创建使用 Windows 声明身份验证的 Web 应用程序 (SharePoint Server 2010)
上一次修改主题: 2016-11-30
本文介绍如何创建使用 Windows 声明身份验证的 Web 应用程序。
提示
如果要改用 Windows 经典身份验证,请参阅创建使用 Windows 经典身份验证的 Web 应用程序 (SharePoint Server 2010)。
在执行此过程之前,请确认以下内容:
您的系统运行的是 Microsoft SharePoint Server 2010。
您已有适当的逻辑体系结构设计。有关详细信息,请参阅逻辑体系结构组件 (SharePoint Server 2010)。
您已规划 Web 应用程序的身份验证。有关详细信息,请参阅规划身份验证方法 (SharePoint Server 2010)、规划 Kerberos 身份验证 (SharePoint Server 2010) 和选择安全组 (SharePoint Server 2010)。
您已选择要用于 Web 应用程序的服务应用程序。有关详细信息,请参阅管理服务应用程序和服务 (SharePoint Server 2010)。
如果使用安全套接字层 (SSL),则在创建 Web 应用程序的 IIS 网站之后,必须将 SSL 证书与该 IIS 网站相关联。有关设置 SSL 的详细信息,请参阅如何在 IIS 7.0 上设置 SSL(该链接可能指向英文页面) (https://go.microsoft.com/fwlink/?linkid=187887&clcid=0x804)(该链接可能指向英文页面)。
已阅读有关备用访问映射的信息。
如果已在 Windows 上打开用户帐户控制 (UAC),并使用 Windows PowerShell 2.0 创建 Web 应用程序,则必须右键单击 SharePoint 2010 Management Shell 并选择“以管理员身份运行”。
可以使用 SharePoint 管理中心网站或 Windows PowerShell 创建 Web 应用程序。通常使用管理中心来创建 Web 应用程序。如果要自动执行创建 Web 应用程序的任务(这在企业中很常见),请使用 Windows PowerShell。在此过程完成之后,可以在已创建的 Web 应用程序上创建一个或多个网站集。
使用管理中心创建具有 Windows 声明身份验证的 Web 应用程序
确认您拥有以下管理凭据:
- 若要创建 Web 应用程序,您必须是运行管理中心的计算机上 SharePoint 组“Farm Administrators”和本地 Administrator 组的成员。
在管理中心主页上的“应用程序管理”部分,单击“管理 Web 应用程序”。
在功能区上,单击“新建”。
在“新建 Web 应用程序”页的“身份验证”部分,单击“基于声明的身份验证”。
在“IIS 网站”部分,可以通过选择以下两个选项之一来配置新 Web 应用程序的设置:
单击“使用现有 IIS 网站”,然后选择要安装新 Web 应用程序的网站。
单击“新建 IIS 网站”,然后在“名称”框中键入网站名称。
在“IIS 网站”部分的“端口”框中,键入要用于访问 Web 应用程序的端口号。如果新建网站,则会用随机端口号填充该字段。如果使用现有的网站,则会用当前端口号填充该字段。
备注
HTTP 访问的默认端口号是 80,而 HTTPS 访问的默认端口号是 443。如果您希望用户无需键入端口号即可访问 Web 应用程序,则用户应使用适当的默认端口号。
可选:在“IIS 网站”部分的“主机标头”框中,键入要用于访问 Web 应用程序的主机名称(例如,www.contoso.com)。
备注
除非希望将两个或更多 IIS 网站配置为使用同一台服务器上的同一端口号,并且 DNS 已配置为将请求路由到同一台服务器,否则通常不设置该字段。
在“IIS 网站”部分的“路径”框中,键入服务器上的 IIS 网站主目录的路径。如果新建网站,则会用建议的路径填充该字段。如果使用现有的网站,则会用该网站的当前路径填充该字段。
在“安全配置”部分,选择是否使用允许匿名访问,以及是否使用安全套接字层 (SSL)。
在“允许匿名访问”下,单击“是”或“否”。如果选择允许匿名访问,将允许使用特定于计算机的匿名访问帐户(即 IIS_IUSRS)来匿名访问网站。
备注
如果您希望用户能够匿名访问任何网站内容,则必须在启用 SharePoint 网站级别的匿名访问之前,为整个 Web 应用程序区域启用匿名访问;之后,网站所有者便可以配置如何在其网站中使用匿名访问。如果未在 Web 应用程序级别启用匿名访问,则以后将不能在网站级别启用匿名访问。有关详细信息,请参阅选择安全组 (SharePoint Server 2010)。
在“使用安全套接字层(SSL)”下,单击“是”或“否”。如果选择为网站启用 SSL,则必须通过请求和安装 SSL 证书来配置 SSL。有关设置 SSL 的详细信息,请参阅如何在 IIS 7.0 上设置 SSL(该链接可能指向英文页面) (https://go.microsoft.com/fwlink/?linkid=187887&clcid=0x804)(该链接可能指向英文页面)。
在“声明身份验证类型”部分,选择要用于 Web 应用程序的身份验证。
如果要启用 Windows 身份验证,则选择“启用 Windows 身份验证”,然后在下拉菜单中选择“协商(Kerberos)”或“NTLM”。有关详细信息,请参阅规划 Kerberos 身份验证 (SharePoint Server 2010)。
如果您不想使用集成 Windows 身份验证,请清除“集成 Windows 身份验证”。
如果要通过网络以不加密的形式传送用户的凭据,则选择“基本身份验证(使用明文发送密码)”。
备注
可以选择基本身份验证或集成 Windows 身份验证,或者同时选择两者。如果两者都选,则 SharePoint Server 2010 将为客户端 Web 浏览器提供以上两种身份验证类型。然后,由客户端 Web 浏览器来确定使用哪种身份验证类型。如果仅选择基本身份验证,请确保启用 SSL;否则,恶意用户可能会截取凭据。
如果要启用基于表单的身份验证,则选择“启用基于窗体的身份验证(FBA)”,然后在相应的框中输入成员资格提供程序名称和角色管理器名称。
有关详细信息,请参阅为基于声明的 Web 应用程序配置基于表单的身份验证 (SharePoint Server 2010)。
备注
如果选择此选项,则确保启用 SSL;否则,恶意用户可能会截取凭据。
如果您已在 Windows PowerShell 中设置了“信任的身份提供程序”身份验证,则“信任的身份提供程序”复选框将处于选中状态。
有关详细信息,请参阅使用 SAML 安全令牌配置身份验证 (SharePoint Server 2010)。
可以使用一个或多个声明身份验证类型。有关详细信息,请参阅规划身份验证方法 (SharePoint Server 2010)。
在“登录页 URL”部分,选择下列选项之一以登录到 SharePoint Server 2010:
如果您希望将用户重定向到默认登录网站以进行基于声明的身份验证,则选择“默认登录页的 URL”。
如果要将用户重定向到基于声明的身份验证的自定义登录网站,请选择“自定义登录页 URL”,然后键入登录 URL。
在“公用 URL”部分,键入用户将在此 Web 应用程序中访问的所有网站的域名的 URL。此 URL 将用作在此 Web 应用程序的网页上显示的所有链接中的基 URL。默认 URL 为当前服务器名称和端口,并将自动进行更新以反映网页上的当前 SSL、主机标头和端口号设置。如果在负载平衡器或代理服务器后面部署 SharePoint Server 2010,则此 URL 可能需要不同于此页上的 SSL、主机标头和端口设置。
自动为新 Web 应用程序将“区域”值设置为“默认”。
备注
您可以在扩展 Web 应用程序时更改区域。有关详细信息,请参阅扩展 Web 应用程序 (SharePoint Server 2010)。
在“应用程序池”部分,执行下列操作之一:
单击“使用现有应用程序池”,然后从下拉菜单中选择您要使用的应用程序池。
单击“新建应用程序池”,然后键入新应用程序池的名称或保留默认名称。
有关详细信息,请参阅逻辑体系结构组件 (SharePoint Server 2010)。
在“请为此应用程序池选择安全帐户”下,执行下列操作之一:
单击“预定义帐户”以使用预定义的安全帐户,然后从下拉菜单中选择安全帐户。
单击“可配置帐户”以指定将用于现有应用程序池的新的安全帐户。
备注
可以通过单击“注册新的管理帐户”链接来创建新的帐户。
在“数据库名称和验证”部分,为新的 Web 应用程序选择数据库服务器、数据库名称和身份验证方法,如下表中所述。
项 操作 数据库服务器
键入要使用的数据库服务器和 Microsoft SQL Server 实例的名称,格式为 <服务器名称\实例>。也可以使用默认条目。
数据库名称
键入数据库的名称或使用默认条目。
数据库验证
通过执行以下操作之一,选择要使用的数据库身份验证:
如果要使用 Windows 身份验证,请将此选项保持选中状态。建议使用此选项的原因是,Windows 身份验证在连接到 SQL Server 时会自动对密码进行加密。
如果要使用 SQL 身份验证,请单击“SQL 验证”。在“帐户”框中键入希望让 Web 应用程序通过 SQL Server 数据库进行身份验证的帐户的名称,然后在“密码”框中键入密码。
备注
SQL 身份验证会将 SQL 身份验证密码发送到未经加密的 SQL Server。建议您只有在使用 IPsec 对 SQL Server 强制使用协议加密来加密网络通信时,才使用 SQL 身份验证。
如果使用数据库镜像,请在“故障转移服务器”部分的“故障转移数据库服务器”框中,键入要与内容数据库关联的特定故障转移数据库服务器的名称。
在“服务应用程序连接”部分,选择将供 Web 应用程序使用的服务应用程序连接。在下拉菜单中,单击“默认”或“自定义”。可使用“自定义”选项来选择您要用于 Web 应用程序的服务应用程序连接。
在“客户体验改善计划”部分,单击“是”或“否”。
单击“确定”以创建新的 Web 应用程序。
使用 Windows PowerShell 来创建使用 Windows 声明身份验证的 Web 应用程序
确认您满足以下最低要求:请参阅 Add-SPShellAdmin。。您还必须是运行 Windows PowerShell 的计算机上的本地 Administrators 组的成员。此外,某些过程还要求您是 SQL Server 固定服务器角色 dbcreator 和 securityadmin 的成员。
在“开始”菜单上,单击“所有程序”。
单击“Microsoft SharePoint 2010 产品”。
单击“SharePoint 2010 Management Shell”。
若要创建 Windows 声明身份验证提供程序,请在 Windows PowerShell 命令提示符下,键入以下命令:
$ap = New-SPAuthenticationProvider若要创建使用 Windows 声明身份验证的 Web 应用程序,请在 Windows PowerShell 命令提示符下,键入以下命令:
$wa = New-SPWebApplication -Name <ClaimsWindowsWebApplication> -ApplicationPool <ClaimsApplicationPool> -ApplicationPoolAccount <ClaimsApplicationPoolAccount> -URL <URL> -Port <Port> -AuthenticationProvider $ap备注
建议使用服务器场中的托管帐户作为应用程序池帐户。
其中:
<Name> 是使用 Windows 声明身份验证的新 Web 应用程序的名称。
<ApplicationPool> 是应用程序池的名称。
<ApplicationPoolAccount> 是运行此应用程序池的用户帐户。
<URL> 是 Web 应用程序的公用 URL。
<Port> 是用于在 IIS 中创建 Web 应用程序的端口。
示例
$ap = New-SPAuthenticationProvider $wa = New-SPWebApplication -Name "Contoso Internet Site" -ApplicationPool "ContosoAppPool" -ApplicationPoolAccount (Get-SPManagedAccount "DOMAIN\jdoe") -URL "https://www.contoso.com" -Port 80 -AuthenticationProvider $ap
有关详细信息,请参阅 New-SPWebApplication 和 New-SPAuthenticationProvider。
备注
我们建议您在执行命令行管理任务时使用 Windows PowerShell。Stsadm 命令行工具已被弃用,仍然包含该工具是为了支持与之前产品版本的兼容性。
See Also
Concepts
扩展 Web 应用程序 (SharePoint Server 2010)
创建网站集 (SharePoint Server 2010)
为基于声明的 Web 应用程序配置基于表单的身份验证 (SharePoint Server 2010)
使用 SAML 安全令牌配置身份验证 (SharePoint Server 2010)
创建使用 Windows 经典身份验证的 Web 应用程序 (SharePoint Server 2010)Other Resources