Планирование проверки подлинности приложений в SharePoint Server

ПРИМЕНЯЕТСЯ К: yes-img-132013 yes-img-162016 yes-img-192019 yes-img-seпо подписке no-img-sopSharePoint в Microsoft 365

Аутентификация приложения это проверка удостоверения внешнего приложения приложение для SharePoint и авторизация приложения и пользователя, когда приложение запрашивает доступ к защищенному ресурсу SharePoint. Аутентификация приложения выполняется, когда внешний компонент приложения Магазин SharePoint или каталога Каталог приложений (например, веб-сервер), расположенный в интрасети или Интернете, пытается получить доступ к защищенному ресурсу SharePoint. Например, приложение для SharePoint, компонент которого выполняется в Microsoft Azure, является внешним приложением. Аутентификация приложения поддерживает новый набор функций и сценариев, которые позволяют приложениям включать данные из ресурсов SharePoint в обрабатываемые и отображаемые для пользователей результаты.

Для предоставления запрошенных ресурсов, которые содержит приложение для SharePoint, сервер SharePoint Server должен выполнить указанные ниже действия.

  • Убедиться, что запрашивающее приложение является доверенным.

    Чтобы запрашивающее приложение могло пройти проверку подлинности, необходимо настроить сервер SharePoint Server на доверие приложению, отправляющему запросы. Это отношение доверия является односторонним.

  • Убедиться, что запрашиваемый приложением тип доступа авторизован.

    Для авторизации доступа SharePoint Server использует набор разрешений приложения, определенный в файле манифеста приложения при его установке, а также разрешения, связанные с пользователем, от имени которого действует приложение. SharePoint Server также использует разрешения, предоставленные объекту SPAppPrincipal при установке отношения доверия с помощью командлета PowerShell Set-SPAppPrincipalPermission.

Обратите внимание, что проверка подлинности приложений в SharePoint Server выполняется отдельно от проверки подлинности пользователей и не используется в качестве протокола аутентификации единого входа пользователями SharePoint. Для проверки подлинности приложений используется протокол Open Authorization (OAuth) 2.0, который не добавляется в наборы протоколов проверки подлинности пользователя или единого входа, таких как WS-Federation. В SharePoint Server нет новых протоколов проверки подлинности пользователей. Проверка подлинности приложений и протокол OAuth не отображаются в списке поставщиков удостоверений.

Введение

Планирование проверки подлинности приложений включает в себя следующие задачи.

  • Определение набора отношений доверия, которые необходимо настроить для фермы SharePoint Server, соответствующих внешним приложениям, которые будут запрашивать доступ к ресурсам SharePoint.

  • Предоставление входящего доступа из внешних приложений, размещенных в Интернете.

Важно!

Веб-приложения, которые содержат конечные точки проверки подлинности приложений (для входящих запросов от приложений приложения для SharePoint), должны быть настроены на использование протокола SSL. Вы можете настроить OAuth в SharePoint Server таким образом, чтобы протокол SSL не требовался. Однако такая настройка рекомендуется только для оценки, упрощения настройки или создания среды разработки приложений.

Примечание

Планирование проверки подлинности приложений для фермы SharePoint необходимо только при использовании одного или нескольких внешних приложений приложения для SharePoint, которым требуются ресурсы этой фермы.

Определение набора отношений доверия

Необходимо настроить ферму SharePoint на доверие маркерам доступа, соответствующим запросам ресурсов, которые отправляют следующие типы внешних приложений.

  • Приложения, размещенные поставщиком, работают на предназначенных для них серверах в Интернете или интрасети, регистрируются в Microsoft Azure и используют службу контроля доступа для получения токена доступа.

    Для приложений, размещенных поставщиком, необходимо настроить ферму SharePoint на доверие экземпляру ACS приложения, размещенного у поставщика.

  • Приложения с высоким уровнем доверия, которые выполняются на отдельных серверах в интрасети и подписывают создаваемые маркеры доступа с помощью сертификата для подписи маркеров.

    Приложения с высоким уровнем доверия используют протокол обмена данными между серверами для запроса ресурсов от имени пользователя. Для приложений с высоким уровнем доверия настройте в ферме SharePoint конечную точку метаданных в нотации объектов JavaScript (JSON) для сервера, на котором размещается приложение. Или же настройте отношение доверия вручную. Дополнительные сведения см. в этой статье.

    Дополнительные сведения о приложениях с высоким уровнем доверия см. в этой статье.

Выбор методов проверки подлинности пользователей для локальных приложений

Локальное приложение размещается либо на ресурсе поставщика на локальном сервере, либо в SharePoint. В таблице 1 перечислены разные методы проверки подлинности пользователей SharePoint Server и указано, можно ли использовать эти методы для локальных приложений SharePoint Server.

Таблица 1. Методы проверки подлинности пользователей и их поддержка в локальных приложениях

Метод проверки подлинности Поддерживается в приложениях с размещением в SharePoint Поддерживается в приложениях с размещением у поставщика
NTLM
Да
Да
Kerberos
Да, но только если метод настроен для использования NTLM в качестве резервного метода проверки подлинности. Проверка подлинности с использованием только Kerberos не поддерживается.
Да
Обычный
Да
Да
Анонимный доступ
Да
Да
Проверка подлинности на основе форм с использованием поставщика ASP.NET по умолчанию
Да
Да
Проверка подлинности на основе форм с использованием протокола LDAP
Да
Да
Проверка подлинности SAML
Да, если поставщик удостоверений поддерживает регистрацию URL-адресов возврата с подстановочными знаками и учитывает параметр wreply.
Чтобы настроить SharePoint Server на использование параметра wreply, выполните следующие команды в окне командной строки Microsoft PowerShell:
$p = Get-SPTrustedIdentityTokenIssuer$p.UseWReplyParameter = $true$p.Update()> [!NOTE]> Службы федерации Active Directory (AD FS) версии 2.0 не поддерживают подстановочные знаки при регистрации URL-адресов возврата.
Да

Дополнительные сведения о способах проверки подлинности пользователей в SharePoint Server см. в статье Планирование способов проверки подлинности в SharePoint Server.

Предоставление входящего доступа из внешних приложений, размещенных в Интернете

Если внешние приложения, размещенные у поставщика, расположены в Интернете, необходимо настроить обратный веб-прокси для выполнения проверки подлинности приложения и запроса ресурсов из ферм SharePoint интрасети. Настроенный обратный веб-прокси на границе сети должен разрешать входящие подключения по протоколу HTTPS от приложений к фермам SharePoint. Определите URL-адреса, поддерживающие протокол HTTPS, к которым будут получать доступ внешние приложения, и настройте обратный прокси-сервер на публикацию этих URL-адресов и обеспечение необходимого уровня безопасности.

Рекомендации по работе с приложением-службой профилей пользователей

Приложения с высоким уровнем доверия создают собственные маркеры доступа, которые содержат проверочное утверждение удостоверения пользователя, от имени которого они действуют. Сервер SharePoint Server, обслуживающий входящие запросы ресурсов, должен разрешать запросы к конкретным пользователям SharePoint. Этот процесс называется восстановлением удостоверения пользователя. Обратите внимание, что этот процесс отличается от проверки подлинности приложений, размещенных у поставщика, где пользователь определяется, но не подтверждается.

Для восстановления удостоверения пользователя сервер SharePoint Server извлекает утверждение из входящего маркера доступа и разрешает его до конкретного пользователя SharePoint. По умолчанию SharePoint Server использует для разрешения удостоверений встроенное приложение-службу профилей пользователей.

Ниже перечислены ключевые атрибуты пользователя, используемые для восстановления удостоверения.

  • Идентификатор безопасности Windows (ИД безопасности)

  • Имя участника-пользователя доменных служб Active Directory

  • SMTP-адрес

  • Адрес SIP

Приложение должно содержать хотя бы один из этих атрибутов пользователя и этот атрибут должен существовать в профилях пользователей. Рекомендуется периодически синхронизировать приложение-службу профилей пользователей с хранилищами удостоверений.

Кроме того, для каждого поискового запроса сервер SharePoint Server должен получить из приложения-службы профилей пользователей только одну запись, соответствующую одному или нескольким из этих четырех атрибутов. В противном случае она возвращает ошибку и сообщает, что найдено несколько профилей пользователей. Чтобы избежать появления этой ошибки, необходимо периодически удалять устаревшие профили из приложения-службы профилей пользователей.

Если профиль пользователя существует, но необходимые группы не синхронизированы, пользователь может получить отказ в доступе к ресурсу, несмотря на наличие необходимых разрешений. Поэтому следует обеспечить синхронизацию групп с приложением-службой профилей пользователей.

См. также

Понятия

Обзор проверки подлинности для SharePoint Server