Ноэл М., Спенс К. - Microsoft SharePoint. Полное руководство - 2011

Важно понимать, что маркер IP-STS отличается от маркера RP-STS. Маркер RP-STS содержит информацию и заявки, специфичные для сущности SharePoint. Этот маркер используется для создания объекта SPUser в ферме SharePoint.

Отношение доверия

□ \

□

• *

LivelD На основе SAML _

Партнерская STS

' XS *

SharePoint может поддерживать варианты аутентификации для различных сетей — интернета, интрасети и экстрасети. С помощью возможностей, появившихся в SharePoint 2010, Microsoft существенно улучшила поддержку различных вариантов аутентификации: многофакторной аутентификации, смешанной аутентификации, отображений альтернативного доступа и улучшенного мобильного доступа.

Смешанная аутентификация (рис. 13.8) использует тот же подход, который использовался в SharePoint 2007 для аутентификации различных видов пользователей с различными поставщиками аутентификации. В смешанной аутентификации первичное веб-приложение задействует стандартную зону безопасности с аутентификацией Windows. Для использования более одного поставщика аутентификации первичное веб-приложение необходимо расширить до другого IIS-приложения. Каждое IIS-приложение требует наличия уникального URL. Для каждого IIS-приложения можно настроить отдельный поставщик аутентификации. SharePoint считает новые IIS-приложения частью первичного веб-приложения. В результате отдельные IIS-приложения совместно используют один и тот же контент (базы данных контента) в SharePoint.

IIS-приложение поддерживает только одну схему или протокол. Поэтому для отдельной поддержки HTTP и HTTPS нужны два IIS-приложения.

Режим многофакторной (multi-authentication) аутентификации, показанный на рис. 13.9, характерен тем, что он позволяет задать в одном веб-приложении несколько видов аутентификации и не требует расширения веб-приложени. При этом пользователи могут выбрать такой вид входа в веб-приложение, который им больше нравится.

В табл. 13.2 проведено сравнение многофакторной и смешанной аутентификации и несколько распространенных ситуаций для каждого вида.

Отображения альтернативного доступа (Alternate access mappings — ААМ) представляют собой правила, используемые SharePoint и описывающие отображение веб-запросов на нужные веб-приложения и сайты. Они сообщают SharePoint, какие URL-адреса нужно вернуть в контенте, чтобы пользователи могли без проблем перемещаться по сайту SharePoint. Чаще всего ААМ используются при публикациях с обратным прокси-сервером и при балансировке нагрузки. Обратный прокси-сервер — это устройство, находящееся между конечным пользователем и сервером SharePoint. Запросы, направляемые к серверу SharePoint, вначале получает брандмауэр обратного прокси (например, интернет-запрос по протоколу HTTPS). После этого обратный прокси направляет запрос к серверу SharePoint в виде HTTP-запроса. Этот процесс называется “распечатыванием SSLT (off-box SSL termination). ААМ-отображения используются для обратного преобразования внутренних URL вправильные общедоступные URL-адреса. Это обеспечивает беспроблемную навигацию конечных пользователей по сайтам SharePoint при доступе к ресурсам извне. Кроме этого, дАМ-отображения применяются для перенаправления веб-запросов в порты с различными номерами.