Поделиться через

Общие сведения о Team Foundation Server

  • Статья

Для развертывания сервера Visual Studio Team Foundation Server и эффективного управления им необходимо понимать, как он работает и как взаимодействует с другими компонентами Team Foundation. Как администратор Team Foundation Server, вы должны быть знакомы с проверкой подлинности Windows, сетевыми протоколами и трафиком, а также со структурой бизнес-сети, в которой установлен Team Foundation Server. Также необходимо разбираться в группах и разрешениях Team Foundation Server. Знания о SQL Server, службах отчетов SQL Server и Продукты SharePoint тоже могут оказаться полезными при управлении Team Foundation Server.

Общие сведения о компонентах и терминах

Планирование, развертывание и управление Team Foundation Server улучшаются, если Вы знакомы с указанными ниже компонентами и терминами.

  • Уровень приложения, уровень данных, клиентский уровень: логические уровни, из которых состоит Team Foundation Server. Все эти уровни могут быть развернуты на одном физическом компьютере или могут быть распределены по нескольким компьютерам. Дополнительные сведения см. в разделах Примеры простой топологии, Примеры топологии средней сложности, Примеры сложной топологии и Архитектура Team Foundation Server.

  • Коллекция командных проектов: основное подразделение для всех данных в Team Foundation Server. Коллекции могут содержать один или несколько командных проектов. Дополнительные сведения см. в разделе Организация сервера с помощью коллекций командных проектов.

  • Командный проект: центральный элемент, с помощью которого координируются командные действия, необходимые для разработки определенной программной технологии или продукта. Командные проекты организуются в коллекции командных проектов. Дополнительные сведения см. в разделе Планирование и отслеживание проектов.

  • Консоль администрирования Team Foundation: централизованное средство управления для администраторов в Team Foundation Server. С помощью консоли администрирования можно управлять пользователями и разрешениями, создавать коллекции командных проектов и управлять ими, добавлять веб-приложения SharePoint, используемые для развертывания, и управлять ими, создавать виртуальные лаборатории и управлять ими, а также просматривать состояние сервера. Дополнительные сведения см. в разделе Консоль администрирования Team Foundation.

  • Учетные записи служб: учетная запись или учетные записи, используемые веб-службами или приложениями в Team Foundation. В Team Foundation Server учетные записи служб требуются для выполнения операций между серверами или веб-службами. Эти учетные записи служб должны удовлетворять определенным требованиям. Дополнительные сведения см. в разделе Учетные записи служб и зависимости между ними на сервере Team Foundation Server.

  • Продукты SharePoint: программное обеспечение, представляющее собой масштабируемую управляемую платформу для совместной работы и разработки веб-приложений для коммерческой сферы. В развертывание Team Foundation Server можно включить одно или несколько веб-приложений SharePoint. Чтобы включить одно из этих приложений, необходимо установить и настроить расширения Team Foundation Server для Продукты SharePoint, а также настроить разрешения во всем развертывании. Дополнительные сведения см. в разделах Добавление веб-приложения SharePoint в развертывание и Продукты SharePoint и Team Foundation Server.

  • Службы отчетов SQL Server и SQL Server: программное обеспечение, предоставляющее платформу баз данных для широкомасштабной обработки транзакций в реальном времени (OLTP), хранения данных и приложений электронной торговли. SQL Server также является платформой бизнес-аналитики для решений, обеспечивающих интеграцию данных, анализ данных и подготовку отчетов. Team Foundation Server хранит свои данные в базах данных SQL Server. При желании можно также использовать сервер с установленными службами отчетов SQL Server, который автоматически создает отчеты для командных проектов. Дополнительные сведения см. в разделах Архитектура Team Foundation Server и SQL Server и Team Foundation Server.

Понимание безопасности Team Foundation Server

Для оптимизации безопасности Team Foundation Server необходимо понимать следующие концепции.

  • Топология, которая включает в себя места и способы развертывания серверов, на которых работают компоненты Team Foundation; сетевой трафик, проходящий между Team Foundation Server и клиентами Team Foundation; а также службы, которые должны быть запущены на Team Foundation Server.

  • Проверка подлинности, включающая в себя определение допустимости пользователей, групп и служб в Team Foundation Server.

  • Авторизация, включающая определение, имеют ли существующие пользователи, группы и службы в Team Foundation Server соответствующие разрешения на выполнение определенных действий.

Также следует учитывать другие компоненты и службы, от которых зависит Team Foundation Server.

При рассмотрении безопасности Team Foundation Server необходимо понимать различие между проверкой подлинности и авторизацией. Проверка подлинности — это верификация учетных данных при попытке подключения клиента, сервера или процесса. Авторизация — это проверка наличия у удостоверения, которое пытается выполнить подключение, разрешений на доступ к объекту или методу. Авторизация происходит только после успешной проверки подлинности. Если проверка подлинности соединения не состоялась, оно завершается с ошибкой перед какой бы то ни было проверкой авторизации. Если проверка подлинности соединения выполнена успешно, определенное действие все равно может быть запрещено, так как пользователь или группа не имеют авторизации на его выполнение.

Топологии, порты и службы

Первым элементом развертывания и безопасности для Team Foundation Server является возможность подключения компонентов развертывания друг к другу для обмена данными. Целью является разрешение подключений между клиентами Team Foundation и Team Foundation Server, а также ограничение или предотвращение других попыток подключения.

Функционирование Team Foundation Server зависит от определенных портов и служб. Можно защитить и контролировать эти порты для обеспечения соответствия потребностям бизнеса в безопасности. Необходимо разрешить передачу сетевого трафик Team Foundation Server между клиентами Team Foundation, серверами, на которые установлены логические компоненты уровня приложений и уровня данных Team Foundation, компьютерами для Team Foundation Build и удаленными клиентами, использующими прокси-сервер Team Foundation Server. По умолчанию Team Foundation Server настроен на использование для веб-служб протокола HTTP. Полный список портов и служб, используемых сервером Team Foundation Server, и описание их использования в его архитектуре см. в разделе Архитектура Team Foundation Server.

Team Foundation Server можно развернуть в домене Active Directory или в рабочей группе. Active Directory содержит больше встроенных функций безопасности, чем рабочие группы. Функции Active Directory можно использовать для обеспечения безопасности развертывания сервера Team Foundation Server. Например, можно запретить в Active Directory дублирующиеся имена компьютеров, что помешает злонамеренному пользователю подменить имя компьютера фальшивым сервером, на котором работает сервер Team Foundation Server. Чтобы уменьшить подобную угрозу в рабочей группе, необходимо настроить сертификаты компьютеров.

Независимо от того, развертывается ли сервер Team Foundation Server в рабочей группе или в домене, необходимо соблюдать некоторые ограничения, накладываемые требованиями самого сервера Team Foundation Server. Дополнительные сведения о топологиях для сервера Team Foundation Server см. в разделах Примеры простой топологии, Примеры топологии средней сложности, Примеры сложной топологии, Взаимодействие продуктов SharePoint с сервером Team Foundation Server и Понимание сервера SQL и служб отчетов сервера SQL.

Проверка подлинности

Безопасность Team Foundation Server интегрирована со встроенными функциями безопасности и проверки подлинности операционной системы Windows и полагается на них. Интегрированную проверку подлинности Windows можно применять для проверки подлинности учетных записей подключений клиентов Team Foundation и Team Foundation Server, для веб-служб на серверах, на которых размещены логические уровни приложений и данных Team Foundation, и для подключений между самими серверами уровня приложений и уровня данных.

Примечание

Можно настроить Team Foundation Server на поддержку протокола Kerberos для взаимной проверки подлинности как клиента, так и сервера после установки Team Foundation Server.

Не следует настраивать какие-либо подключения баз данных SQL Server между Team Foundation Server и Продукты SharePoint на использование проверки подлинности SQL Server, так как обеспечиваемый ею уровень безопасности ниже, чем у проверки подлинности Windows. При подключении к базе данных имя пользователя и пароль для учетной записи администратора базы данных передаются в незашифрованном формате. Встроенная проверка подлинности Windows не передает имя пользователя и пароль. Вместо этого она передает на SQL Server идентификационную информацию об учетной записи службы, связанную с пулом приложений IIS, используя интегрированные протоколы безопасности для проверки подлинности Windows.

Авторизация

Авторизация Team Foundation Server основана на пользователях и группах в Team Foundation, а также на разрешениях, которые назначаются непосредственно этим пользователям и группам или же наследуются ими вследствие принадлежности к другим группам Team Foundation Server. Пользователи и группы в Team Foundation могут быть локальными пользователями или группами, пользователями и группами Active Directory или как теми, так и другими.

Team Foundation Server предварительно настроен с группами по умолчанию на уровне сервера, коллекции и проекта. Эти группы можно заполнить, добавив индивидуальных пользователей. Однако для упрощения управления их можно заполнить с помощью групп безопасности Active Directory. Этот подход позволяет более эффективно управлять членством в группах и разрешениями на нескольких компьютерах или в нескольких приложениях, таких как Продукты SharePoint и SQL Server.

Конкретное развертывание может потребовать настройки пользователей, групп и разрешений на нескольких компьютерах, а также в нескольких приложениях. Например, если в развертывание нужно включить отчеты и порталы проектов, необходимо настроить разрешения для пользователей и групп в службах отчетов, в Продукты SharePoint и в Team Foundation Server. В Team Foundation Server можно задавать разрешения для каждого проекта, для каждой коллекции и во всем развертывании (на уровне сервера). Кроме того, некоторые разрешения предоставляются по умолчанию любым пользователям или группам, добавленным в Team Foundation Server, так как они автоматически добавляются в группу Допустимые пользователи Team Foundation. Дополнительные сведения о настройке разрешений см. в разделе Управление разрешениями. Дополнительные сведения о пользователях и группах в Team Foundation Server см. в разделе Настройка пользователей, групп и разрешений.

Помимо настройки разрешений для авторизации в Team Foundation Server, может потребоваться авторизация в системе управления версиями и в рабочих элементах. Управление этими разрешениями осуществляется отдельно в командной строке, но они интегрированы в интерфейс Сред. Командный обозреватель.

См. также

Основные понятия

Архитектура Team Foundation Server

Настройка пользователей, групп и разрешений

Другие ресурсы

Управление разрешениями