Team Foundation Server-Konzepte
Für eine effektive Bereitstellung und Verwaltung von Visual Studio Team Foundation Server müssen Sie verstehen, wie die Anwendung funktioniert und mit anderen Komponenten von Team Foundation kommuniziert.Als Administrator für Team Foundation Server müssen Sie mit der Authentifizierung, den Netzwerkprotokollen und dem Netzwerkverkehr in Windows sowie mit der Struktur des Geschäftsnetzwerks vertraut sein, in dem Team Foundation Server installiert ist.Sie sollten außerdem mit Gruppen und Berechtigungen in Team Foundation Server vertraut sein. Darüber hinaus können Kenntnisse über SQL Server, SQL Server Reporting Services und SharePoint-Produkte bei der Verwaltung von Team Foundation Server nützlich sein.
Grundlegendes zu Komponenten und Begriffen
Sie können Team Foundation Server einfacher planen, bereitstellen und verwalten, wenn Sie die folgenden Komponenten und Begriffe verstehen:
Anwendungsebene, Datenebene, Clientebene: Die logischen Ebenen, aus denen Team Foundation Server besteht.Diese Ebenen können alle auf demselben physischen Computer bereitgestellt werden, oder sie können auf mehreren Computern installiert werden.Weitere Informationen finden Sie unter Beispiele für die einfache Topologie, Beispiele für Topologie mit mittlerer Komplexität, Beispiele für die komplexe Topologie und unter Architektur von Team Foundation Server.
Teamprojektsammlung: Die primäre Organisationseinheit für alle Daten in Team Foundation Server.Sammlungen können ein oder mehrere Teamprojekte umfassen.Weitere Informationen finden Sie unter Organisieren des Servers mit Teamprojektsammlungen.
Teamprojekt: Ein zentraler Punkt für kooperative Aktivitäten Ihres Teams, mit denen bestimmte Softwaretechnologien oder Produkte entwickelt werden.Teamprojekte werden in Teamprojektsammlungen organisiert.Weitere Informationen finden Sie unter Planen und Nachverfolgen von Projekten.
Team Foundation-Verwaltungskonsole: Das zentrale Verwaltungstool für Administratoren in Team Foundation Server.In der Verwaltungskonsole können Sie abgesehen von der Erstellung und Verwaltung von Teamprojektsammlungen, dem Hinzufügen und Verwalten von SharePoint-Webanwendungen zur Verwendung in der Bereitstellung hinzufügen und verwalten, dem Erstellen von virtuellen Labors und der Überprüfung des Serverstatus auch Benutzer und Berechtigungen verwalten.Weitere Informationen finden Sie unter Die Team Foundation-Verwaltungskonsole.
Dienstkonten: Das Konto bzw. die Konten, die von Webdiensten und Anwendungen in Team Foundation verwendet werden.Team Foundation Server erfordert Dienstkonten, um Vorgänge über Server und Webdienste hinweg ausführen zu können.Diese Dienstkonten weisen bestimmte Anforderungen auf.Weitere Informationen finden Sie unter Dienstkonten und Abhängigkeiten in Team Foundation Server.
SharePoint-Produkte: Software, die eine skalierbare, verwaltbare Plattform für die Zusammenarbeit und die Entwicklung webbasierter Geschäftsanwendungen bereitstellt. Sie können eine oder mehrere SharePoint-Webanwendungen als Teil der Bereitstellung von Team Foundation Server einschließen.Um eine dieser Anwendungen einzuschließen, müssen Sie Team Foundation Server-Erweiterungen für SharePoint-Produkte installieren und konfigurieren, und Sie müssen Berechtigungen in der gesamten Bereitstellung konfigurieren.Weitere Informationen finden Sie unter Hinzufügen einer SharePoint-Webanwendung zur Bereitstellung und unter SharePoint Products and Technologies and Team Foundation Server.
SQL Server und SQL Server Reporting Services: Software, die eine Datenbankplattform für große Anwendungen für die Onlinetransaktionsverarbeitung (OLTP), Data Warehousing und E-Commerce bereitstellt.SQL Server ist auch eine Business Intelligence-Plattform für Datenintegration, Analyse und Berichtslösungen.Die Daten von Team Foundation Server werden in SQL Server-Datenbanken gespeichert.Sie können optional auch einen Server einschließen, auf dem SQL Server Reporting Services ausgeführt wird und der automatisch Berichte für Teamprojekte generiert.Weitere Informationen finden Sie unter Architektur von Team Foundation Server und unter Team Foundation Server-Datenbanken.
Grundlagen der Team Foundation Server-Sicherheit
Um die Sicherheit von Team Foundation Server zu optimieren, müssen Sie die folgenden Konzepte verstehen:
Die Topologie, die den Ort und die Art der Bereitstellung der Server umfasst, auf denen Komponenten von Team Foundation ausgeführt werden, der Netzwerkverkehr zwischen Team Foundation Server und den Team Foundation-Clients sowie die Dienste, die auf Team Foundation Server ausgeführt werden müssen.
Die Authentifizierung, zu der die Überprüfung der Gültigkeit von Benutzern, Gruppen und Diensten in Team Foundation Server gehört.
Die Autorisierung, die die Überprüfung beinhaltet, ob gültige Benutzer, Gruppen und Dienste in Team Foundation Server über die entsprechenden Berechtigungen zur Ausführung von bestimmten Aktionen verfügen.
Auch die anderen Komponenten und die Dienste, von denen Team Foundation Server abhängig ist, sollten nicht vernachlässigt werden.
Im Rahmen der Team Foundation Server-Sicherheit müssen Sie den Unterschied zwischen Authentifizierung und Autorisierung kennen.Authentifizierung bezeichnet die Überprüfung der Anmeldeinformationen bei einem Verbindungsversuch durch einen Client, Server oder Prozess.Bei der Autorisierung wird überprüft, ob der Benutzer, der eine Verbindung herstellt, über Berechtigungen für den Zugriff auf das Objekt oder die Methode verfügt.Die Autorisierung erfolgt erst nach erfolgreicher Authentifizierung.Wenn eine Verbindung nicht authentifiziert werden kann, schlägt der Verbindungsversuch bereits vor der Autorisierung fehl.Nach erfolgreicher Authentifizierung kann eine bestimmte Aktion trotzdem unzulässig sein, weil der Benutzer oder die Gruppe nicht zum Durchführen der Aktion autorisiert ist.
Topologien, Anschlüsse und Dienste
Das erste Element bei der Bereitstellung und Sicherheit von Team Foundation Server ist die Kommunikation zwischen den einzelnen Komponenten der Bereitstellung.Verbindungen zwischen Team Foundation-Clients und Team Foundation Server müssen ermöglicht werden, andere Verbindungen sollten jedoch eingeschränkt oder verhindert werden.
Team Foundation Server ist abhängig von bestimmten Anschlüssen und Diensten.Diese Anschlüsse können zur Einhaltung der Sicherheitsanforderungen des Unternehmens gesichert und überwacht werden.Sie müssen Team Foundation Server-Netzwerkverkehr zwischen Team Foundation-Clients, den Servern mit den logischen Komponenten der Team Foundation-Anwendungs- und -Datenebene, Team Foundation Build-Computern und Remoteclients zulassen, die Team Foundation Server Proxy verwenden.In der Standardeinstellung ist Team Foundation Server so konfiguriert, dass HTTP für die Webdienste verwendet wird.Eine vollständige Liste der Anschlüsse und Dienste, die Team Foundation Server verwendet, sowie Informationen zu deren Verwendung innerhalb der Architektur finden Sie unter Architektur von Team Foundation Server.
Sie können Team Foundation Server in einer Active Directory-Domäne oder einer Arbeitsgruppe bereitstellen.Active Directory stellt mehr integrierte Sicherheitsfunktionen bereit als Arbeitsgruppen.Sie können Active Directory-Funktionen verwenden, um die Bereitstellung von Team Foundation Server zu sichern.Beispielsweise können Sie Active Directory so konfigurieren, dass keine doppelten Computernamen zulässig sind. Dadurch können Angreifer den Computernamen nicht mehr mit einem nicht autorisierten Server, auf dem Team Foundation Server ausgeführt wird, vortäuschen.Um die gleiche Art von Bedrohung in einer Arbeitsgruppe zu verhindern, müssen Sie Computerzertifikate konfigurieren.
Unabhängig davon, ob Sie Team Foundation Server in einer Arbeitsgruppe oder einer Domäne bereitstellen, müssen Sie bestimmte Einschränkungen einhalten, die durch die Anforderungen von Team Foundation Server selbst entstehen.Weitere Informationen zu Topologien für Team Foundation Server finden Sie unter Beispiele für die einfache Topologie, Beispiele für Topologie mit mittlerer Komplexität, Beispiele für die komplexe Topologie, Understanding Windows SharePoint Services und unter SQL Server und SQL Server Reporting Services.
Authentifizierung
Die Team Foundation Server-Sicherheit ist in die Windows-Authentifizierung integriert und davon sowie von den Sicherheitsfunktionen des Windows-Betriebssystems abhängig. Sie können die integrierte Windows-Authentifizierung für Folgendes verwenden: Authentifizierung von Konten für Verbindungen zwischen Team Foundation- und Team Foundation Server-Clients, für Webdienste auf den Servern, die die logische Anwendung und Datenebenen für Team Foundation hosten und für Verbindungen zwischen Servern der Anwendungs- und Datenebenen selbst.
Hinweis |
---|
Sie können Team Foundation Server so konfigurieren, dass nach der Installation von Team Foundation Server Kerberos für die gegenseitige Authentifizierung von Client und Server verwendet wird. |
Konfigurieren Sie keine SQL Server-Datenbankverbindungen zwischen Team Foundation Server und SharePoint-Produkte für die Verwendung der SQL Server-Authentifizierung, da diese nicht so sicher wie die Windows-Authentifizierung ist.Bei der Verbindung mit der Datenbank werden Benutzername und Kennwort für das Administratorkonto der Datenbank unverschlüsselt übertragen.Bei der integrierten Windows-Authentifizierung werden Benutzername und Kennwort nicht gesendet.Stattdessen werden Dienstkonto-Identitätsinformationen, die mit dem Host-IIS-Anwendungspool verknüpft sind, über Sicherheitsprotokolle der integrierten Windows-Authentifizierung an SQL Server übertragen.
Autorisierung
Die Team Foundation Server-Autorisierung basiert auf Benutzern und Gruppen in Team Foundation sowie den Berechtigungen, die diesen Benutzern und Gruppen direkt zugewiesen sind, und den Berechtigungen, die diese Benutzer und Gruppen aufgrund ihrer Mitgliedschaft in anderen Team Foundation Server-Gruppen möglicherweise erben.Benutzer und Gruppen in Team Foundation können lokale Benutzer oder Gruppen, Active Directory-Benutzer und -Gruppen oder beides sein.
Team Foundation Server ist auf Server-, Auflistungs- und Projektebene mit Standardgruppen vorkonfiguriert.Sie können diesen Gruppen einzelne Benutzer hinzufügen.Sie sollten diese Gruppen jedoch mithilfe von Active Directory-Sicherheitsgruppen auffüllen, da diese einfacher verwaltet werden können.Mit diesem Ansatz können Sie die Gruppenmitgliedschaft und Berechtigungen über mehrere Computer oder Anwendungen hinweg, z. B. SharePoint-Produkte und SQL Server, effizienter verwalten.
Möglicherweise müssen Sie in Ihrer Bereitstellung Benutzer, Gruppen und Berechtigungen auf mehreren Computern und in verschiedenen Anwendungen konfigurieren.Wenn Ihre Bereitstellung z. B Berichte und Projektportale enthalten soll, müssen Sie Berechtigungen für Benutzer und Gruppen in Reporting Services, SharePoint-Produkte und in Team Foundation Server konfigurieren.In Team Foundation Server können Sie Berechtigungen für jedes Projekt, für jede Auflistung und in einer Bereitstellung (auf Serverebene) festlegen.Darüber hinaus werden bestimmte Berechtigungen standardmäßig allen zu Team Foundation Server hinzugefügten Benutzern oder Gruppen gewährt, da dieser Benutzer oder diese Gruppe automatisch zur Gruppe Gültige Team Foundation-Benutzer hinzugefügt wird.Weitere Informationen zum Festlegen von Berechtigungen finden Sie unter Verwalten von Berechtigungen.Weitere Informationen zum Verwalten von Benutzern und Gruppen in Team Foundation Server finden Sie unter Konfigurieren von Benutzern, Gruppen und Berechtigungen.
Zusätzlich zum Konfigurieren von Berechtigungen für die Autorisierung in Team Foundation Server müssen Sie u. U. auch eine Autorisierung für die Versionskontrolle und für Arbeitsaufgaben konfigurieren.Diese Berechtigungen werden separat in einer Befehlszeile verwaltet, sind jedoch in die Team Explorer-Schnittstelle integriert.
Siehe auch
Konzepte
Architektur von Team Foundation Server
Konfigurieren von Benutzern, Gruppen und Berechtigungen