Поделиться через

Планирование сопоставлений альтернативного доступа для SharePoint Server

  • Статья

ОБЛАСТЬ ПРИМЕНЕНИЯ:yes-img-132013 yes-img-162016 yes-img-192019 yes-img-seSubscription Edition no-img-sopSharePoint в Microsoft 365

Альтернативные сопоставления доступа направляют пользователей на правильные URL-адреса во время взаимодействия с SharePoint Server 2016 (например, при переходе на домашнюю страницу веб-сайта SharePoint Server 2016). Альтернативные сопоставления доступа позволяют SharePoint Server сопоставлять веб-запросы с правильными веб-приложениями и сайтами, а Также позволяют SharePoint Server предоставлять пользователю правильное содержимое.

Так как возможности сопоставлений альтернативного доступа больше не поддерживаются, не рекомендуется использовать семейства веб-сайтов с именем на основе узла вместо сопоставлений альтернативного доступа.

Дополнительные сведения о планировании семейств веб-сайтов с именем узла см. в статье Архитектура и развертывание семейства веб-сайтов с именем узла в SharePoint Server.

Сопоставления альтернативного доступа реализованы, так как существуют распространенные сценарии развертывания в Интернете, в которых URL-адрес веб-запроса, полученного службами IIS, отличается от URL-адреса, введенного пользователем. Это чаще всего происходило в сценариях развертывания, включающих публикацию обратного прокси-сервера и балансировку нагрузки.

Примечание.

Сопоставления альтернативного доступа необходимо настроить для балансировки нагрузки, хотя обычно она не применяется к семействам веб-сайтов на основе заголовков узлов. Общедоступный URL-адрес зоны по умолчанию необходимо задать как URL-адрес домена, который могут видеть все пользователи. Если этого не сделать, имена веб-серверов или их IP-адреса могут отображаться в параметрах, передаваемых между страницами в SharePoint Server 2016.

Сведения о сопоставлениях альтернативного доступа

Альтернативные сопоставления доступа позволяют веб-приложению, получающим запрос на внутренний URL-адрес в одной из пяти зон, возвращать страницы, содержащие ссылки на общедоступный URL-адрес зоны. Вы можете связать веб-приложение с помощью коллекции сопоставлений между внутренними и общедоступными URL-адресами. Внутренний относится к URL-адресу веб-запроса, полученного SharePoint Server. Public ссылается на URL-адрес, по которому SharePoint будет форматировать ссылки, соответствующие запросам, которые соответствуют одному из внутренних URL-адресов в этой зоне при возврате ответа. Общедоступный URL-адрес — это базовый URL-адрес, который SharePoint Server использует на возвращающихся страницах. Если внутренний URL-адрес был изменен устройством обратного прокси-сервера, он может отличаться от общедоступного URL-адреса.

Примечание.

Семейства веб-сайтов с именем на основе узла не могут использовать сопоставления альтернативного доступа. Такие семейства сайтов автоматически считаются принадлежащими зоне "По умолчанию", а URL-адрес запроса нельзя менять на пути от пользователя к серверу.

Несколько внутренних URL-адресов можно связать с одним общедоступным URL-адресом. Коллекции сопоставлений могут содержать до пяти зон проверки подлинности. Однако в каждой зоне может быть только один общедоступный URL-адрес. Коллекции сопоставлений соответствуют приведенным ниже зонам проверки подлинности.

  • По умолчанию

  • Intranet

  • Интернет

  • Настраиваемая

  • Экстрасеть

Публикация обратного прокси-сервера

Обратный прокси-сервер — это устройство, которое находится между пользователями и веб-сервером. Все запросы к веб-серверу сначала принимаются устройством обратного прокси-сервера, и если эти запросы передают фильтрацию безопасности прокси-сервера, прокси-сервер перенаправит запросы на веб-сервер.

Интеграция сопоставлений альтернативного доступа с поставщиками проверки подлинности

Сопоставления альтернативного доступа позволяют предоставить доступ к веб-приложению в максимум пяти разных зонах, при этом каждый веб-сайт IIS поддерживает каждую зону.

Примечание.

Некоторые по ошибке считают, что пять разных веб-приложений совместно используют одни базы данных контента. На самом деле существует только одно веб-приложение.

Эти зоны не только позволяют использовать несколько URL-адресов для доступа к одному веб-приложению, но и позволяют использовать для этого несколько поставщиков проверки подлинности.

При расширении веб-приложения в зону необходимо использовать проверку подлинности Windows, предоставляемую службами IIS. После расширения веб-приложения в зону вы можете настроить зону для использования другого типа проверки подлинности.

Чтобы изменить конфигурацию проверки подлинности для зоны, используйте приведенную ниже процедуру.

Изменение типа проверки подлинности для зоны

  1. В разделе Администрирование откройте Центр администрирования.

  2. На домашней странице Центр администрирования щелкните Управление приложениями.

  3. На странице Управление приложениями в разделе Безопасность приложений щелкните Поставщики проверки подлинности.

  4. На странице Поставщики проверки подлинности выберите веб-приложение, указанное в поле Веб-приложение.

  5. Щелкните имя зоны, для которой требуется изменить конфигурацию проверки подлинности.

    Примечание.

    Вы сможете выбрать только из зон, в которых есть резервный веб-сайт IIS. Этим зонам был назначен веб-сайт IIS во время процедуры "Расширение существующего веб-приложения".

  6. На странице Изменение параметров проверки подлинности в разделе Типы проверки подлинности на основе утверждений выберите один из приведенных ниже типов проверки подлинности, который будет использоваться для этой зоны.

    • Проверка подлинности Windows (по умолчанию)

    • Обычная проверка подлинности

    • Проверка подлинности на основе форм (FBA)

    • Доверенный поставщик удостоверений

  7. Измените все другие необходимые параметры проверки подлинности и нажмите кнопку Сохранить.

После этого можно изменить настройки проверки подлинности для любой другой зоны. Вы можете настроить полностью независимые параметры проверки подлинности в разных зонах, обращающихся к одному и тому же контенту. Например, можно настроить определенный контент для анонимного доступа, а для другого контента требовать ввод учетных данных. Вы можете включить анонимный доступ для одной зоны и отключить все другие виды проверки подлинности — это гарантирует, что будет доступен только анонимный контент. В то же время для другой зоны анонимный доступ может быть отключен, а проверка подлинности NTLM может быть включена — это гарантирует, что будет разрешен только доступ с проверкой подлинности. Кроме того, можно предоставить доступ к одному контенту для разных типов учетных записей: одну зону можно настроить для использования учетных записей Active Directory в Windows, а другую зону — для использования других учетных записей Active Directory, применяющих проверку подлинности на основе форм ASP.NET.

Интеграция сопоставлений альтернативного доступа с политиками веб-приложений

Политики веб-приложений позволяют администраторам предоставлять или запрещать доступ к учетным записям и группам безопасности для всех сайтов, доступных в зоне. Это может быть полезно для многих сценариев.

Например, средство-обходчик поиска SharePoint Server должен пройти ту же инфраструктуру авторизации, что и любой другой пользователь: он может сканировать только содержимое, к которому у него есть доступ. Однако пользователи хотели бы искать и ограниченный контент, чтобы авторизованные пользователи могли найти его в результатах поиска. Служба поиска использует политику "Чтение любых элементов" в веб-приложениях, чтобы предоставить поисковому модулю разрешения для чтения всего контента в них. Таким образом она может выполнять обход, а также индексировать весь существующий и будущий контент, даже тот, к которому у администратора нет явного доступа.

Другим примером может быть служба технической поддержки, которая нуждается в административном доступе к сайтам SharePoint Server, чтобы помочь пользователям. Для этого можно создать политику веб-приложения, предоставляющую сотрудникам службы поддержки разрешение "Полный доступ", чтобы у них был административный доступ ко всем текущим и будущим сайтам в веб-приложении.

Поскольку политики привязаны как к веб-приложениям, так и к их зонам, вы можете гарантировать, что политика, примененная к одной зоне, не будет влиять на другие зоны. Это может быть полезно, если контент предоставляется в корпоративной сети и в Интернете. Например, предположим, что вы предоставили службе поддержки разрешение "Полный доступ" для зоны веб-приложения, которая назначена корпоративной сети. Если кто-то попытается использовать эту учетную запись для доступа к сайту через Интернет, политика полного доступа не будет применяться, так как она определит, что URL-адрес находится в другой зоне. Таким образом, учетная запись не получит автоматически административный доступ к сайту.

Сопоставление альтернативного доступа и сопоставление с внешними ресурсами

SharePoint Server позволяет расширить возможности альтернативного сопоставления доступа к содержимому, которое не размещено в ферме SharePoint Server. Чтобы настроить эти возможности, откройте страницу Сопоставления для альтернативного доступа и нажмите кнопку Сопоставить с внешним ресурсом. Затем появится запрос на создание записи для внешнего ресурса, который можно представить как другое веб-приложение. После получения внешнего ресурса вы можете назначить ему различные URL-адреса и зоны так же, как и для других веб-приложений. Эта функция не используется в SharePoint Server, но ее могут использовать сторонние продукты, которые создаются на SharePoint Server.

Например, технология поиска в SharePoint Server может сканировать содержимое за пределами фермы, например общих папок и веб-сайтов. Если этот контент доступен по разным URL-адресам в различных сетях, поиск должен возвращать результаты с использованием соответствующих URL-адресов для текущей сети пользователя. При использовании технологии сопоставления с внешними ресурсами поиск может повторно сопоставлять внешние URL-адреса в результатах в соответствии с зоной пользователя.

См. также

Концепции

Настройка альтернативных сопоставлений доступа для SharePoint Server