式。

  • Web 應用程式內的其他區域 (非預設區域)。包含為搜尋帳戶建立的區域。

規劃驗證設定

本節將告訴您,SharePoint 管理中心網站之 [編輯驗證] 頁面上的每個設定。要抵達此頁面,請在 [應用程式管理] 頁面的 [應用程式安全性] 區段中,按一下 [驗證提供者]****。按一下您要修改驗證設定的區域。即會開啟 [編輯驗證] 頁面。

視您選擇的驗證選項而定,可能可以在 Office SharePoint Server 2007 中建立或擴充 Web 應用程式時,直接指定驗證設定。但是一開始建立或擴充 Web 應用程式時,並無法使用全部的選項。如果建立或擴充 Web 應用程式時無法設定驗證,可以在一開始先接受預設驗證設定,再於 [編輯驗證] 頁面上編輯設定。

驗證類型

選取要使用的方法。若要允許匿名存取,而不實作本節列出的驗證方法,請選取 Windows 驗證。

如果選取 [Windows],請在 [編輯驗證] 頁面的 [IIS 驗證設定]**** 區段中,指定 Windows 驗證方法。如果選取 [表單] 或 [網頁單一登入]****,[編輯驗證] 頁面上的選項會變更為允許輸入成員資格提供者名稱和角色管理員名稱。

若要使用憑證驗證或 Kerberos 驗證,請檢閱下表,找出設定這些方法所需的額外設定步驟。

驗證方法 額外設定 特殊角色

憑證

  1. 在管理中心中選取 Windows 驗證

  2. 針對憑證設定網際網路資訊服務 (IIS)。

  3. 啟用安全通訊端階層 (SSL)。

  4. 從憑證授權單位 (CA) 取得並設定憑證。

Microsoft Windows Server 2003 管理員,取得並設定憑證

Kerberos (整合式 Windows)

  1. 在管理中心中選取 Kerberos 驗證。

  2. 設定用於應用程式集區身分識別 (應用程式集區處理序帳戶) 之網域使用者帳戶服務主要名稱 (SPN)。

  3. 在 Active Directory 中登錄網域使用者帳戶的 SPN。

IIS 管理員

工作表動作

將額外的必要設定記錄在 Web 應用程式驗證設定工作表 (英文) (https://go.microsoft.com/fwlink/?linkid=73334&clcid=0x404) 的 [其他設定] 區段。

匿名存取

指出是否允許匿名存取。如果在 [驗證類型]**** 區段中選取 [表單] 或 [網頁單一登入]****,請選取 [啟用匿名存取] 核取方塊。

用戶端整合

您可以停用用戶端整合,以移除啟動用戶端應用程式的功能。這在某些情況下是最佳的設定,例如將唯讀內容發佈到 Web 以供匿名存取。此外,如果選取 ASP.NET 表單驗證或網頁單一登入 (SSO) 驗證,用戶端整合預設會設為 [否]。

若已安裝 Microsoft Office SharePoint Server 2007 Service Pack 2 (SP2),就可支援用戶端整合,但不包括 Outlook 整合。所有其他用戶端整合都會受支援,包括 SharePoint Designer 製作。

注意

若未安裝 Office SharePoint Server 2007 SP2,當您使用表單型驗證時,預設會停用用戶端整合,這是因為在 Office SharePoint Server 2007 SP2 之前的版本,用戶端整合原本就不支援表單型驗證。

停用用戶端整合時的預期行為

停用用戶端整合時,網站的行為如下:

  • 看不到啟動用戶端應用程式的連結。

  • 文件在瀏覽器中開啟。無法由用戶端應用程式開啟文件。

  • 使用者無法直接從用戶端應用程式編輯網站上的文件。但是,使用者可以下載文件、在本機編輯文件,然後再上傳文件。

下表列出當停用用戶端整合時,無法使用的特定功能表命令和功能。

類別 無法使用的命令或功能

工具列

新增文件

在 Microsoft Office Outlook 中工作

在 Windows 檔案總管中開啟

匯出至試算表

以資料庫程式開啟

編輯文件

在 Microsoft Office 應用程式中編輯,例如 Word 和 Excel。

檢視

檔案總管檢視

建立 Access 檢視

圖片庫

上傳多個

編輯圖片

下載

傳送至

投影片庫

發佈投影片

傳送至 Microsoft Office PowerPoint

其他

討論

連線至 Office Outlook

特定驗證方法的行為

除了部署案例之外 (例如發佈唯讀內容),選擇驗證方法可能會決定用戶端整合的設定方式。部分驗證方法的行為會隨用戶端應用程式而異。在某些情況下,行為取決於用戶端瀏覽器是設定為使用永續性 Cookie 還是工作階段 Cookie。

下表摘要說明用戶端整合搭配特定驗證方法使用時的可能行為。

驗證方法 行為

基本

使用者每次存取文件都提示使用者輸入認證。其他功能可能也會要求他們再次輸入認證。

ASP.NET 表單與 Web SSO

如果下列條件成立,便會建立永續性 Cookie:

  • 驗證提供者支援永續性 Cookie。

  • 使用者登入時按一下 [讓我自動登入]。

使用相同 Cookie 儲存區的所有應用程式都會共用此永續性 Cookie,且使用者可以在用戶端應用程式中開啟文件。永續性 Cookie 建立時的預設逾時值為 30 分鐘。在表單節點的 Web.config 檔案中新增或更新逾時參數,即可變更此值。例如:

<forms loginUrl="login.aspx" name=".ASPXFORMSAUTH" timeout="100" />

當 Cookie 到期時,用戶端整合便停止運作。如果使用者在瀏覽器中,便會提示他們重新輸入認證。

如果驗證提供者不支援永續性 Cookie,或是使用者登入時沒有按一下 [讓我自動登入],則會使用工作階段 Cookie。只有瀏覽器能存取工作階段 Cookie。使用者無法直接在用戶端應用程式中開啟文件。

如果驗證提供者不支援永續性 Cookie,或是您的環境中不允許永續性 Cookie,請關閉用戶端整合。例如,Active Directory Federation Services (AD FS) 就不提供永續性 Cookie 的支援。

匿名

開啟文件時,系統會重複提示使用者輸入認證。如果他們在驗證對話方塊中按十次 [取消],網站可能會使用用戶端應用程式開啟文件。基於此一不良的體驗,建議在匿名存取時關閉用戶端整合。

搭配使用 Windows Vista 作業系統與 Internet Explorer 7

在 Windows Vista 中,Internet Explorer 7 包括了額外的安全性功能,稱為受保護模式。預設會針對網際網路、內部網路以及限制的網站等區域啟用受保護模式。因為此功能會將永續性 Cookie 放在避免跨應用程式共用的位置,所以用戶端整合無法如預期運作。

若要設定 Internet Explorer 7 以便配合用戶端整合,請執行下列其中一項動作:

  • 停用受保護模式。

  • 若已啟用受保護模式,請在 Internet Explorer 中將 SharePoint 網站新增到信任的網站區域。

如需停用受保護模式的相關資訊,請參閱瞭解及使用受保護模式的 Internet Explorer (英文) (https://go.microsoft.com/fwlink/?linkid=78098&clcid=0x404) 中的<設定受保護模式>。

測試用戶端整合設定

如果不確定如何設定用戶端整合設定,請先在測試環境中測試結果,然後再將網站部署到實際執行環境中。如果此項設定在套用之後變更,網站和用戶端應用程式可能會出現不尋常的行為。

工作表動作

Web 應用程式驗證設定工作表 (英文) (https://go.microsoft.com/fwlink/?linkid=73334&clcid=0x404) 的 [啟用用戶端整合] 區段中,選取 [是] 或 [否]。

ASP.NET 表單驗證和網頁 SSO 的設定

如果您要實作 ASP.NET 表單驗證或網頁 SSO,則必須開發組態設定,以便插入到適用的 Web.config 檔案。請參閱<驗證範例>,以檢閱數種常見案例中正確設定的字串範例。

工作表動作

Web 應用程式驗證設定工作表 (英文) (https://go.microsoft.com/fwlink/?linkid=73334&clcid=0x404) 上,輸入下列兩種類型的資訊:

  • 名稱   成員資格提供者、角色管理員及 HTTP 模組 (若適用) 的名稱。這些名稱會出現在管理中心網站。

  • Web.config 設定   將適當的設定字串貼入工作表。部署 Web 應用程式時,這些字串可以從工作表複製到 Web.config 檔案。

請確定您在 Web.config 檔案中登錄的 MembershipProvider 名稱和 RoleManager 名稱,與您在管理中心 authentication.aspx 頁面中輸入的名稱相同。若未在 Web.config 檔案中輸入角色管理員,可能會改用 machine.config 檔案中所指定的預設提供者。

例如,Web.config 檔案中的下列字串指定一位 SQL 成員資格提供者:

<membership defaultProvider="AspNetSqlMembershipProvider">

如需成員資格提供者和角色管理員之需求的詳細資訊,請參閱<規劃驗證方法 (Office SharePoint Server)>中的<連接到外部或不是採用 Windows 的身分識別系統>。

規劃驗證排除

如果您要實作 ASP.NET 表單驗證或網頁 SSO,則需要規劃驗證排除。如果您要實作 Windows 驗證,則不需要閱讀本節。

當您建立或擴充 Web 應用程式或新增區域到 Web 應用程式時,IIS 會建立新的網站。登錄在此 Web 應用程式 Web.config 檔案中的驗證設定,會由網站下的虛擬目錄所繼承。在 Office SharePoint Server 2007 中新增於 Web 應用程式下的虛擬目錄,並不由 Office SharePoint Server 2007 管理,且被視為排除的虛擬目錄。

如果您要實作 ASP.NET 表單驗證或網頁 SSO,且規劃在這些網站下新增虛擬目錄,則需要決定是否要這些排除的虛擬目錄繼承 ASP.NET 表單驗證或網頁 SSO 設定。

工作表動作

Web 應用程式驗證設定工作表 (英文) (https://go.microsoft.com/fwlink/?linkid=73334&clcid=0x404) 上,指出排除的虛擬目錄是否將在 IIS 中新增到對應於 Office SharePoint Server 2007 Web 應用程式的網站下。如果將新增排除的虛擬目錄,請指出是否應該繼承驗證設定。

使用下列程序可設定 IIS,以便不繼承驗證設定。

設定 IIS 以便不繼承驗證設定

  1. 在 IIS 網站下新增 IIS 虛擬目錄,該網站對應到 Office SharePoint Server 2007 中的適用 Web 應用程式或區域。

  2. 在 [IIS 管理員] 中,於新的虛擬目錄上按一下滑鼠右鍵,然後按一下 [內容]****。

  3. 按一下 [虛擬目錄] 索引標籤。

  4. 按一下 [建立]**** (這會使虛擬目錄成為應用程式)。

  5. 按一下 [設定]。

  6. 選取萬用字元應用程式對應,然後按一下 [移除]****。

  7. 按一下 [是],然後按一下 [確定]****。

  8. 在新虛擬目錄檔案系統路徑的根目錄中,建立新的 Web.config 檔案,然後新增下列項目:

    <?xml version="1.0" encoding="UTF-8" standalone="yes"?>
    <configuration>
     <system.web>
      <httpModules>
       <clear />
      </httpModules>
      <httpHandlers>
       <clear />
      </httpHandlers>
     </system.web>
    </configuration>
    

工作表

請使用下列工作表規劃並記錄 Office SharePoint Server 2007 中每個 Web 應用程式的組態設定。

下載本書

本主題隨附於下列可下載的叢書中,以便於閱讀與列印:

請參閱 Office SharePoint Server 2007 可下載的內容 上提供的完整叢書清單。