編製索引時的安全性考量 (FAST Search Server 2010 for SharePoint)
適用版本: FAST Search Server 2010
上次修改主題的時間: 2011-02-28
閱讀本文之前,請先檢閱<FAST Search 授權 (FSA) 概觀>及<FAST Search 授權 (FSA) 資料流程>中的資訊。
大多數 FAST Search Server 2010 for SharePoint 系統皆包含數個可供搜尋的內容來源,其中可能同時包含公用文件與專屬項目。例如,您可能需要嚴格限制內部人力資源資料庫的存取,或是提供產品資料庫供大眾使用。本文討論如何在項目或文件層級上實作及管理內容安全性。
規劃項目層級安全性時,請考慮下列問題:
要編製索引的內容有哪些?
內容為公用或專用?
必須執行哪些組織安全性原則?
需要哪些使用者與群組權限?
項目層級安全性對於搜尋經驗的影響?
您可以使用本文的資訊制定安全內容方面的決策:
關於項目層級安全性
收集組織之安全性原則的資訊
規劃為內容來源編製索引
規劃指定使用者與群組權限
規劃為 Lotus Notes 資料庫編製索引
關於項目層級安全性
編目來源內容並為其編製索引時,會將授權資訊新增到各項目的 Managed 屬性 (項目的 ACL (存取控制清單)),藉此指出獲授權或遭拒絕存取項目的使用者與群組。項目 ACL 藉由標記具有存取權的每個項目協助設定「項目層級安全性」。
當使用者送出查詢,並由索引找到搜尋結果時,查詢處理服務會重寫使用者的查詢,讓使用者只可見到其有權檢視的項目。此「安全性調整」會藉助於指定使用者之內容權限的「使用者搜尋安全性篩選」。根據使用者的搜尋安全性篩選檢查項目 ACL,可以篩選出不適合的搜尋結果,並將查詢結果縮小至使用者有權檢視的項目。
FAST Search Authorization (FSA) 是 FAST Search Server 2010 for SharePoint 的安全性模組,它會強制執行安全性調整。FSA 限制使用者只可存取搜尋結果中其有權檢視的項目。當您安裝 FAST Search Server 2010 for SharePoint 之後,會自動安裝 FSA。
「使用者存放區」是使用者、群組及內容權限的邏輯群組,可用為第三方內容存放庫的安全性閘道,避免未經授權者存取其內容。安裝期間會為 Microsoft 存放庫 (Outlook、Word 文件、SharePoint 資料庫等等) 建立預設的宣告使用者存放區。(宣告式驗證是一組可以建立宣告提供者與應用程式間之信任關係的作業。) 您如有來自數個不同提供者的內容,可能會需要使用多個安全性使用者存放區 (例如,您可能需要 Lotus Notes 使用者存放區快取 Lotus Notes 使用者的認證)。為建立使用者搜尋安全性篩選,FSA 會查看使用者存放區,確認使用者所屬的群組。
收集組織之安全性原則的資訊
您應與組織內安全性小組的成員合作,瞭解您內容資料庫相關的安全性原則。
內容是否為公用?
內容是否為專用?
有無任何項目子集包含了機密內容?
是否應定義項目層級安全性,供特定使用者與群組存取?
是否可以將內容資料庫中的使用者/群組對應至 Windows 使用者/群組?
您可以洽詢搜尋管理員,決定在實作項目層級安全性時所需遵循的準則。如需更多安全性規劃準則,請參閱<伺服器陣列的安全性考量 (FAST Search Server 2010 for SharePoint)>。
規劃為內容來源編製索引
規劃項目層級安全性是內容規劃中十分重要的一環。在考量所要編目及編製索引的內容來源時,請注意下列幾點:
內容存放庫的來源為何 (Microsoft、Lotus Notes、外部資料庫等等)?
哪些是公用存放庫?哪些是專用存放庫?哪些存放庫會包含機密項目?
哪些使用者與群組有權存取內容來源?
您若非主題專家,請向貴組織的內容擁有者/管理員尋求協助。
警告
為新內容來源編製索引之前,請務必先確認內容存放庫的安全性權限是否正確。這對無法透過瀏覽器輕鬆存取的內容來源 (如資料庫與檔案共用) 尤其重要。不正確的安全性權限會在為內容編製索引之後,變得顯而易見。
如需如何識別、編目內容來源及為其編製索引的規劃指導,請參閱<規劃編目與同盟 (FAST Search Server 2010 for SharePoint)>。
規劃指定使用者與群組權限
內容權限可以控制網站及索引內容的存取。對於 Microsoft 內容,您會使用 Microsoft SharePoint Server 2010 群組控制成員資格與微調權限,藉此協助執行項目層級安全性。如需下列考量的詳細資訊,請參閱<網站及內容的安全性規劃 (SharePoint Server 2010)>:
規劃網站的權限
指定權限等級與群組
選擇安全性群組
選擇管理員與擁有者
每個內容來源皆必須建立使用者存放區,用為不同內容來源中各內容權限的安全性閘道。但當您若要為 Microsoft 內容來源編製索引,將無須建立使用者存放區。預設會在您安裝 FAST Search Server 2010 for SharePoint 時,為 Microsoft 內容建立及實作宣告使用者存放區。
FSA 會存取使用者存放區中的權限,產生使用者搜尋安全性篩選。
規劃為 Lotus Notes 資料庫編製索引
若要使用 FAST Search Lotus Notes 連接器編目 Lotus Notes 內容並編製其索引,除了為 Microsoft 內容編製索引所規劃的方法之外,還必須考慮其他安全性方法:
若要將 Lotus Notes 內容納入 FAST Search Server 2010 for SharePoint 索引,必須先建立 Lotus Notes 使用者存放區。如需詳細資訊,請參閱<準備 FAST Search 授權與 FAST Search Lotus Notes 連接器搭配使用>。
執行 FAST Search Lotus Notes 連接器時,必須產生 ssomapping.xml。此檔案會在 Windows 使用者宣告值與其在 Lotus Notes 系統上的對應識別碼之間,建立 FSA 的主要別名對應。您必須具備主要別名,才可建立完整且正確的使用者安全性篩選。如需詳細資訊,請參閱<設定 FAST Search Lotus Notes 連接器>。
注意
使用 Lotus Notes 索引連接器並不適用於這些規劃準則。Lotus Notes 索引連接器會將 Lotus Notes 使用者/群組對應至 Windows 使用者/群組,再提供 NTACL 資訊。
See Also
Concepts
FAST Search 授權 (FSA) 概觀
FAST Search 授權 (FSA) 資料流程
關於主要別名
規劃編目與同盟 (FAST Search Server 2010 for SharePoint)
設定 FAST Search Lotus Notes 連接器
準備 FAST Search 授權與 FAST Search Lotus Notes 連接器搭配使用
Other Resources
網站及內容的安全性規劃 (SharePoint Server 2010)
規劃驗證方法 (SharePoint Server 2010)