10分钟精通SharePoint-验证方式

简介

说到身份验证大家应该不陌生，访问任何平台或系统都需要身份验证，SharePoint也不例外，用户身份验证可根据身份验证提供程序验证用户的身份，身份验证提供程序包含用户平局切可以确认用户正确提交这些平均的目录或数据库。用于如下场景：

访问本地SharePoint资源的用户

访问本地SharePoint资源的应用程序

访问本地SharePoint资源的本地服务器

分类

用户身份验证

应用程序身份验证

服务器到服务器身份验证

用户身份验证

用户身份验证可根据身份验证提供程序对用户身份进行验证，该提供程序是包含用户凭据的目录或数据库，可验证用户提交的凭据是否正确。当用户尝试访问 SharePoint 资源时即会进行用户身份验证。

SharePoint 2013 支持两种身份验证类型的用户身份验证：

基于声明的身份验证

Windows 经典模式身份验证

基于声明的身份验证结果是一个基于声明的安全令牌，该令牌由 SharePoint Security Token Service (STS) 生成。Windows 经典模式身份验证的结果是一个 Windows 安全令牌。若要进行用户身份验证，建议使用基于声明的身份验证。

SharePoint 2013 支持 Windows、基于表单和基于安全声明标记语言 (SAML) 的声明身份验证。

App身份验证

应用程序身份验证可验证远程 SharePoint 应用程序的标识，以及授权该应用程序和关联用户对受保护 SharePoint 资源的请求。当 SharePoint 商店应用程序或应用程序目录应用程序的外部组件（如位于 Intranet 或 Internet 的 Web 服务器）尝试访问受保护的 SharePoint 资源时会进行应用程序身份验证。

例如，假定用户打开一个包含 SharePoint 应用程序 IFRAME 的 SharePoint 页面，而该 IFRAME 需要外部组件（例如，位于 Intranet 或 Internet 上的服务器）来访问受保护的 SharePoint 资源，以便呈现该页面。SharePoint 应用程序的外部组件必须经过验证和授权，这样 SharePoint 才会提供请求的信息，该应用程序才会为用户呈现页面。

请注意，如果 SharePoint 应用程序不要求 SharePoint 受保护资源来为用户呈现页面，则不需要进行应用程序身份验证。例如，提供天气预报信息且只需要访问 Internet 上的天气信息服务器的 SharePoint 应用程序就不必使用应用程序身份验证。使用 SharePoint 2010 产品即可处理此类型的应用程序。

应用程序身份验证由两个过程组成：

身份验证

验证应用程序是否使用了正确的常用受信任身份代理进行注册

授权

验证发出访问请求的应用程序和关联用户是否具有执行其操作（如访问文件夹、列表或者执行查询）的相应权限

若要执行应用程序身份验证，应用程序需要从 Microsoft Azure Access Control Service (ACS) 或通过使用 SharePoint 2013 信任的证书自签名访问令牌来获得访问令牌。该访问令牌声明对特定 SharePoint 资源的访问请求，并且包括标识应用程序和关联用户的信息，而不验证用户凭据。访问令牌不是登录令牌。

服务器到服务器身份验证

服务器到服务器身份验证可验证服务器的资源请求，该验证基于在运行 SharePoint 2013 的服务器的 STS 与支持 OAuth 服务器到服务器协议的另一台服务器的 STS 之间建立的信任关系，比如运行 SharePoint 2013、Exchange Server 2013、Lync Server 2013 或 Azure Workflow Service 的本地服务器和在 Office 365 中运行的 SharePoint 2013 之间。基于此信任关系，请求服务器可以根据服务器和用户权限，代表指定用户帐户访问 SharePoint 服务器上的受保护资源。

支持的身份验证类型和方法

Windows 身份验证

Windows 身份验证类型利用现有的 Windows 身份验证提供程序 (AD DS) 以及 Windows 域环境使用的身份验证协议来验证进行连接的客户端的凭据。基于声明的身份验证和经典模式使用的 Windows 身份验证方法包括以下几种：

NTLM

Kerberos

摘要

基本

基于表单的身份验证

基于表单的身份验证是基于 ASP.NET 成员身份和角色提供程序身份验证的基于声明的标识管理系统。可对存储在如下身份验证提供程序中的凭据使用基于表单的身份验证：

AD DS

SQL Server 数据库之类的数据库

Novell eDirectory、Novell Directory Services (NDS) 或 Sun ONE 等轻型目录访问协议 (LDAP) 数据存储

基于表单的身份验证根据用户在登录表单（通常是一个网页）中键入的凭据验证用户身份。未经身份验证的请求将重定向到登录页，用户必须在该页中提供有效凭据并提交表单。系统会为经过身份验证的请求发布一个 Cookie，其中包含用于重建后续请求的标识的项。

基于 SAML 令牌的身份验证

SharePoint 2013 中基于 SAML 令牌的身份验证使用 SAML 1.1 协议和 WS 联合身份验证被动请求者配置文件 (WS-F PRP)。它需要与基于声明的环境的管理员进行协商，无论该环境是您自己的内部环境还是合作伙伴环境。如果使用 Active Directory 联合身份验证服务 (AD FS) 2.0，具有基于 SAML 令牌的身份验证环境。

基于 SAML 令牌的身份验证环境包含标识提供程序安全令牌服务 (IP-STS)。IP-STS 代表其帐户包含在关联的身份验证提供程序中的用户颁发 SAML 令牌。令牌可以包含有关用户的任何数量的声明，例如用户名和用户所在的组。AD FS 2.0 服务器是 IP-STS 的示例。

SharePoint 2013 利用 IP-STS 颁发给授权用户的令牌中包含的声明。在声明环境中，接受 SAML 令牌的应用程序称为信赖方 STS (RP-STS)。信赖方应用程序接收 SAML 令牌并使用其中的声明来决定是否授予客户端对所请求资源的访问权限。在 SharePoint 2013 中，配置为使用 SAML 提供程序的每个 Web 应用程序都作为单独的 RP-STS 条目添加到 IP-STS 服务器中。一个 SharePoint 场可以在 IP-STS 中表示多个 RP-STS 条目。

基于令牌声明的典型的体系结构