Создание веб-приложения, использующего проверку подлинности на основе утверждений Windows (SharePoint Server 2010)

 

Последнее изменение раздела: 2016-11-30

В этой статье описывается создание веб-приложения, использующего проверку подлинности на основе утверждений Windows.

Совет

Если вместо проверки подлинности на основе утверждений Windows требуется использовать классический режим проверки подлинности Windows, см. раздел Создание веб-приложения, использующего классическую проверку подлинности Windows (SharePoint Server 2010).

Перед выполнением этой процедуры убедитесь в выполнении перечисленных ниже условий.

• В системе запущена версия Microsoft SharePoint Server 2010.

• Вы разработали логическую архитектуру. Дополнительные сведения см. в статье Компоненты логической архитектуры (SharePoint Server 2010).

• Проверка подлинности для веб-приложения спланирована. Дополнительные сведения см. в разделах Планирование способов проверки подлинности (SharePoint Server 2010), Планирование реализации проверки подлинности Kerberos (SharePoint Server 2010) и Выбор групп безопасности (SharePoint Server 2010).

• Вы выбрали приложения-службы, которые требуется использовать для веб-приложения. Дополнительные сведения см. в статье Service application and service management (SharePoint Server 2010).

• Если используется протокол SSL, необходимо сопоставить сертификат SSL с веб-сайтом IIS веб-приложения после создания этого веб-сайта IIS. Дополнительные сведения о настройке SSL см. в статье, посвященной настройке SSL в IIS 7.0 (Возможно, на английском языке) (https://go.microsoft.com/fwlink/?linkid=187887&clcid=0x419) (Возможно, на английском языке).

• Вы прочитали материал о сопоставлениях для альтернативного доступа.

• Если в Windows включен контроль учетных записей, а для создания веб-приложения используется Windows PowerShell 2,0, необходимо щелкнуть командную консоль SharePoint 2010 правой кнопкой мыши и выбрать пункт Запуск от имени администратора.

Для создания веб-приложения можно использовать веб-сайт центра администрирования SharePoint или Windows PowerShell. Обычно для создания веб-приложения используется центр администрирования. Если необходимо автоматизировать эту задачу, что часто требуется на предприятиях, используйте Windows PowerShell. После завершения указанной процедуры для созданного веб-приложения можно создать одно или несколько семейств сайтов.

Создание веб-приложения, использующего проверку подлинности на основе утверждений Windows, с помощью центра администрирования

1. Проверьте наличие следующих административных учетных данных.

   • Чтобы создать веб-приложение, на компьютере с запущенным центром администрирования необходимо быть членом группы SharePoint "Администраторы фермы" и локальной группы "Администраторы".

2. В разделе Управление приложениями на домашней странице веб-сайта центра администрирования выберите пункт Управление веб-приложениями.

3. Нажмите кнопку Создать на ленте.

4. На странице "Создание веб-приложения" в разделе Проверка подлинности щелкните Проверка подлинности на основе утверждений.

5. В разделе Веб-сайт IIS можно выполнить настройку нового веб-приложения, выбрав один из двух следующих параметров.

   • Щелкните элемент Use an existing web site (Использовать существующий веб-сайт) и выберите веб-сайт, на котором нужно установить новое веб-приложение.

   • Щелкните элемент Создать веб-сайт IIS и введите имя веб-сайта в поле Имя.

6. В разделе Веб-сайт IIS в поле Порт вводится номер порта, который будет использоваться для доступа к этому веб-приложению. В случае создания нового веб-сайта в этом окне отображается случайный номер порта. А при использовании существующего веб-сайта в данном окне отображается текущий номер порта.

   Примечание

   Номер порта по умолчанию для доступа по протоколу HTTP — 80, а номер порта по умолчанию для доступа по протоколу HTTPS — 443. Чтобы пользователи получали доступ к приложению без ввода номера порта, необходимо использовать соответствующий номер порта по умолчанию.

7. Необязательно. В разделе Веб-сайт IIS введите в поле Заголовок узла имя узла (например, www.contoso.com), которое будет использоваться для доступа к веб-приложению.

   Примечание

   Обычно это поле заполняется только при необходимости настройки двух и более сайтов IIS, использующих один номер порта на одном сервере, если DNS настроен так, что запросы передаются на один сервер.

8. В разделе Веб-сайт IIS введите в поле Веб-сайт IIS путь к домашнему каталогу веб-сайта IIS на сервере. При создании нового сайта в этом поле отображается предлагаемый путь. При использовании существующего сайта в нем отображается текущий путь.

9. В разделе Настройка безопасности укажите, требуется ли разрешить анонимный доступ и использовать протокол SSL.

   1. В разделе Разрешить анонимный доступ выберите Да или Нет. При разрешении анонимного доступа к веб-странице можно получить анонимный доступ с использованием учетной записи анонимного доступа, зависящей от компьютера (то есть, IIS_IUSRS).

      Примечание

      Чтобы пользователи могли получать анонимный доступ к любому контенту сайта, необходимо разрешить анонимный доступ ко всей зоне веб-приложения перед разрешением анонимного доступа на уровне сайта SharePoint; позднее владельцы сайтов смогут настроить использование анонимного доступа на своих сайтах. Если анонимный доступ не был включен на уровне веб-приложения, то его нельзя включить на уровне сайта. Дополнительные сведения см. в статье Выбор групп безопасности (SharePoint Server 2010).

   2. В разделе Использовать SSL щелкните Да или Нет. Если для веб-сайта был выбран протокол SSL, необходимо настроить SSL, запросив и установив сертификат SSL. Дополнительные сведения о настройке SSL см. в статье, посвященной настройке SSL в IIS 7.0 (Возможно, на английском языке) (https://go.microsoft.com/fwlink/?linkid=187887&clcid=0x419) (Возможно, на английском языке).

10. В разделе Типы проверки подлинности на основе утверждений выберите проверку подлинности, которую необходимо использовать для веб-приложения.

    1. Если необходимо разрешить проверку подлинности Windows, выберите Включить проверку подлинности Windows и выберите значение Согласование (Kerberos) или NTLM в раскрывающемся меню. Дополнительные сведения см. в статье Планирование реализации проверки подлинности Kerberos (SharePoint Server 2010).

       Если использовать встроенную проверку подлинности Windows не требуется, снимите флажок Встроенная проверка подлинности Windows.

       Если требуется передавать учетные данные пользователя по сети в незашифрованной форме, выберите Простая проверка подлинности (незашифрованный пароль).

       Примечание

       Можно выбрать обычную проверку подлинности, встроенную проверку подлинности Windows или оба варианта. Если выбрать оба варианта проверки, SharePoint Server 2010 будет предлагать браузеру клиента оба типа проверки подлинности. Выбор типа проверки подлинности будет выполнять браузер. Если выбрана только основная проверка подлинности, не забудьте включить SSL; в противном случае учетные данные могут быть перехвачены злоумышленником.

    2. Если требуется включить проверку подлинности на основе форм, выберите Разрешить проверку подлинности на основе форм (FBA), а затем введите имя поставщика контроля членства и имя управляющего ролями в соответствующих полях.

       Дополнительные сведения см. в разделе Настройка проверки подлинности на основе форм для веб-приложения на основе утверждений (SharePoint Server 2010).

       Примечание

       При выборе данного параметра убедитесь, что протокол SSL включен, в противном случае учетные данные могут быть перехвачены пользователем-злоумышленником.

    3. Если в Windows PowerShell настроена проверка подлинности с помощью надежного поставщика удостоверений, в поле Доверенный поставщик удостоверений будет установлен флажок.

       Дополнительные сведения см. в разделе Настройка проверки подлинности с помощью маркера безопасности SAML (SharePoint Server 2010).

    Можно использовать один или несколько механизмов проверки подлинности на основе утверждений. Дополнительные сведения см. в разделе Планирование способов проверки подлинности (SharePoint Server 2010).

11. В разделе URL-адрес страницы входа выберите один из следующих параметров для входа в SharePoint Server 2010:

    • Чтобы пользователи автоматически перенаправлялись на страницу проверки подлинности на основе утверждений, заданную по умолчанию, установите флажок Использовать URL-адрес страницы входа по умолчанию.

    • Чтобы пользователи автоматически перенаправлялись на страницу проверки подлинности на основе утверждений, заданную по умолчанию, установите флажок Использовать настраиваемый URL-адрес страницы входа и введите URL-адрес входа.

12. В разделе Общедоступный URL-адрес введите URL-адрес, соответствующий имени домена всех сайтов, доступ к которым пользователи будут осуществлять в этом веб-приложении. Этот URL-адрес используется в качестве основного URL-адреса в ссылках, отображаемых на страницах в веб-приложении. URL-адрес по умолчанию представляет собой текущее имя и порт сервера и автоматически обновляется для соответствия текущим параметрам SSL, заголовка узла и номера порта на странице. Если развертывание SharePoint Server 2010 выполняется в области действия сервера балансировки нагрузки или прокси-сервера, может потребоваться, чтобы этот URL-адрес отличался от параметров SSL, заголовка узла и номера порта на данной странице.

    Поле Зона автоматически принимает значение По умолчанию для нового веб-приложения.

    Примечание

    При расширении веб-приложения можно изменить зону. Дополнительные сведения см. в статье Расширение веб-приложения (SharePoint Server 2010).

13. В разделе Пул приложений выполните одно из следующих действий:

    • Щелкните элемент Использовать существующий пул приложений и выберите в раскрывающемся меню пул приложений, который будет использоваться.

    • Щелкните элемент Создать новую группу приложений, а затем введите имя нового пула приложений или сохраните имя по умолчанию.

    Дополнительные сведения см. в статье Компоненты логической архитектуры (SharePoint Server 2010).

14. В разделе Выберите учетную запись безопасности для этого пула приложений выполните одно из следующих действий:

    • Щелкните элемент Встроенная, чтобы использовать предварительно определенную учетную запись безопасности, а затем выберите учетную запись безопасности в раскрывающемся меню.

    • Щелкните Настраиваемую, чтобы указать новую учетную запись безопасности, которую необходимо использовать для существующего пула приложений.

    Примечание

    Можно создать новую учетную запись, щелкнув ссылку Регистрация новой управляемой учетной записи.

15. В разделе Имя базы данных и режим проверки подлинности выберите сервер базы данных, имя базы данных и метод проверки подлинности для нового веб-приложения, как описано в следующей таблице.

    Элемент	Действие
    Сервер базы данных	Введите имя сервера базы данных и экземпляр сервера Microsoft SQL Server, которые будут использоваться, в формате <ИМЯ_СЕРВЕРА\экземпляр>. Также можно использовать запись по умолчанию.
    Имя базы данных	Введите имя базы данных или воспользуйтесь записью по умолчанию.
    Проверка подлинности для базы данных	Выберите метод проверки подлинности для базы данных, выполнив одну из описанных процедур. Если нужно использовать проверку подлинности Windows, выберите этот параметр. Этот вариант является рекомендованным, поскольку при проверке подлинности Windows пароль автоматически шифруется при подключении к серверу SQL Server. Чтобы использовать проверку подлинности SQL, щелкните Проверка подлинности SQL. В поле Учетная запись введите имя учетной записи, которую веб-приложение будет использовать для проверки подлинности при входе в базу данных SQL Server, а затем введите пароль в поле Пароль. Примечание При проверке подлинности SQL отправляет пароль на сервер SQL Server в зашифрованном виде. Если вы используете шифрование при передаче данных на сервер SQL Server или шифрование сетевого трафика с помощью IPsec, рекомендуется использовать только проверку подлинности SQL.

    16. Если используется зеркальное отображение базы данных, в разделе Сервер для отработки отказа в поле Сервер базы данных для отработки отказа введите имя определенного сервера базы данных для отработки отказа, который требуется сопоставить с базой данных контента.

    17. В разделе Подключения к приложениям-службам выберите подключения к приложениям-службам, которые будут доступны веб-приложению. В раскрывающемся меню выберите пункт по умолчанию или настройка. Параметр настройка позволяет выбрать подключения к приложениям-службам, которые требуется использовать совместно с веб-приложением.

    18. В разделе Программа улучшения качества ПО щелкните Да или Нет.

    19. Нажмите кнопку ОК для создания нового веб-приложения.

    Создание веб-приложения, использующего проверку подлинности на основе утверждений Windows, с помощью Windows PowerShell

    1. Проверьте, выполняются ли следующие минимальные требования: См. статью Add-SPShellAdmin.. Вы также должны иметь права локального администратора на компьютере, на котором выполняется Windows PowerShell. Кроме того, некоторые процедуры требуют участия в фиксированных ролях сервера SQL Server dbcreator и securityadmin.

    2. В меню Пуск выберите пункт Все программы.

    3. Выберите пункт Продукты Microsoft SharePoint 2010.

    4. Щелкните компонент Командная консоль SharePoint 2010.

    5. Чтобы создать поставщика проверки подлинности на основе утверждений Windows, введите следующую команду в командной строке Windows PowerShell:

       $ap = New-SPAuthenticationProvider
       

       Чтобы создать веб-приложение, использующее проверку подлинности на основе утверждений Windows, введите следующую команду в командной строке Windows PowerShell:

       $wa = New-SPWebApplication -Name <ClaimsWindowsWebApplication> -ApplicationPool <ClaimsApplicationPool> -ApplicationPoolAccount <ClaimsApplicationPoolAccount> -URL <URL> -Port <Port> -AuthenticationProvider $ap
       

       Примечание

       Рекомендуется, чтобы учетная запись пула приложений была управляемой учетной записью в ферме серверов.

       Здесь:

       • <Name> — имя нового веб-приложения, использующего проверку подлинности на основе утверждений Windows.

       • <ApplicationPool> — имя пула приложений.

       • <ApplicationPoolAccount> — учетная запись пользователя, от имени которого будет выполняться данный пул приложений.

       • <URL> — общедоступный URL-адрес для веб-приложения.

       • <Port> — номер порта, на которым в IIS будет создано веб-приложение.

         Пример

         $ap = New-SPAuthenticationProvider
         
         $wa = New-SPWebApplication -Name "Contoso Internet Site" -ApplicationPool "ContosoAppPool" -ApplicationPoolAccount (Get-SPManagedAccount "DOMAIN\jdoe") -URL "https://www.contoso.com" -Port 80 -AuthenticationProvider $ap
         

    Дополнительные сведения см. в статьях New-SPWebApplication и New-SPAuthenticationProvider.

    Примечание

    Для выполнения административных задач из командной строки мы рекомендуем использовать Windows PowerShell. Программа командной строки Stsadm является устаревшей, однако она добавлена для совместимости с предыдущими версиями продукта.

    See Also

    Concepts

    Расширение веб-приложения (SharePoint Server 2010)
    Создание семейства сайтов (Office SharePoint Server)
    Настройка проверки подлинности на основе форм для веб-приложения на основе утверждений (SharePoint Server 2010)
    Настройка проверки подлинности с помощью маркера безопасности SAML (SharePoint Server 2010)
    Создание веб-приложения, использующего классическую проверку подлинности Windows (SharePoint Server 2010)

    Other Resources

    Настройка безопасности веб-сервера (IIS 7)