Безопасность экстрасетей в SharePoint 2010

Глава 13

Чтобы разобраться в модели безопасности SharePoint, необходимо понимать различие между процессом аутентификации и процессом авторизации. Аутентификация — это механизм, позволяющий системам надежно идентифицировать пользователя, пытающегося получить доступ к некому ресурсу. Авторизация — это механизм, с помощью которого система определяет уровень доступа аутентифицированного пользователя или сущности к защищенному ресурсу. Перед аутентификацией уже должен быть успешно выполнен процесс аутентификации и проведена идентификация. Сам SharePoint не выполняет никакой аутентификации; этот процесс поручается специальной системе аутентификации. Например, аутентификация Windows выполняется Windows-сервером и службой IIS. SharePoint выполняет авторизацию для доступа к защищенным ресурсам, которые находятся в сайтах, списках, библиотеках и других подобных контейнерах. В SharePoint встроены два различных режима аутентификации: классическая аутентификация и аутентификация по заявкам.

Классическая аутентификация

Классическая аутентификация в SharePoint 2010 использует встроенную модель аутентификации Windows, которая поддерживается в старых версиях SharePoint. При этом доступна лишь смешанная аутентификация, при которой одно веб-приложение SharePoint приходится расширять дополнительными приложениями 1IS с различными URL-адресами и поставщиками аутентификации. В этих различных URL используется один и тот же контент, но различные поставщики аутентификации могут изменять доступ и полномочия пользователей.

Аутентификация по заявкам

Аутентификация по заявкам (claims-based authentication или claims authentication) для SharePoint 2010 основана на использовании среды базовой идентификации Windows (Windows Identity Foundation — WIF).

WIF представляет собой набор классов.NET Framework, используемых для реализации идентификации по заявкам. Аутентификация по заявкам была разработана для обеспечения более адресной защиты в модели ролевой безопасности. В большинстве систем, включая и SharePoint 2007 и его предшественников, используется ролевая (или групповая) безопасность. В сложных системах может применяться защита по заявкам, когда полномочия выделяются другим атрибутам (заявкам), связанным с пользователями — это может быть, например, город или членство в списке рассылки.

Аутентификация по заявкам в SharePoint 2010 предоставляет гибкую и расширяемую систему аутентификации, позволяющую задействовать любую систему управления идентификацией, которая поддерживает аутентификацию по заявкам. У аутентификации по заявкам имеются несколько преимуществ:

• Еще большая независимость SharePoint 2010 от поставщиков аутентификации.

• SharePoint 2010 может поддерживать несколько поставщиков аутентификации для одного URL.

• Позволяет передавать (и персонифицировать) сущности между системами без делегирования Kerberos.

• Позволяет организациям выполнять совместную работу с помощью федерации.

• Позволяет формировать списки ACL с помощью других объектов и контейнеров членства, например, списков рассылок, аудиторий и организационных единиц.

• Организации могут подключаться к системам управления идентификацией, не работающим под Windows, если они поддерживают заявки.

■Появиласьобщаямодельдлявыполненияоперацийидентификациидлявеб-браузеров, веб-службидругихбраузерныхприложений, втомчислеипакетов Office.

НА ЗАМЕТКУ ---

Аутентификация по заявкам основана на открытых стандартах WS-Federation 1.1, WS-Trust 1.4 и SAML Token 1.1. Их описание можно прочитать по адресу http://www. oasis-open.org/specs/.

Процесс аутентификации по заявкам

Аутентификация по заявкам проста в использовании, однако для ее выполнения работают несколько взаимосвязанных компонентов. В ней имеются три основных компонента: поставщик идентификации, доверяющая сторона и аутентифицируемый пользователь, которые взаимодействуют в процессе аутентификации, обмениваясь информацией и заявками.

Целью любого процесса аутентификации является идентификация сущности как доверителя безопасности (security principal) авторизованного пользователя. Основным компонентом процесса аутентификации по заявкам является маркер доступа (security token), который использует язык разметки утверждения безопасности (Security Assertion Markup Language — SAML). Маркер доступа используется для безопасной идентификации и описания сущности с помощью содержащегося в нем набора заявок (утверждений идентификации) для этой сущности. Заявка (claim) представляет собой атрибут, специфичный для сущности — например, идентификатор работника, название должности или пользовательское имя. Заявки применяются для определения уровня доступа сущности к конкретным ресурсам SharePoint 2010.

И поставщик идентификации, и доверяющая сторона реализованы в виде служб маркеров доступа (Security Token Service — STS), и каждый из них выполняет свою особую роль в процессе аутентификации. Служба маркеров доступа (рис. 13.4) обрабатывает обмен заявками и создает, подписывает и выпускает маркеры доступа, которые можно использовать для аутентификации и авторизации сущности. Для определения содержимого маркера доступа в STS применяется политика — набор заявок и правил заявок, которые одобрены между одной или более STS и веб-приложением SharePoint, как показано на рис. 13.5. Политики находятся в хранилище заявок и доступны службам S'1'S на основе требований вызывающего веб-приложения. Хранилища атрибутов состоят из различных систем и поставщиков идентификации, содержащих информацию учетных записей пользователей — таких как доменная служба Active Directory (AD DS), ASP.NET и других поставщиков аутентификации, совместимых с маркерами SAML. В процессе аутентификации S'1'S может выполнять две роли: поставщика идентификации и доверяющей стороны.

STS поставщика идентификации (Identity Provider Security Token Service — IP-STS)

IP-STS представляет собой поставщик идентификации, который предоставляет заявку на основе сообщенной пользователем информации. В SharePoint IP-STS выполняет роль локального поставщика идентификации для запрашивающего веб-приложения: она получает запрос на аутентификацию, обрабатывает его, находит политику для запрашивающего веб-приложения или STS доверяющей стороны и создает маркер доступа с помощью заявок сущности в соответствующем хранилище атрибутов.