Служба маркеров безопасности (STS)

□. Хранилище ' политик

Хранилища атрибутов

□

I

Членство

ASP.NET

J

I

UvelD На основе SAML

Рис. 13.4. Служба маркеров доступа STS доверяющей стороны (Relying Party Security Token Service — RP-STS)

RP-STS представляет собой поставщик идентификации, который установил отношение доверия с IP-STS. Она используется для проверки заявок внешних пользователей, полномочия которых не хранятся в локальных хранилищах атрибутов. RP-STS создает маркер доступа для аутентифицируемого пользователя, a STS, локальная в SharePoint, проверяет заявки для аутентифицируемого пользователя. Запрашивающее веб-приложение авторизует аутентифицированного внешнего пользователя, после того как локальная STS проверит заявки.

Аутентификация по заявкам в SharePoint

В SharePoint 2010 аутентификация по заявкам является службой SharePoint. SharePoint содержит локальную STS в качестве части фермы SharePoint. Между локальной STS SharePoint и веб-приложениями фермы SharePoint имеется отношение доверия.

На рис. 13.6 показана последовательность событий в процессе аутентификации пользователя в SharePoint с помощью аутентификации по заявкам:

Пользователь пытается подключиться к веб-приложению SharePoint с помощью какого-то клиента (веб-браузера или офисного клиента). Этот клиент посылает веб-приложению веб-запрос на конкретный ресурс.

Веб-приложение SharePoint, использующее аутентификацию по заявкам, возвращает ответ 302, в котором содержится URL для перенаправления и аутентификации.

Клиент выполняет перенаправление и отправляет на указанный URL запрос мар кера доступа. Этот запрос обрабатывается локальной STS, которая выполняет роль поставщика идентификации STS, аутентифицирует сущность пользователя и создает маркер доступа (маркер SAML) для аутентифицированной сущности.

Клиент получает маркер доступа от локальной ST'S.

Клиент посылает веб-приложению веб-запрос на конкретный ресурс, включив в этот запрос маркер доступа. Веб-приложение проверяет сущность пользователя и выбирает нужные ресурсы.

Клиент получает доступ к запрошенным им ресурсам — cookie-набору, HTML-странице и пр.

Отношение доверия

Локальная STS

Партнерская STS

1

¹ STS поставщика. идентификации (IP-STS)

STS доверяющей стороны (RP-STS)

□

□

Хранилище политик \ Хранилища атрибутов

Хранилище политик Хранилища атрибутов

□

□

Членство

ASP.NET

Членство

ASP.NET

Ф *

LivelD на основе SAML

• ♦

LivelD На основе SAML.

Puc. 13.6. Процесс аутентификации no заявкам в SharePoint

Аутентификация по заявкам в SharePoint с помощью федерации

Обычно для сотрудничества с партнерами создается доверие между партнерской STS и локальной STS. Когда внешние пользователи пытаются аутентифицироваться в SharePoint, в партнерскую STS посылается запрос, подтвержденный локальной STS в ферме SharePoint. Внешний пользователь может обращаться к веб-приложению со своими внешними полномочиями.

На рис. 13.7 показана последовательность событий при аутентификации внешнего пользователя в SharePoint с помощью аутентификации по заявкам:

• Пользователь пытается подключиться к веб-приложению SharePoint с помощью веб-браузера или клиента Office. Клиент выполняет веб-запрос к этому веб-приложению.

• Веб-приложение SharePoint, использующее аутентификацию по заявкам, возвращает ответ 302, в котором содержится URL для перенаправления к соответствующей партнерской STS и аутентификации.

• Клиент выполняет перенаправление и отправляет в партнерскую STS запрос маркера доступа. Этот запрос обрабатывается партнерской STS, которая аутентифицирует сущность пользователя и создает маркер доступа (маркер IP-STS) для аутентифицированной сущности. Маркер IP-STS посылается для проверки в локальную STS.

• Локальная STS получает маркер IP-STS и проверяет заявки данной сущности, после чего создает новый маркер RP-STS и отправляет его клиенту. Этот маркер содержит дополнительные заявки из SharePoint для идентификации пользователя в SharePoint.

• Клиент получает маркер RP-STS от локальной STS.

• Клиент посылает веб-приложению веб-запрос на конкретный ресурс, включив в этот запрос маркер RP-STS. Веб-приложение проверяет сущность пользователя и выбирает нужные ресурсы.

• Клиент получает доступ к запрошенным им ресурсам — cookie-набору, HTML-странице и пр.

НА ЗАМЕТКУ

Важно понимать, что маркер IP-STS отличается от маркера RP-STS. Маркер RP-STS содержит информацию и заявки, специфичные для сущности SharePoint. Этот маркер используется для создания объекта SPUser в ферме SharePoint.

Отношение доверия

□ \

□

• *

LivelD На основе SAML _

Партнерская STS

' XS *

реализация вариантов аутентификации

SharePoint может поддерживать варианты аутентификации для различных сетей — интернета, интрасети и экстрасети. С помощью возможностей, появившихся в SharePoint 2010, Microsoft существенно улучшила поддержку различных вариантов аутентификации: многофакторной аутентификации, смешанной аутентификации, отображений альтернативного доступа и улучшенного мобильного доступа.