Проверка подлинности, авторизация и безопасность в SharePoint
Новые возможности SharePoint для проверки подлинности, авторизации и безопасности
Ниже приведены некоторые улучшения, добавленные в SharePoint:
Вход пользователей
SharePoint по-прежнему поддерживает как утверждения, так и классические режимы проверки подлинности. Проверка подлинности утверждений — это вариант проверки подлинности по умолчанию в SharePoint. Проверка подлинности в классическом режиме является устаревшей и может управляться только с помощью Windows PowerShell. Для многих функций в SharePoint требуется режим утверждений.
Метод MigrateUsers из SharePoint 2010 не рекомендуется для миграции учетных записей. Чтобы перенести учетные записи, используйте новый командлет Windows PowerShell с именем
Convert-SPWebApplication. Дополнительные сведения см. в статье Переход с классического режима на проверку подлинности на основе утверждений в SharePoint.Требование регистрации поставщиков утверждений устранено. Однако необходимо предварительно настроить тип утверждений. Вы можете выбрать символы для типа утверждения, и порядок типов утверждений не применяется.
SharePoint отслеживает файлы cookie FedAuth в новой службе распределенного кэша с помощью кэширования Windows Server AppFabric.
Расширенные возможности ведения журнала помогают устранить проблемы с проверкой подлинности.
Проверка подлинности служб и приложений
В SharePoint теперь можно создавать приложения для SharePoint. Надстройка SharePoint имеет собственное удостоверение и связано с субъектом безопасности, который называется субъектом приложения. Так же как пользователи и группы, субъект приложения имеет определенные разрешения и права.
В SharePoint служба маркеров безопасности предоставляет маркеры доступа для проверки подлинности по протоколу S2S. Эта служба обеспечивает временный доступ к другим службам приложения, например Exchange Server 2013 и Microsoft Lync 2013, а также приложениям для SharePoint.
Проверка подлинности и авторизация
SharePoint поддерживает безопасность доступа пользователей на уровне веб-сайта, списка, папки списка или библиотеки и элемента. Управление безопасностью осуществляется на основе ролей на всех уровнях, обеспечивая согласованное управление безопасностью в масштабе всей платформы SharePoint с помощью единообразного пользовательского интерфейса на основе ролей и объектной модели для назначения разрешений в объектах. В результате в системе безопасности на уровне списка, папки или элемента реализована та же пользовательская модель, что и в системе безопасности на уровне веб-сайта, упрощая управление правами пользователей и групп в масштабе веб-сайта. SharePoint также поддерживает уникальные разрешения для папок и элементов, находящихся внутри списков и библиотек документов.
Примечание.
Сведения об авторизации, связанной с надстройками SharePoint, см. в статье Авторизация и проверка подлинности надстроек SharePoint.
Авторизацией называется процесс, посредством которого SharePoint обеспечивает безопасность веб-сайтов, списков, папок или элементов с помощью определения того, какие пользователи могут выполнять отдельные действия над данным объектом. Процесс авторизации предполагает, что пользователь уже прошел проверку подлинности, которая является процессом, посредством которого SharePoint идентифицирует текущего пользователя. В SharePoint не реализована собственная система проверки подлинности или управления удостоверениями, но используются внешние системы проверки подлинности (Microsoft Windows или другие).
SharePoint поддерживает следующие типы проверки подлинности:
Windows: поддерживаются все службы IIS и параметры интеграции проверки подлинности Windows, включая обычную проверку подлинности, дайджест-проверку подлинности подпись, сертификаты, NTLM и Kerberos. Проверка подлинности Windows позволяет службам IIS выполнять проверку подлинности для SharePoint.
Сведения о входе в SharePoint с помощью режима утверждений Windows см. в статье Входящие утверждения: вход в SharePoint.
Важно!
Сведения о задержке олицетворения см. в статье Устранение задержки олицетворения вызывающего пользователя.
Формы ASP.NET: поддерживается система управления удостоверениями, не относящаяся к Windows, в которой используется подключаемая система проверки подлинности на основе форм ASP.NET. Этот режим позволяет SharePoint работать с разными системами управления удостоверениями, включая внешне определенные группы или роли, такие как протокол LDAP и упрощенные системы управления удостоверениями базы данных. Проверка подлинности на основе форм позволяет платформе ASP.NET выполнять проверку подлинности для SharePoint, часто включая перенаправление на страницу входа. В SharePoint формы ASP.NET поддерживаются только в режиме проверки подлинности на основе утверждений. Поставщик форм должен быть зарегистрирован в веб-приложении, в котором настроена работа с утверждениями.
Сведения о входе в SharePoint с помощью ASP.NET членства и пассивного входа ролей см. в статье Входящие утверждения: вход в SharePoint.
Примечание.
SharePoint не поддерживает работу с поставщиком членства с учетом регистра. SharePoint использует хранилище SQL без учета регистра для всех пользователей в базе данных независимо от поставщика членства.
Удостоверение и проверка подлинности на основе утверждений
Удостоверение, основанное на утверждениях, это модель удостоверений в SharePoint, поддерживающая такие возможности, как проверка подлинности пользователей систем на базе Windows и других ОС, несколько типов проверки подлинности, надежная проверка подлинности в режиме реального времени, широкий спектр типов участников и делегирование удостоверений пользователей между приложениями.
Когда пользователь входит в SharePoint, его маркер проверяется и затем используется для входа в SharePoint. Маркер пользователя это маркер безопасности, который выдается поставщиком утверждений. Поддерживаются такие режимы входа или доступа:
режим утверждений Windows (по умолчанию);
режим пассивного входа SAML;
пассивный вход на основе членства и роли ASP.NET;
Вход на основе классического режима Windows (не рекомендуется в этой версии)
Примечание.
Дополнительные сведения о входе в SharePoint и различных режимах входа см. в статье Входящие утверждения: Вход в SharePoint.
При создании утверждения приложения пользователь представляет удостоверения для приложения как набор утверждений. Одно утверждение может быть именем пользователя, другое адресом электронной почты. Идея заключается в том, что внешняя система управления удостоверениями передает приложению все необходимые ему данные о пользователе вместе с каждым запросом наряду с криптографическим подтверждением того, что данные удостоверения, полученные приложением, поступают из надежного источника.
С этой моделью проще обеспечить единый вход и освободить ваше приложение от выполнения таких задач, как:
проверка подлинности пользователей;
хранение пользовательских учетных записей и паролей;
обращение в каталог предприятия для поиска данных об удостоверении пользователя;
интеграция с системами удостоверений других платформ и компаний.
В этой модели ваше приложение принимает решения, связанные с удостоверениями, на основе утверждений, предоставленных пользователем. Такие решения могут варьироваться от простого использования имени пользователя в приложении, до разрешения пользователю обращаться к важным функциям и ресурсам приложения.
Примечание.
Дополнительные сведения об удостоверениях на основе утверждений и поставщиках утверждений см. в разделах Удостоверение на основе утверждений и основные понятия в SharePoint и Поставщик утверждений в SharePoint.
Проверка подлинности на основе форм
Проверка подлинности на основе форм обеспечивает настраиваемое управление удостоверениями в SharePoint, добавляя поставщика членства, который определяет интерфейсы для идентификации и проверки подлинности отдельных пользователей, и диспетчера ролей, который определяет интерфейсы для группирования отдельных пользователей в логические группы или роли. В SharePoint поставщик членства должен реализовать необходимый метод System.Web.Security.Membership.ValidateUser . По имени пользователя система поставщика ролей возвращает список ролей, которым принадлежит пользователь.
Поставщик членства отвечает за проверку учетных данных с помощью метода System.Web.Security.Membership.ValidateUser (требуется в SharePoint). Но фактический маркер пользователя создается службой маркеров безопасности. Она создает маркер пользователя на основе имени пользователя, подтвержденного поставщиком членства, и сведений о членстве в группах, связанных с именем пользователя, которые предоставляются поставщиком членства.
Примечание.
Дополнительные сведения о STS см. в статье Удостоверения на основе утверждений и основные понятия в SharePoint.
Диспетчер ролей необязателен. Так, если пользовательская система проверки подлинности не поддерживает группы, то диспетчер ролей не требуется. SharePoint поддерживает один поставщик членства и один диспетчер ролей для каждой зоны URL-адресов ( SPUrlZone ). Роли форм ASP.NET не наследуют связанные с ними права. Вместо этого SharePoint назначает права ролям форм через политики и авторизацию. В SharePoint проверка подлинности на основе форм интегрирована с моделью удостоверений на основе утверждений. Если требуется обойти ограничение на одного поставщика ролей для одной зоны URL-адресов, можно воспользоваться поставщиками утверждений.
Примечание.
Дополнительные сведения об удостоверениях на основе утверждений и поставщиках утверждений см. в разделах Удостоверение на основе утверждений и основные понятия в SharePoint и Поставщик утверждений в SharePoint.
В ASP.NET членства и ролей пассивный вход входа в происходит путем перенаправления клиента на веб-страницу, где размещены элементы управления ASP.NET в журнал. После создания объекта identity, представляющего удостоверение пользователя, SharePoint преобразует его в объект ClaimsIdentity (который представляет представление пользователя на основе утверждений).
Примечание.
Дополнительные сведения о входе в SharePoint см. в статье Входящие утверждения: вход в SharePoint.
SharePoint использует стандартный интерфейс поставщика ролей ASP.NET для сбора сведений о группах текущего пользователя. Для проверки подлинности нет разницы между ролями и группами: это способ группирования пользователей в логические наборы для авторизации. Каждая роль ASP.NET обрабатывается службами SharePoint как доменная группа.
Дополнительные сведения о подключаемой платформе проверки подлинности, которую обеспечивает ASP.NET, см. в документации для разработчиков ASP.NET.
Примечание.
Дополнительные сведения о проверке подлинности на основе форм см. в разделе Проверка подлинности на основе форм в продуктах и технологиях SharePoint (часть 1): введение.