在 SharePoint Server 中计划用户身份验证方法

  • A+
所属分类:系统文档

简介

用户身份验证可根据身份验证提供程序验证用户的身份,身份验证提供程序是包含用户凭据且可以确认用户正确提交了这些凭据的目录或数据库。Active Directory 域服务 (AD DS) 是身份验证提供程序的一个示例。身份验证提供程序的其他术语包括用户目录和属性存储。

身份验证方法是声明用户身份的帐户凭据和其他信息的特定交换。身份验证方法的结果是一种通常采用令牌形式的证明,其中包含指明身份验证提供程序已对用户进行身份验证的声明。

身份验证类型是针对一个或多个身份验证提供程序验证凭据的特定方法,有时使用行业标准协议。身份验证类型可以使用多种身份验证方法。

在验证用户身份后,授权过程将确定用户可以访问的网站、内容和其他功能。

规划用户身份验证类型和方法时应确定以下内容:

  • 每个 Web 应用程序和区域的用户身份验证类型和方法

  • 支持既定身份验证类型和方法所需的身份验证基础结构

    注意Note:
    SharePoint Server 2016 不再支持 Windows Classic 模式身份验证。

基于声明的身份验证

AD DS 中的用户标识基于用户帐户。要成功进行身份验证,用户需提供帐户名以及知道密码的证明。要确定资源的访问权,应用程序可能必须查询 AD DS 的帐户属性和其他信息,例如组成员身份或网络中的角色。虽然这适用于 Windows 环境,但它不能向外扩展到第三方身份验证提供程序以及支持 Internet、合作伙伴或基于云的计算模型的多供应商环境。

使用基于声明的标识,用户可从通常受信任的标识提供程序中获得数字签名安全令牌。该令牌包含一组声明。每个声明代表有关用户的特定数据项,例如用户名称、组成员身份以及网络中的角色。基于声明的身份验证是使用基于声明的标识技术和基础结构的用户身份验证。支持基于声明的身份验证的应用程序可获得来自用户的安全令牌而不是凭据,并使用声明中的信息确定资源的访问权。不需要任何单独的目录服务(例如 AD DS)查询。

Windows 中基于声明的身份验证基于 Windows Identity Foundation (WIF)(是一组用于实现基于声明的标识的 .NET Framework 类)而构建。基于声明的身份验证依赖于 WS 联合身份验证、WS 信任等标准以及安全声明标记语言 (SAML) 等协议。

有关基于声明的身份验证的详细信息,请参阅以下资源:

由于基于声明的身份验证广泛用于用户身份验证、服务器到服务器身份验证以及应用身份验证,因此,我们建议对 SharePoint Server 服务器场的所有 Web 应用程序和区域使用基于声明的身份验证。有关详细信息,请参阅规划 SharePoint Server 中的服务器到服务器身份验证。使用基于声明的身份验证时,所有支持的身份验证方法均可用于你的 Web 应用程序,并且你可以利用使用服务器到服务器身份验证和应用身份验证的 SharePoint Server 中的新功能和方案。

对于基于声明的身份验证,SharePoint Server 会自动将所有用户帐户更改为声明标识。这将为每个用户生成一个安全令牌(又称为声明令牌)。声明令牌包含与该用户有关的声明。Windows 帐户将转换为 Windows 声明。基于表单的成员身份用户将转换为基于表单的身份验证声明。SharePoint Server 可以使用基于 SAML 的令牌中包含的声明。此外,SharePoint 开发人员和管理员可以使用其他声明来扩充用户令牌。例如,可以使用 SharePoint Server 所使用的额外声明来扩充 Windows 用户帐户和基于表单的帐户。

你不必是声明架构师即可在 SharePoint Server 中使用基于声明的身份验证。不过,实现基于 SAML 令牌的身份验证需要与你的基于声明的环境的管理员进行协商,如规划基于 SAML 令牌的身份验证中所述。

SharePoint Server 2013 中的经典模式身份验证

在 SharePoint 2013 中,当在管理中心中创建 Web 应用程序时,只能指定基于声明的身份验证的身份验证类型和方法。在 SharePoint 的早期版本中,还可以在管理中心中为 Web 应用程序配置经典模式身份验证。经典模式身份验证使用 Windows 身份验证并且 SharePoint 2013 将用户帐户视为 AD DS 帐户。

若要配置 Web 应用程序以使用经典模式身份验证,必须使用 New-SPWebApplication PowerShell cmdlet 创建它。为经典模式身份验证配置的 SharePoint 2010 产品 Web 应用程序在您升级到 SharePoint 2013 时将保留其身份验证设置。但是,建议您在升级到 SharePoint 2013 之前,将您的 Web 应用程序迁移到基于声明的身份验证。

SharePoint 2013 服务器场可以包含使用这两种模式的混合 Web 应用程序。某些服务不会区分用户帐户是传统 Windows 帐户还是 Windows 声明帐户。

若要详细了解如何在升级前进行迁移,请参阅从经典模式身份验证迁移到基于声明的身份验证

有关在升级后进行迁移的详细信息,请参阅在 SharePoint 2013 中从经典模式身份验证迁移到基于声明的身份验证

有关如何在 SharePoint 2013 中创建使用经典模式身份验证的 Web 应用程序的信息,请参阅创建 web 应用程序在 SharePoint 服务器中使用经典模式身份验证。请注意,无法迁移使用基于声明的身份验证的 Web 应用程序以使用经典模式身份验证。

重要说明Important:
Office Online 只能由使用基于声明的身份验证的 SharePoint 2013 Web 应用程序使用。Office Online 呈现和编辑在使用经典模式身份验证的 SharePoint 2013 Web 应用程序上无法工作。 如果您将使用经典模式身份验证的 SharePoint 2010 Web 应用程序迁移到 SharePoint 2013,您必须将其迁移到基于声明的身份验证以允许它们使用 Office Online。

支持的身份验证类型和方法

SharePoint Server 支持多种身份验证方法以及身份验证提供程序的以下身份验证类型:

  • Windows 身份验证

  • 基于表单的身份验证

  • 基于 SAML 令牌的身份验证

Windows 身份验证

Windows 身份验证类型利用现有的 Windows 身份验证提供程序 (AD DS) 以及 Windows 域环境使用的身份验证协议来验证连接客户端的凭据。基于声明的身份验证使用的 Windows 身份验证方法包括以下几种:

  • NTLM

  • Kerberos

  • 摘要

  • 基本

有关详细信息,请参阅本文中的规划 Windows 身份验证

观看 SharePoint 2013 和 SharePoint Server 2016 中的 Windows 声明身份验证视频

虽然并非 Windows 身份验证类型,SharePoint Server 同样支持匿名身份验证。用户无需验证其凭据即可访问 SharePoint 内容。默认情况下禁用匿名身份验证。在使用 SharePoint Server 发布不要求安全性且可供所有用户使用的内容(例如公共 Internet 网站)时通常使用匿名身份验证。

请注意,除了启用匿名身份验证外,还必须配置对网站和网站资源的匿名访问(权限)。

注意Note:
即使在针对匿名和窗体身份验证的 SharePoint 设置被禁用的情况下,由 SharePoint 创建的用于服务 Web 应用程序的 Internet Information Services (IIS) 网站也始终启用匿名身份验证和窗体身份验证方法。这是有意要这么做的,因为如果直接在 IIS 设置中禁用匿名身份验证或窗体身份验证会导致在 SharePoint 网站上出错。

基于表单的身份验证

基于表单的身份验证是基于 ASP.NET 成员身份和角色提供程序身份验证的基于声明的标识管理系统。可对存储在如下身份验证提供程序中的凭据使用基于表单的身份验证:

  • AD DS

  • SQL Server 数据库之类的数据库

  • Novell eDirectory、Novell Directory Services (NDS) 或 Sun ONE 等轻型目录访问协议 (LDAP) 数据存储

基于表单的身份验证根据用户在登录表单(通常是一个网页)中键入的凭据验证用户身份。未经身份验证的请求将重定向到登录页,用户必须在该页中提供有效凭据并提交表单。系统会为经过身份验证的请求发布一个 Cookie,其中包含用于重建后续请求的标识的项。

观看 SharePoint 2013 和 SharePoint Server 2016 中基于窗体的声明身份验证视频

注意Note:
使用基于表单的身份验证,用户帐户凭据将以明文形式发送。因此,不应使用基于表单的身份验证,除非还使用安全套接字层 (SSL) 加密网站通信。

有关详细信息,请参阅规划基于表单的身份验证

基于 SAML 令牌的身份验证

SharePoint Server 中基于 SAML 令牌的身份验证使用 SAML 1.1 协议和 WS 联合身份验证被动请求者配置文件 (WS-F PRP)。它需要与基于声明的环境的管理员进行协商,无论该环境是你自己的内部环境还是合作伙伴环境。如果使用 Active Directory 联合身份验证服务 (AD FS) 2.0,你将具有基于 SAML 令牌的身份验证环境。

基于 SAML 令牌的身份验证环境包含标识提供程序安全令牌服务 (IP-STS)。IP-STS 代表其帐户包含在关联的身份验证提供程序中的用户颁发 SAML 令牌。令牌可以包含有关用户的任何数量的声明,例如用户名和用户所在的组。AD FS 2.0 服务器是 IP-STS 的示例。

SharePoint Server 利用 IP-STS 颁发给授权用户的令牌中包含的声明。在声明环境中,接受 SAML 令牌的应用程序称为信赖方 STS (RP-STS)。信赖方应用程序接收 SAML 令牌并使用其中的声明来决定是否授予客户端对所请求资源的访问权限。在 SharePoint Server 中,配置为使用 SAML 提供程序的每个 Web 应用程序都作为单独的 RP-STS 条目添加到 IP-STS 服务器中。一个 SharePoint 场可以在 IP-STS 中表示多个 RP-STS 条目。

观看 SharePoint 2013 和 SharePoint Server 2016 中基于 SAML 的声明身份验证视频

基于 SAML 令牌的身份验证的身份验证提供程序组取决于您的声明环境中的 IP-STS。如果使用 AD FS 2.0,则身份验证提供程序(称为 AD FS 2.0 的属性存储)可以包括以下内容:

  • Windows Server 2003 Active Directory 和 Windows Server 2008 中的 AD DS

  • SQL Server 2005 和 SQL Server 2008 的所有版本

  • 自定义属性存储

有关详细信息,请参阅规划基于 SAML 令牌的身份验证

为 LDAP 环境选择身份验证类型

基于表单的身份验证或基于 SAML 令牌的身份验证可以使用 LDAP 环境。你应使用与你的当前 LDAP 环境相匹配的身份验证类型。如果你尚不具有 LDAP 环境,我们建议你使用基于表单的身份验证,因为它较为简单。但是,如果你的身份验证环境支持 WS 联合身份验证 1.1 和 SAML 1.1,则建议使用 SAML。SharePoint Server 具有内置的 LDAP 提供程序。

规划 Windows 身份验证

对于基于声明的身份验证而言,规划和实现 Windows 身份验证方法的过程类似。Web 应用程序的基于声明的身份验证并不会使实现 Windows 身份验证方法变得更加复杂。本节概括了如何规划 Windows 身份验证方法。

NTLM 和 Kerberos 协议

NTLM 和 Kerberos 协议都属于集成 Windows 身份验证方法,这使得用户可以无缝地进行身份验证,而不会收到输入凭据的提示。例如:

  • 从 Internet Explorer 访问 SharePoint 网站的用户使用用于运行 Internet Explorer 进程的凭据进行身份验证。默认情况下,用户会使用这些凭据登录到计算机。

  • 使用集成 Windows 身份验证方法访问 SharePoint 资源的服务或应用程序会尝试使用正在运行的线程的凭据(默认情况下是进程的标识)进行身份验证。

NTLM 是可实现的最简单的 Windows 身份验证形式,并且通常无需其他身份验证基础结构配置,只需在创建或配置 Web 应用程序时选择此方法即可。

Kerberos 协议支持票证身份验证。使用 Kerberos 协议需要对环境进行额外的配置。若要启用 Kerberos 身份验证,客户端和服务器计算机必须建立到域密钥发行中心 (KDC) 的受信任连接。配置 Kerberos 协议时需要在安装 SharePoint Server 之前在 AD DS 中设置服务主体名称 (SPN)。

应考虑使用 Kerberos 身份验证的原因如下:

  • Kerberos 协议是最强大的集成 Windows 身份验证协议,并支持高级安全功能,其中包括客户端和服务器的高级加密标准 (AES) 加密和相互身份验证。

  • Kerberos 协议允许委派客户端凭据。

  • 在可用的安全身份验证方法中,Kerberos 需要的域控制器网络流量最少。Kerberos 可减少某些情况下的页面延迟,或增加某些情况下前端 Web 服务器可处理的页面的数量。Kerberos 还可降低域控制器上的负载。

  • Kerberos 协议是一个许多平台和供应商支持的开放式协议。

Kerberos 身份验证可能不适合的原因如下:

  • Kerberos 身份验证需要比其他身份验证方法更多的基础结构和环境配置才能正常工作。在很多情况下,配置 Kerberos 协议需要域管理员权限。Kerberos 身份验证可能难以设置和管理。Kerberos 配置不当可能会阻止对您的网站的成功验证。

  • Kerberos 身份验证需要客户端计算机连接到 KDC 和 AD DS 域控制器。在 Windows 部署中,KDC 是一个 AD DS 域控制器。虽然这在组织 Intranet 中是常见的网络配置,但通常不通过此方式配置面向 Internet 的部署。

以下步骤概括了如何配置 Kerberos 身份验证:

  1. 通过在 AD DS 中为 SQL Server 服务帐户创建 SPN 可为 SQL Server 配置 Kerberos 身份验证。

  2. 为将使用 Kerberos 身份验证的 Web 应用程序创建 SPN。

  3. 安装 SharePoint Server 服务器场。

  4. 在该服务器场中配置特定服务以使用特定帐户。

  5. 创建将使用 Kerberos 身份验证的 Web 应用程序。

摘要式和基本身份验证

使用摘要式身份验证方法,用户帐户凭据将以 MD5 消息摘要的形式发送到承载 Web 应用程序或区域的 Web 服务器上的 Internet Information Services (IIS) 服务。使用基本身份验证方法,用户帐户凭据将以明文形式发送。因此,不应使用基本身份验证方法,除非还要使用 SSL 加密网站通信。

如果您的环境使用仅支持对网站进行摘要式身份验证或基本身份验证的 Web 浏览器或服务,则可能必须使用这些较旧的身份验证方法。

与 NTLM、Kerberos 和匿名身份验证不同,可从与 Internet Information Services (IIS) 管理单元中的 Web 应用程序或区域对应的网站属性中配置摘要式身份验证方法和基本身份验证方法。

如果使用的是基于声明的身份验证,请参阅以下资源:

规划基于表单的身份验证

若要使用基于表单的身份验证根据不基于 Windows 的身份管理系统或外部身份管理系统对用户进行身份验证,必须在 Web.config 文件中注册成员身份提供程序和角色管理器。SharePoint Server 使用标准 ASP.NET 角色管理器界面来收集有关当前用户的组信息。SharePoint Server 中的授权过程会将每个 ASP.NET 角色视为一个域组。在 Web.config 文件中注册角色管理器正如注册用于身份验证的成员身份提供程序一样。

如果要从管理中心网站管理成员身份用户或角色,您必须在管理中心网站的 Web.config 文件中注册成员身份提供程序和角色管理器。同时,还必须在承载内容的 Web 应用程序的 Web.config 文件中注册成员身份提供程序和角色管理器。

有关配置基于表单的身份验证的详细步骤,请参阅在 SharePoint 2013 中为基于声明的 Web 应用程序配置基于表单的身份验证

规划基于 SAML 令牌的身份验证

用于实现基于 SAML 令牌的提供程序的体系结构包含以下组件:

  • SharePoint Security Token Service   此服务将创建由服务器场使用的 SAML 令牌。该服务会自动创建并在服务器场中的所有服务器上启动。该服务用于服务器场之间的通信,因为所有服务器场之间的通信都使用基于声明的身份验证。该服务还用于为使用基于声明的身份验证的 Web 应用程序实现的身份验证方法。这包括 Windows 身份验证、基于表单的身份验证和基于 SAML 令牌的身份验证。

  • 令牌签名证书 (ImportTrustCertificate)   可将该证书从 IP-STS 导出,然后将其复制到服务器场中的一台服务器上并将其添加到服务器场的“受信任的根证书颁发机构”列表中。使用该证书创建一个 SPTrustedIdentityTokenIssuer 后,将无法使用它创建另一个 SPTrustedIdentityTokenIssuer。若要使用该证书创建其他 SPTrustedIdentityTokenIssuer,则必须先删除现有 SPTrustedIdentityTokenIssuer。在删除现有项之前,必须取消它与可能使用它的所有 Web 应用程序的关联。

  • 标识声明   标识声明是来自 SAML 令牌的声明,它是用户的唯一标识符。只有 IP-STS 的所有者知道令牌中的哪个值对每个用户始终是唯一的。标识声明是在映射所有所需声明的过程中作为常规声明映射创建的。充当标识声明的声明是在创建 SPTrustedIdentityTokenIssuer 时声明的。

  • 其他声明   这些声明由来自 SAML 票证、用于描述用户的其他声明组成。其中可能包括用户角色、用户组或其他种类的声明(如年龄)。所有声明映射都是作为对象创建的,并在 SharePoint Server 服务器场中的服务器之间进行复制。

  • 领域   在 SharePoint 声明体系结构中,与配置为使用基于 SAML 令牌的提供程序的 SharePoint Web 应用程序关联的 URI 或 URL 代表领域。在服务器场中创建基于 SAML 的身份验证提供程序时,应指定您希望 IP-STS 识别的领域或 Web 应用程序 URL(一次指定一个)。第一个领域是在创建 SPTrustedIdentityTokenIssuer 时指定的。可以在创建 SPTrustedIdentityTokenIssuer 之后添加更多领域。可使用类似如下的语法指定领域:$realm = "urn:sharepoint:mysites"。将领域添加到 SPTrustedIdentityTokenIssuer 中后,必须使用该领域标识符在 IP-STS 服务器上创建 RP-STS 信任。该过程涉及为 Web 应用程序指定 URL。

  • SPTrustedIdentityTokenIssuer   这是在 SharePoint 场中创建的对象,它包含与 IP-STS 通信以及从 IP-STS 接收令牌所必需的值。在创建 SPTrustedIdentityTokenIssuer 时,应指定要使用的令牌签名证书、第一个领域、代表标识声明的声明以及任何其他声明。只能将来自 STS 的令牌签名证书与一个 SPTrustedIdentityTokenIssuer 相关联。但是,在创建 SPTrustedIdentityTokenIssuer 后,可以为其他 Web 应用程序添加更多领域。将领域添加到 SPTrustedIdentityTokenIssuer 中后,还必须将其作为信赖方添加到 IP-STS 中。SPTrustedIdentityTokenIssuer 对象会在 SharePoint Server 服务器场中的各个服务器之间复制。

  • 信赖方安全令牌服务 (RP-STS)   在 SharePoint Server 中,配置为使用 SAML 提供程序的每个 Web 应用程序都将作为一个 RP-STS 条目添加到 IP-STS 服务器中。SharePoint Server 服务器场可以包含多个 RP-STS 条目。

  • 标识提供程序安全令牌服务 (IP-STS)   这是声明环境中的安全令牌服务,它代表关联用户目录中的用户颁发 SAML 令牌。

下图演示了 SharePoint Server SAML 令牌声明体系结构。

SAML 令牌声明体系结构

SharePoint claims authentication components

SPTrustedIdentityTokenIssuer 对象是使用多个参数创建的,包括:

  • 单个身份声明。

  • 单个 SignInURL 参数。

    SignInURL 参数指定重定向到用户请求的 URL,以便对 IP-STS 进行身份验证。

  • 单个 Wreply 参数。

    某些 IP-STS 服务器要求 Wreply 参数,它被设置为 true 或 false。False 是默认值。仅在 IP-STS 要求时才使用 Wreply 参数。

  • 多个领域。

  • 多个声明映射。

若要使用 SharePoint Server 实现基于 SAML 令牌的身份验证,请使用以下需要提前规划的步骤:

  1. 从 IP-STS 导出令牌签名证书。将该证书复制到 SharePoint Server 服务器场中的某台服务器上。

  2. 定义将用作用户的唯一标识符的声明。这称为标识声明。用户主体名称 (UPN) 或者用户电子邮件名称经常用作用户标识符。应与 IP-STS 的管理员协商确定正确的标识符,因为只有 IP-STS 的所有者知道令牌中将始终对每个用户唯一的值。确定用户的唯一标识符是声明映射过程的一部分。可使用 Microsoft PowerShell 创建声明映射。

  3. 定义其他声明映射。定义 SharePoint Server 服务器场将使用的传入令牌中的附加声明。用户角色是一种可用于向 SharePoint Server 服务器场中的资源分配权限的声明。来自传入令牌且没有映射的所有声明都将被丢弃。

  4. 使用 PowerShell 创建新身份验证提供程序以导入令牌签名证书。该过程将创建 SPTrustedIdentityTokenIssuer。在该过程中,你可以指定标识声明和已映射的其他声明。还必须创建和指定与你为基于 SAML 令牌的身份验证配置的第一个 SharePoint Web 应用程序关联的领域。创建 SPTrustedIdentityTokenIssuer 后,可以为其他 SharePoint Web 应用程序创建和添加更多领域。可通过这种方法将多个 Web 应用程序配置为使用同一 SPTrustedIdentityTokenIssuer

  5. 对于添加到 SPTrustedIdentityTokenIssuer 中的每个领域,必须在 IP-STS 上为其分别创建一个 RP-STS 条目。可以在 SharePoint Web 应用程序存在之前完成此操作。无论如何,你都必须在创建 Web 应用程序之前规划 URL。

  6. 对于现有或新的 SharePoint Web 应用程序,将其配置为使用新创建的身份验证提供程序。创建 Web 应用程序时,身份验证提供程序将在管理中心中显示为受信任的标识提供程序。

您可以配置多个基于 SAML 令牌的身份验证提供程序。但是,一个服务器场中只能使用一次令牌签名证书。所有已配置的提供程序都将作为选项显示在管理中心中。来自不同受信任 STS 环境的声明不会发生冲突。

如果对合作伙伴公司以及你自己的包含 IP-STS 的环境实现基于 SAML 令牌的身份验证,建议你与内部声明环境的管理员在你的内部 IP-STS 与合作伙伴 STS 之间建立单向信任关系。该方法不要求你向 SharePoint Server 服务器场中添加身份验证提供程序。它还允许声明管理员管理整个声明环境。

重要说明Important:
在 SharePoint Server 中使用基于声明的身份验证时,不再需要将网络负载平衡设置为单个相关性。
注意Note:
当 Web 应用程序配置为使用基于 SAML 令牌的身份验证时,SPTrustedClaimProvider 类不为人员选取器控件提供搜索功能。在人员选取器控件中输入的任何文本都将自动显示,好像已进行解析一样,而不管它是否是有效用户、组或声明。如果你的 SharePoint Server 解决方案将使用基于 SAML 令牌的身份验证,你应该规划创建自定义声明提供程序来实现自定义搜索和名称解析。

有关使用 AD FS 配置基于 SAML 令牌的身份验证的详细步骤,请参阅在 SharePoint 2013 中使用 AD FS 配置基于 SAML 的声明身份验证

为 Web 应用程序规划区域

区域代表用于访问 Web 应用程序中的相同网站的不同逻辑路径。每个 Web 应用程序最多可以包含五个区域。在创建 Web 应用程序时,管理中心将创建名为 default 的区域。若要创建其他区域,请扩展 Web 应用程序并选择剩余的区域名称:Intranet、Extranet、Internet 或自定义。

规划区域将取决于以下内容:

  • 基于声明的身份验证(建议)— 可以在单个区域实现多个身份验证提供程序。还可以使用多个区域。

在一个区域中实现多种类型的身份验证

如果您使用基于声明的身份验证并实现多种身份验证方法,则建议您在默认区域实现多种身份验证方法。这将为所有用户生成同一 URL。

在同一区域实现多种身份验证方法时,存在以下限制:

  • 只能在区域中实现一个基于表单的身份验证实例。

  • 管理中心允许您同时使用集成 Windows 方法和基本方法。但是,不能在一个区域中实现多种类型的 Windows 身份验证。

如果为一个服务器场配置了多个基于 SAML 令牌的身份验证提供程序,则在创建 Web 应用程序或新区域时,所有这些提供程序都将作为选项出现。可以在同一区域中配置多个 SAML 提供程序。

下图演示了在合作伙伴协作网站的默认区域中实现的多种类型的身份验证。

在默认区域实现的多种类型的身份验证

Multiple types of authentication on a zone

在该示意图中,来自不同目录存储区的用户使用同一 URL 访问合作伙伴网站。合作伙伴公司周围的虚框显示用户目录与默认区域中配置的身份验证类型之间的关系。

规划爬网内容

爬网组件需要使用 NTLM 来访问内容。必须至少将一个区域配置为使用 NTLM 身份验证。如果没有在默认区域中配置 NTLM 身份验证,则爬网组件可以使用配置为使用 NTLM 身份验证的其他区域。

实现多个区域

如果打算为 Web 应用程序实现多个区域,可以使用以下指南:

  • 使用默认区域来实现最安全的身份验证设置。如果请求不能与特定区域相关联,则将应用默认区域的身份验证设置和其他安全策略。默认区域是在您创建 Web 应用程序时创建的区域。通常,最安全的身份验证设置是为最终用户进行访问而设计的。因此,最终用户可能会访问默认区域。

  • 尽量减少为用户提供访问所需的区域数。每个区域都与新的 IIS 网站和域关联,以便访问 Web 应用程序。仅在需要时添加新的访问点。

  • 确保至少将一个区域配置为对爬网组件使用 NTLM 身份验证。不要为索引组件创建专用区域(除非有必要)。

下图显示了为符合对合作伙伴协作网站的不同身份验证类型而实现的多个区域。

每种身份验证类型对应一个区域

One zone for each authentication type

在该示意图中,默认区域用于远程员工。每个区域都具有与其相关的不同 URL。员工将根据他们是在办公室工作还是远程工作来使用不同的区域。

from:

https://msdn.microsoft.com/zh-cn/library/cc262350(v=office.16).aspx

  • 我的微信
  • 这是我的微信扫一扫
  • weinxin
  • 我的微信公众号
  • 我的微信公众号扫一扫
  • weinxin

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: