設定驗證 (Windows SharePoint Services)

本文內容：

• 設定匿名存取 (Windows SharePoint Services 3.0)

• 設定摘要驗證 (Windows SharePoint Services)

• 設定表單型驗證 (Windows SharePoint Services)

• 使用 ADFS 設定 Web SSO 驗證 (Windows SharePoint Services)

驗證是驗證用戶端身分識別的程序，通常透過指定的授權單位進行。網站驗證可協助建立一套機制，讓嘗試存取網站資源的使用者可經過驗證成為驗證的實體。驗證應用程式會從要求網站存取的使用者取得認證。認證可以是各種識別形式，例如使用者名稱與密碼。驗證應用程式會嘗試對驗證授權單位驗證認證。如果認證有效，送出認證的使用者會視為驗證的身分識別。

Windows SharePoint Services 驗證

若要決定所使用的最適當 Windows SharePoint Services 3.0 驗證機制，請考量下列問題：

• 若要使用 Windows 驗證機制，您需要信任的授權單位可驗證使用者帳戶的支援環境。

• 如果您使用 Windows 驗證機制，作業系統會執行使用者認證管理工作。如果您使用 Windows 以外的驗證提供者 (例如表單驗證)，則必須規劃及實作認證管理系統，並決定儲存使用者認證的位置。

Windows SharePoint Services 3.0 驗證內建於 ASP.NET 驗證模型，並包含三個驗證提供者：

• Windows 驗證提供者

• 表單驗證提供者

• Web SSO 驗證提供者

您可以使用 Active Directory 目錄服務進行驗證，或設計環境以根據其他資料儲存區驗證使用者認證，例如 Microsoft SQL Server 資料庫、輕量型目錄存取通訊協定 (LDAP) 目錄，或擁有 ASP.NET 2.0 成員資格提供者的任何其他目錄。成員資格提供者會指定要使用的資料儲存區類型。ASP.NET 2.0 成員資格提供者預設會使用 SQL Server 資料庫。ASP.NET 2.0 包含 SQL Server 成員資格提供者。

驗證提供者用於對儲存在 Active Directory、SQL Server 資料庫或非 Active Directory LDAP 目錄服務 (例如 NDS) 中的使用者與群組認證，進行驗證。如需 ASP.NET 成員資格提供者的詳細資訊，請參閱設定 ASP.NET 應用程式使用成員資格 (https://go.microsoft.com/fwlink/?linkid=87014&clcid=0x404)。

Windows 驗證提供者

Windows 驗證提供者支援下列驗證方法：

• 匿名驗證

  匿名驗證可讓使用者在網站的公開區域尋找資源，而不需要提供驗證認證。網際網路資訊服務 (IIS) 會建立 IUSR_computername 帳戶以驗證匿名使用者，回應網站內容的要求。IUSR_computername 帳戶 (其中 computername 是執行 IIS 的伺服器名稱) 提供使用者對 IUSR 帳戶內容下之資源進行匿名存取。您可以將匿名使用者存取重設為使用任何有效的 Windows 帳戶。在獨立環境中，IUSR_computername 帳戶位於本機伺服器上。如果伺服器是網域控制站，會為該網域定義 IUSR_computername 帳戶。根據預設，當您建立新的 Web 應用程式時，會停用匿名存取。如果停用匿名存取，由於在匿名存取要求尚未開始處理之前，IIS 便已拒絕，因此提供了額外的安全層。

• 基本驗證

  基本驗證需要先前針對使用者存取指定的 Windows 帳戶認證。基本驗證會在 HTTP 交易期間提出要求時，啟用網頁瀏覽器以提供認證。由於未針對網路傳輸加密使用者認證，而是以純文字在網路上傳送，因此不建議在不安全的 HTTP 連線上使用基本驗證。若要使用基本驗證，您應該啟用安全通訊端階層 (SSL) 加密。

• 摘要驗證

  摘要驗證提供與基本驗證相同的功能，但安全性更高。使用者認證會經過加密，而不是以純文字在網路上傳送。使用者認證會以無法破解原始使用者名稱與密碼的 MD5 訊息摘要傳送。摘要驗證使用詰問/回應通訊協定，需要驗證要求者提出有效的認證以回應伺服器的詰問。若要對伺服器進行驗證，用戶端必須在包含共用密碼字串的回應中提供 MD5 訊息摘要。網際網路工程任務推動小組 (Internet Engineering Task Force) RFC 1321 (http://www.ietf.org/ (英文)) 中將詳細說明 MD5 訊息摘要演算法。

  若要使用摘要驗證，請注意下列需求：

  • 使用者與 IIS 伺服器必須是同一網域的成員，或受到同一網域的信任。

  • 使用者必須在網域控制站的 Active Directory 中儲存有效的 Windows 使用者帳戶。

  • 網域必須使用 Microsoft Windows Server 2003 網域控制站。

  • 您必須在網域控制站上安裝 IISSuba.dll 檔案。此檔案會在 Windows Server 2003 安裝期間自動複製。

• 使用 NTLM 的整合式 Windows 驗證

  此方法適用於在網域控制站上未執行 Active Directory 的 Windows 伺服器。NTLM 是支援在網路上加密及傳輸使用者認證的安全通訊協定。NTLM 的基礎在於加密使用者名稱與密碼，再於網路上傳送使用者名稱與密碼。NTLM 是在 Windows NT Server 與 Windows 2000 Server 工作群組環境中使用的驗證通訊協定，其也用於許多 Active Directory 部署中。NTLM 會在必須驗證 Windows NT 系統的混合式 Windows 2000 Active Directory 網域環境中使用。

表單驗證提供者

表單驗證提供者支援對儲存在 Active Directory、資料庫 (例如 SQL Server 資料庫) 或 LDAP 資料儲存區 (例如 Novell eDirectory、Novell Directory Services (NDS) 或 Sun ONE) 中的認證，進行驗證。表單驗證會啟用以驗證登入表單之認證輸入為基礎的使用者驗證。未經驗證的要求會重新導向至登入頁面，使用者必須在此提供有效認證再送出表單。如果可驗證該要求，系統會發出 Cookie，包含用於重新建立後續要求之識別碼的金鑰。

網頁單一登入 (SSO) 驗證提供者

網頁 SSO 亦稱為同盟驗證或委派驗證，因為其支援跨網路邊界的安全通訊。

SSO 是指單次成功驗證使用者認證之後，可存取多項安全資源的驗證方法。SSO 驗證有數種不同的實作。網頁 SSO 驗證透過允許經過一個組織驗證的使用者存取另一個組織的 Web 應用程式，來支援跨網路界限的安全通訊。Active Directory Federation Services (ADFS) 支援網頁 SSO。在 ADFS 案例中，兩個組織可建立同盟信任關係，允許其中一個組織的使用者可存取另一個組織所控制之 Web 式應用程式。如需使用 ADFS 設定網頁 SSO 驗證的相關資訊，請參閱＜使用 ADFS 設定 Web SSO 驗證 (Windows SharePoint Services)＞。