Планирование проверки подлинности приложений в SharePoint Server
ОБЛАСТЬ ПРИМЕНЕНИЯ:
2013 2016 2019 Subscription Edition 
SharePoint в Microsoft 365
Аутентификация приложения это проверка удостоверения внешнего приложения приложение для SharePoint и авторизация приложения и пользователя, когда приложение запрашивает доступ к защищенному ресурсу SharePoint. Аутентификация приложения выполняется, когда внешний компонент приложения Магазин SharePoint или каталога Каталог приложений (например, веб-сервер), расположенный в интрасети или Интернете, пытается получить доступ к защищенному ресурсу SharePoint. Например, приложение для SharePoint, компонент которого выполняется в Microsoft Azure, является внешним приложением. Аутентификация приложения поддерживает новый набор функций и сценариев, которые позволяют приложениям включать данные из ресурсов SharePoint в обрабатываемые и отображаемые для пользователей результаты.
Для предоставления запрошенных ресурсов, которые содержит приложение для SharePoint, сервер SharePoint Server должен выполнить указанные ниже действия.
Убедиться, что запрашивающее приложение является доверенным.
Чтобы запрашивающее приложение могло пройти проверку подлинности, необходимо настроить сервер SharePoint Server на доверие приложению, отправляющему запросы. Это отношение доверия является односторонним.
Убедиться, что запрашиваемый приложением тип доступа авторизован.
Для авторизации доступа SharePoint Server использует набор разрешений приложения, определенный в файле манифеста приложения при его установке, а также разрешения, связанные с пользователем, от имени которого действует приложение. SharePoint Server также использует разрешения, предоставленные SPAppPrincipal при установлении доверия с помощью командлета PowerShell Set-SPAppPrincipalPermission .
Обратите внимание, что проверка подлинности приложений в SharePoint Server выполняется отдельно от проверки подлинности пользователей и не используется в качестве протокола единого входа пользователями SharePoint. Для проверки подлинности приложений используется протокол Open Authorization (OAuth) 2.0, который не добавляется в наборы протоколов проверки подлинности пользователя или единого входа, такие как WS-Federation. В SharePoint Server нет новых протоколов проверки подлинности пользователей. Проверка подлинности приложений и протокол OAuth не отображаются в списке поставщиков удостоверений.
Введение
Планирование проверки подлинности приложений включает в себя следующие задачи.
Определение набора отношений доверия, которые необходимо настроить для фермы SharePoint Server, соответствующих внешним приложениям, которые будут запрашивать доступ к ресурсам SharePoint.
Предоставление входящего доступа из внешних приложений, размещенных в Интернете.
Важно!
Веб-приложения, которые содержат конечные точки проверки подлинности приложений (для входящих запросов от приложений приложения для SharePoint), должны быть настроены на использование протокола SSL. Вы можете настроить OAuth в SharePoint Server таким образом, чтобы протокол SSL не требовался. Однако такая настройка рекомендуется только для оценки, упрощения настройки или создания среды разработки приложений.
Примечание.
Планирование проверки подлинности приложений для фермы SharePoint необходимо только при использовании одного или нескольких внешних приложений приложения для SharePoint, которым требуются ресурсы этой фермы.
Определение набора отношений доверия
Необходимо настроить ферму SharePoint на доверие маркерам доступа, соответствующим запросам ресурсов, которые отправляют следующие типы внешних приложений.
Приложения, размещенные поставщиком, работают на предназначенных для них серверах в Интернете или интрасети, регистрируются в Microsoft Azure и используют службу контроля доступа для получения токена доступа.
Для приложений, размещенных поставщиком, необходимо настроить ферму SharePoint на доверие экземпляру ACS приложения, размещенного у поставщика.
Приложения с высоким уровнем доверия, которые выполняются на отдельных серверах в интрасети и подписывают создаваемые маркеры доступа с помощью сертификата для подписи маркеров.
Приложения с высоким уровнем доверия используют протокол обмена данными между серверами для запроса ресурсов от лица пользователя. Для приложений с высоким уровнем доверия настройте в ферме SharePoint конечную точку метаданных JSON для сервера, размещающего приложение. Или же настройте отношение доверия вручную. Дополнительные сведения см. в статье Настройка проверки подлинности приложений в SharePoint Server.
Дополнительные сведения о приложениях с высоким уровнем доверия см. в этой статье.
Выбор методов проверки подлинности пользователей для локальных приложений
Локальное приложение размещается либо на ресурсе поставщика на локальном сервере, либо в SharePoint. В таблице 1 перечислены разные методы проверки подлинности пользователей SharePoint Server и указано, можно ли использовать эти методы для локальных приложений SharePoint Server.
Таблица 1. Методы проверки подлинности пользователей и их поддержка в локальных приложениях
| Метод проверки подлинности | Поддерживается в приложениях с размещением в SharePoint | Поддерживается в приложениях с размещением у поставщика |
|---|---|---|
| NTLM |
Да |
Да |
| Kerberos |
Да, но только если метод настроен для использования NTLM в качестве резервного метода проверки подлинности. Проверка подлинности с использованием только Kerberos не поддерживается. |
Да |
| Обычный |
Да |
Да |
| Анонимный доступ |
Да |
Да |
| Проверка подлинности на основе форм с использованием поставщика ASP.NET по умолчанию |
Да |
Да |
| Проверка подлинности на основе форм с использованием протокола LDAP |
Да |
Да |
| Проверка подлинности SAML |
Да, если поставщик удостоверений поддерживает подстановочные знаки, возвращает регистрацию url-адреса и учитывает параметр wreply . . Чтобы настроить SharePoint Server на использование параметра wreply, выполните следующие команды в окне командной строки Microsoft PowerShell: $p = Get-SPTrustedIdentityTokenIssuer$p.UseWReplyParameter = $true$p.Update()
> [! ПРИМЕЧАНИЕ]> Службы федерации Active Directory (AD FS) версии 2.0 не поддерживают подстановочные знаки для регистрации возвращаемого URL-адреса. |
Да |
Дополнительные сведения о способах проверки подлинности пользователей в SharePoint Server см. в статье Планирование способов проверки подлинности в SharePoint Server.
Предоставление входящего доступа из внешних приложений, размещенных в Интернете
Если внешние приложения, размещенные у поставщика, расположены в Интернете, необходимо настроить обратный веб-прокси для выполнения проверки подлинности приложения и запроса ресурсов из ферм SharePoint интрасети. Настроенный обратный веб-прокси на границе сети должен разрешать входящие подключения по протоколу HTTPS от приложений к фермам SharePoint. Определите URL-адреса, поддерживающие протокол HTTPS, к которым будут получать доступ внешние приложения, и настройте обратный прокси-сервер на публикацию этих URL-адресов и обеспечение необходимого уровня безопасности.
Рекомендации по работе с приложением-службой профилей пользователей
Приложения с высоким уровнем доверия создают собственные маркеры доступа, которые включают утверждение удостоверения пользователя, от имени которого они действуют. Сервер, на котором выполняется SharePoint Server и обслуживается запрос на входящий ресурс, должен иметь возможность разрешить запрос конкретному пользователю SharePoint, что называется процессом повторного создания удостоверения пользователя. Обратите внимание, что это отличается от проверки подлинности приложений, размещенных у поставщика, в которых пользователь идентифицируется, но не утверждается.
Для восстановления удостоверения пользователя сервер SharePoint Server извлекает утверждение из входящего маркера доступа и разрешает его до конкретного пользователя SharePoint. По умолчанию SharePoint Server использует для разрешения удостоверений встроенное приложение-службу профилей пользователей.
Ниже перечислены ключевые атрибуты пользователя, используемые для восстановления удостоверения.
Идентификатор безопасности Windows (ИД безопасности)
Имя участника-пользователя доменных служб Active Directory
SMTP-адрес
Адрес SIP
Приложение должно содержать хотя бы один из этих атрибутов пользователя и этот атрибут должен существовать в профилях пользователей. Рекомендуется периодически синхронизировать приложение-службу профилей пользователей с хранилищами удостоверений.
Кроме того, для каждого поискового запроса сервер SharePoint Server должен получить из приложения-службы профилей пользователей только одну запись, соответствующую одному или нескольким из этих четырех атрибутов. В противном случае она возвращает ошибку и сообщает, что найдено несколько профилей пользователей. Чтобы избежать появления этой ошибки, необходимо периодически удалять устаревшие профили из приложения-службы профилей пользователей.
Если профиль пользователя существует, но необходимые группы не синхронизированы, пользователь может получить отказ в доступе к ресурсу, несмотря на наличие необходимых разрешений. Поэтому следует обеспечить синхронизацию групп с приложением-службой профилей пользователей.