Team Foundation Server 概念
若要有效地部署和管理 Visual Studio Team Foundation Server,必须了解其工作方式以及与 Team Foundation 的其他组件通信的方式。 作为 Team Foundation Server 的管理员,应熟悉 Windows 身份验证、网络协议和流量以及在其上安装 Team Foundation Server 的企业网络结构。 还应了解 Team Foundation Server 中的组和权限。可能还会发现了解 SQL Server、SQL Server Reporting Services 和 SharePoint 产品 在管理 Team Foundation Server 时十分有用。
了解组件和术语
如果了解以下组件和术语,则能够更好地规划、部署和管理 Team Foundation Server:
应用层、数据层和客户端层:构成 Team Foundation Server 的逻辑层。 这些层可能全部部署在同一台物理计算机上,也可能跨多台计算机安装。 有关详细信息,请参阅Team Foundation Server 体系结构。
团队项目集合:Team Foundation Server 中所有数据的主要组织单位。 集合可以包含一个或多个团队项目。 有关详细信息,请参阅管理团队项目集合。
团队项目:一个中心点,供团队共享开发特定软件技术或产品所需的团队活动。 团队项目在团队项目集合中进行组织。 有关详细信息,请参阅使用 Visual Studio ALM 和 TFS 跟踪工作。
Team Foundation Server 管理控制台:TFS 管理员用于配置和管理资源的集中式管理工具。 有关详细信息,请参阅配置和管理 TFS 资源。
服务帐户:Team Foundation 中的 Web 服务和应用程序使用的帐户。 Team Foundation Server 需要服务帐户来跨服务器和 Web 服务执行操作。 这些服务帐户具有特定要求。 有关详细信息,请参阅Team Foundation Server 中的服务帐户和依赖项。
SharePoint 产品:为团队项目门户和面板提供支持的软件。可以在 Team Foundation Server 部署中包含一个或多个 SharePoint Web 应用程序。 若要包含这些应用程序之一,必须安装和配置用于 SharePoint 产品 的 Team Foundation Server 扩展,并且必须在部署中配置权限。 有关详细信息,请参阅使用项目门户网站共享信息。
SQL Server 和 SQL Server Reporting Services:为数据仓库提供数据库平台并且为数据集成、分析和报告解决方案提供商业智能平台的软件。 TFS 将其数据存储在 SQL Server 数据库中。 还可以选择包含运行 SQL Server Reporting Services 并自动生成团队项目的报表的服务器。 有关详细信息,请参阅管理 TFS 报表、数据仓库和 Analysis Services 多维数据集。
了解 Team Foundation Server 安全性
若要优化 Team Foundation Server 的安全性,应了解以下概念:
拓扑,其中包括运行 Team Foundation 组件的服务器的部署位置和方式、在 Team Foundation Server 与 Team Foundation 客户端之间传递的网络流量以及必须在 Team Foundation Server 上运行的服务。
身份验证,其中包括确定 Team Foundation Server 中的用户、组和服务的有效性。
授权,其中包括确定 Team Foundation Server 中的有效用户、组和服务是否具有执行特定操作的相应权限。
还应考虑 Team Foundation Server 所依赖的其他组件和服务。
考虑 Team Foundation Server 的安全性时,必须了解身份验证与授权之间的区别。 身份验证是验证从客户端、服务器或进程进行的连接尝试的凭据。 授权是验证尝试连接的标识是否有权访问对象或方法。 仅在身份验证成功之后才进行授权。 如果连接未经过身份验证,则在执行任何授权检查之前便会失败。 如果连接的身份验证成功,则仍可能禁止特定操作,因为未授权用户或组执行该操作。
拓扑、端口和服务
Team Foundation Server 部署和安全性的第一个要素是部署的组件是否可以相互连接以进行通信。 目标是要在 Team Foundation 的客户端与 Team Foundation Server 之间实现连接并限制或阻止其他连接尝试。
Team Foundation Server 依赖于特定端口和服务,以便可以正常运行。 可以保护和监视这些端口以帮助满足业务安全需要。 必须允许针对 Team Foundation Server 的网络流量在 Team Foundation 客户端、承载 Team Foundation 应用层和数据层的逻辑组件的服务器、用于 Team Foundation Build 的计算机与使用 Team Foundation Server 代理的远程客户端之间传递。 默认情况下,Team Foundation Server 配置为对其 Web 服务使用 HTTP。 有关 Team Foundation Server 使用的端口和服务的完整列表以及如何在其体系结构中使用它们,请参阅 Team Foundation Server 体系结构。
可以将 Team Foundation Server 部署在 Active Directory 域或工作组中。 Active Directory 提供的内置安全功能比工作组提供的功能更多。 可以使用 Active Directory 功能帮助保护 Team Foundation Server 部署。 例如,可以配置 Active Directory 以防止出现重复的计算机名,从而使恶意用户无法通过运行 Team Foundation Server 的恶意服务器模仿计算机名。 若要在工作组中缓解相同类型的威胁,必须配置计算机证书。
无论是将 Team Foundation Server 部署在工作组还是域中,都必须遵守 Team Foundation Server 要求本身所施加的特定约束。 有关 Team Foundation Server 的拓扑的详细信息,请参阅简单拓朴示例、中等复杂程度的拓扑的示例、复杂拓扑示例、Understanding Windows SharePoint Services和了解 SQL Server 和 SQL Server Reporting Services。
身份验证
Team Foundation Server 的安全性与 Windows 集成身份验证和 Windows 操作系统的安全功能集成并依赖于它们。可以使用 Windows 集成身份为 Team Foundation 客户端与 TFS 之间的连接、承载逻辑应用层和数据层的服务器上的 Web 服务以及应用层和数据层服务器本身之间的连接验证帐户身份。
备注
安装 TFS 之后,可以配置 TFS 以针对客户端和服务器的相互身份验证支持 Kerberos。
不应配置将 Team Foundation Server 与 SharePoint 产品 之间的任何 SQL Server 数据库连接配置为使用 SQL Server 身份验证,因为它不如 Windows 身份验证那样安全。 连接到数据库时,数据库管理员帐户的用户名和密码会以未加密的格式发送。 Windows 集成身份验证不会发送用户名和密码。 而是使用 Windows 集成身份验证安全协议将与主机 Internet Information Services (IIS) 应用程序池关联的服务帐户标识信息发送到 SQL Server。
授权
Team Foundation Server 授权基于 Team Foundation 中的用户和组、直接分配给这些用户和组的权限以及这些用户和组可能因为属于 Team Foundation Server 中的其他组而继承的权限。 Team Foundation 中的用户和组可以是本地用户或组、Active Directory 用户和组或同时是两者。
Team Foundation Server 使用服务器、集合和项目级别的默认组进行预配置。 可以通过添加各个用户来填充这些组。 但是,如果使用 Active Directory 安全组填充这些组,可能会发现管理更方便。 通过采用这种方法,可以跨多个计算机或应用程序(如 SharePoint 产品 和 SQL Server)更有效地管理组成员身份和权限。
特定部署可能需要在多台计算机上和多个应用程序中配置用户、组和权限。 例如,如果要在部署中包括报表和项目门户,则必须在 Reporting Services、SharePoint 产品 和 Team Foundation Server 中配置用户和组的权限。 在 Team Foundation Server 中,可以为每个项目、每个集合以及跨整个部署(在服务器级别)设置权限。 此外,某些权限在默认情况下会授予给添加到 Team Foundation Server 的任何用户或组,因为该用户或组会自动添加到**“Team Foundation Valid Users”**。 有关详细信息,请参阅管理 TFS 中用户或组。
除了在 Team Foundation Server 中配置用于授权的权限,还可能在版本控制和工作项中需要授权。 可在命令提示符处单独管理这些权限,但是它们已集成为 团队资源管理器 界面的一部分。
请参见
任务
概念
其他资源
SharePoint Products and Technologies and Team Foundation Server