Team Foundation Server、驗證和存取
您可以設定部署,協助確保使用者與 Visual Studio Team Foundation Server 部署間的連接安全性。Team Foundation Server (TFS) 可以支援基本驗證、摘要式驗證和憑證。因此,您可以將 TFS 部署設定為搭配 Secure Sockets Layer (SSL) 使用安全超文字傳輸通訊協定 (HTTPS) 以及基本驗證或摘要式驗證。如果採用這個策略,使用者可以更安全地連接到部署,而不需要使用虛擬私人網路 (VPN) 連接。
組態
為了支援 Team Foundation Server 部署的更安全外部連接,您必須將 Internet Information Services (IIS) 設定為啟用基本驗證、摘要式驗證或這兩者。您也應該將任何外部連接設定為需要憑證。
基本驗證和摘要式驗證
基本驗證是 HTTP 1.0 規格的一部分,使用 Windows 使用者帳戶。在基本驗證期間,瀏覽器會提示使用者輸入使用者名稱和密碼,然後使用 Base64 編碼方式透過 HTTP 傳送該資訊。根據預設,基本驗證會要求 Windows 使用者帳戶在 Web 伺服器上具有本機登入權限。工作群組和網域部署中都可以使用基本驗證。大多數的 Web 伺服器、Proxy 伺服器和 Web 瀏覽器都支援基本驗證,但是基本驗證並不安全。因為 Base64 編碼的資料非常容易解碼,所以基本驗證基本上是以純文字格式傳送密碼。惡意使用者可以使用可公開取得的工具監視網路上的通訊,便可以輕鬆攔截這些密碼及解密。若要加強安全性,您應該考慮搭配 SSL 使用 HTTPS。
摘要式驗證是一項驗證要求/回應機制,它會透過網路傳送摘要 (也稱為雜湊),而不是傳送密碼。在摘要式驗證期間,IIS 會將驗證要求傳送到用戶端來建立摘要,然後將該摘要傳送到伺服器。用戶端會傳送以使用者密碼為根據的摘要,以及用戶端和伺服器都認得的資料,做為驗證要求的回應。伺服器會使用用戶端建立其摘要的相同程序,並搭配使用從 Active Directory 取得的使用者資訊。只有在伺服器所建立的摘要符合用戶端所建立的摘要,IIS 才會驗證此用戶端。只能在 Active Directory 部署中使用摘要式驗證。摘要式驗證本身只是基本驗證的稍微改良;惡意使用者可以記錄用戶端和伺服器之間的通訊,並使用該資訊來重新執行交易。摘要式驗證也相依於 HTTP 1.1 通訊協定,但並非所有 Web 瀏覽器都支援此通訊協定。此外,如果未正確設定摘要式驗證,嘗試存取 Team Foundation Server 會失敗。如果部署並未達到摘要式驗證的所有要求,請勿選擇該驗證模式。如需詳細資訊,請參閱 Microsoft 網站的下列網頁:設定摘要式驗證 (IIS 7.0) (英文)。
驗證通訊協定
根據預設, Team Foundation Server 使用 Windows Challenge/Response (NTLM) 驗證通訊協定。NTLM 認證是基於互動式登入程序期間取得的資料,並加入該密碼的單向雜湊函式。
Team Foundation Server 也支援 Microsoft Negotiate 做為驗證通訊協定。在協議通訊協定,除非已由在驗證程序的其中一個系統中,否則會選取 Kerberos。對於未設定 Kerberos 的系統上,要使用 NTLM 。交涉是適用於大部分部署最安全的選項,但可能需要其他設定工作。
使用限制
除了本主題前段提到的網域和工作群組需求之外,基本驗證和摘要式驗證本身都無法提供網路安全性給外部用戶端。因此,除非您也將外部連接設定為需要搭配 SSL 使用 HTTPS,否則不應該將 Team Foundation Server 設定為支援外部用戶端。
請參閱
概念
其他資源
Securing Team Foundation Server with HTTPS and Secure Sockets Layer (SSL)