Сотрудников выполняется в составе системы управления первичной идентификацией в организации.

Партнеры

Участвуют в производственных процессах и совместной работе с сотрудниками организации с помощью экстрасети. К партерам относятся организации, работающие в совместных предприятиях, совместные проекты и другие ситуации совместной работы. Управление партнерами обычно выполняется с помощью системы управления идентификацией, отдельной от аналогичной системы предприятия. Трудности работы с партнерами — управление безопасностью и изоляция партнерских данных от внутренних данных, а также

Изоляция данных одних партнеров от данных других партнеров.

^ \ Часть III Окончание табл. 13.1 Вид пользователейОписание Поставщики и клиентыПолучают доступ к помеченной или целевой информации на основе линеек продуктов или клиентских профилей. Обычно контент разбивается на сегменты с помощью реализации отдельных семейств сайтов в ферме. Для ограничения доступа к контенту и сокращения объема результатов поиска используются аудитории. Как правило, для управления доступом поставщиков и клиентов к помеченной или целевой информации требуется лишь система управления идентификацией для внешних пользователей, т.к. прямого совместного доступа к внутренним ресурсам нет.

Распространенные топологии развертываний

Прежде чем приступить к выбору конкретной топологии, полезно ознакомиться с несколькими топологиями развертываний, часто применяемыми для решений экстрасетей. В топологию входит подробный обзор всех серверов, устройств, связей и портов в сети — как физических, так и логических. Понимание и планирование соответствующей топологии развертывания поможет избежать нестыковок или ошибок в физических и логических сетях и решениях экстрасетей.

Топология с периферийным брандмауэром

Данная топология, показанная на рис. 13.1, использует решение периферийного брандмауэра наподобие Microsoft Forefront UAG или Forefront TMG, либо стороннего брандмауэра типа шлюза между внутренней сетью и интернетом. В этой конфигурации брандмауэр используется в качестве обратного прокси-сервера, который перехватывает запросы из интернета и направляет их соответствующему веб-серверу, находящемуся во внутренней сети. Прокси-сервер на основе набора настраиваемых правил проверяет запрошенный URL и преобразовывает его во внутренний URL. Эта топология имеет следующие преимущества и недостатки:

Преимущества

■Самоеэкономичноеипростоерешение, длякотороготребуетсяминимальныйобъемоборудованияинастроек.

• Вся ферма SharePoint находится в корпоративной сети.

■Болеепростоеуправлениесервером.

Недостатки

■Корпоративнаясетьзащищенаотинтернетаоднимбрандмауэром.

• Корпоративная сеть уязвима в случае компрометации внешнего пользователя.

Топология со сдвоенным брандмауэром

Топология со сдвоенным брандмауэром показана на рис. 13.2. Это рекомендуемая сетевая топология для большинства организаций. Все оборудование и данные находятся в периферийной сети. Иногда роли серверов фермы и серверы сетевой инфраструктуры наподобие Active Directory и Exchange Server разделяются на несколько слоев с дополнительными маршрутизаторами или брандмауэрами. Такая гибкая топология позволяет создать дополнительные сетевые слои, что обеспечивает более надежную защиту. Внешние пользователи обращаются к периферийной сети через внешний прокси-сервер или брандмауэр, а внутренние пользователи — через внутренний прокси-сервер или брандмауэр. Эта топология имеет следующие преимущества и недостатки:

Преимущества

• Корпоративная сеть более защищена. Если внешний пользователь скомпрометирован, уязвима лишь периферийная сеть.

• Вся ферма SharePoint находится в периферийной сети.

• Внешние пользователи могут обращаться только к изолированной периферийной сети.

• Управление учетными записями внешних пользователей упрощено и изолировано от внутренней системы управления идентификацией.

Недостатки

• Нужно дополнительное оборудование и ресурсы.

• База данных контента уязвима в случае компрометации периферийной сети.

• Дополнительные издержки на управление дополнительными системами управления идентификацией.

Раздельная топология со сдвоенным брандмауэром

Раздельная топология со сдвоенным брандмауэром, показанная на рис. 13.3, похожа на топологию со сдвоенным брандмауэром, но разбивает ферму SharePoint на периферийную и корпоративную сети. Пользовательские веб-интерфейсы SharePoint, некоторые серверы приложений и некоторые серверы инфраструктуры (внешняя система управления идентификацией и другие ресурсы) находятся в периферийной сети. Остальные серверы и ресурсы SharePoint — например, базы данных SQL Server и другие серверы инфраструктуры — находятся в корпоративной сети. Эта топология имеет следующие преимущества и недостатки:

Преимущества

• Корпоративная сеть еще более защищена. Если внешний пользователь скомпрометирован, уязвима лишь периферийная сеть с меньшим количеством ресурсов.

• Базы данных контента защищены даже в случае компрометации периферийной сети.

• Внешние пользователи могут обращаться только к изолированной периферийной сети.

• Управление учетными записями внешних пользователей упрощено и изолировано от внутренней системы управления идентификацией.

Недостатки

• Существенная сложность решения.

• Для данной конфигурации нужны дополнительное оборудование и ресурсы.

• Ферма уязвима в случае компрометации периферийной сети и получения злоумышленниками доступа к учетным записям фермы.

• Обмен данными внутри фермы SharePoint разделен на два домена.