簡介

說到身份驗證大家應該不陌生，訪問任何平臺或系統都需要身份驗證，SharePoint也不例外，用戶身份驗證可根據身份驗證提供程序驗證用戶的身份，身份驗證提供程序包含用戶平局切可以確認用戶正確提交這些平均的目錄或數據庫。用于如下場景：

訪問本地SharePoint資源的用戶

訪問本地SharePoint資源的應用程序

訪問本地SharePoint資源的本地服務器

分類

用戶身份驗證

應用程序身份驗證

服務器到服務器身份驗證

用戶身份驗證

用戶身份驗證可根據身份驗證提供程序對用戶身份進行驗證，該提供程序是包含用戶憑據的目錄或數據庫，可驗證用戶提交的憑據是否正確。當用戶嘗試訪問 SharePoint 資源時即會進行用戶身份驗證。

SharePoint 2013 支持兩種身份驗證類型的用戶身份驗證：

基于聲明的身份驗證

Windows 經典模式身份驗證

基于聲明的身份驗證結果是一個基于聲明的安全令牌，該令牌由 SharePoint Security Token Service (STS) 生成。Windows 經典模式身份驗證的結果是一個 Windows 安全令牌。若要進行用戶身份驗證，建議使用基于聲明的身份驗證。

SharePoint 2013 支持 Windows、基于表單和基于安全聲明標記語言 (SAML) 的聲明身份驗證。

App身份驗證

應用程序身份驗證可驗證遠程 SharePoint 應用程序的標識，以及授權該應用程序和關聯用戶對受保護 SharePoint 資源的請求。當 SharePoint 商店應用程序或應用程序目錄應用程序的外部組件（如位于 Intranet 或 Internet 的 Web 服務器）嘗試訪問受保護的 SharePoint 資源時會進行應用程序身份驗證。

例如，假定用戶打開一個包含 SharePoint 應用程序 IFRAME 的 SharePoint 頁面，而該 IFRAME 需要外部組件（例如，位于 Intranet 或 Internet 上的服務器）來訪問受保護的 SharePoint 資源，以便呈現該頁面。SharePoint 應用程序的外部組件必須經過驗證和授權，這樣 SharePoint 才會提供請求的信息，該應用程序才會為用戶呈現頁面。

請注意，如果 SharePoint 應用程序不要求 SharePoint 受保護資源來為用戶呈現頁面，則不需要進行應用程序身份驗證。例如，提供天氣預報信息且只需要訪問 Internet 上的天氣信息服務器的 SharePoint 應用程序就不必使用應用程序身份驗證。使用 SharePoint 2010 產品即可處理此類型的應用程序。

應用程序身份驗證由兩個過程組成：

身份驗證

驗證應用程序是否使用了正確的常用受信任身份代理進行注冊

授權

驗證發出訪問請求的應用程序和關聯用戶是否具有執行其操作（如訪問文件夾、列表或者執行查詢）的相應權限

若要執行應用程序身份驗證，應用程序需要從 Microsoft Azure Access Control Service (ACS) 或通過使用 SharePoint 2013 信任的證書自簽名訪問令牌來獲得訪問令牌。該訪問令牌聲明對特定 SharePoint 資源的訪問請求，并且包括標識應用程序和關聯用戶的信息，而不驗證用戶憑據。訪問令牌不是登錄令牌。

服務器到服務器身份驗證

服務器到服務器身份驗證可驗證服務器的資源請求，該驗證基于在運行 SharePoint 2013 的服務器的 STS 與支持 OAuth 服務器到服務器協議的另一臺服務器的 STS 之間建立的信任關系，比如運行 SharePoint 2013、Exchange Server 2013、Lync Server 2013 或 Azure Workflow Service 的本地服務器和在 Office 365 中運行的 SharePoint 2013 之間。基于此信任關系，請求服務器可以根據服務器和用戶權限，代表指定用戶帳戶訪問 SharePoint 服務器上的受保護資源。

支持的身份驗證類型和方法

Windows 身份驗證

Windows 身份驗證類型利用現有的 Windows 身份驗證提供程序 (AD DS) 以及 Windows 域環境使用的身份驗證協議來驗證進行連接的客戶端的憑據。基于聲明的身份驗證和經典模式使用的 Windows 身份驗證方法包括以下幾種：

NTLM

Kerberos

摘要

基本

基于表單的身份驗證

基于表單的身份驗證是基于 ASP.NET 成員身份和角色提供程序身份驗證的基于聲明的標識管理系統。可對存儲在如下身份驗證提供程序中的憑據使用基于表單的身份驗證：

AD DS

SQL Server 數據庫之類的數據庫

Novell eDirectory、Novell Directory Services (NDS) 或 Sun ONE 等輕型目錄訪問協議 (LDAP) 數據存儲

基于表單的身份驗證根據用戶在登錄表單（通常是一個網頁）中鍵入的憑據驗證用戶身份。未經身份驗證的請求將重定向到登錄頁，用戶必須在該頁中提供有效憑據并提交表單。系統會為經過身份驗證的請求發布一個 Cookie，其中包含用于重建后續請求的標識的項。

基于 SAML 令牌的身份驗證

SharePoint 2013 中基于 SAML 令牌的身份驗證使用 SAML 1.1 協議和 WS 聯合身份驗證被動請求者配置文件 (WS-F PRP)。它需要與基于聲明的環境的管理員進行協商，無論該環境是您自己的內部環境還是合作伙伴環境。如果使用 Active Directory 聯合身份驗證服務 (AD FS) 2.0，具有基于 SAML 令牌的身份驗證環境。

基于 SAML 令牌的身份驗證環境包含標識提供程序安全令牌服務 (IP-STS)。IP-STS 代表其帳戶包含在關聯的身份驗證提供程序中的用戶頒發 SAML 令牌。令牌可以包含有關用戶的任何數量的聲明，例如用戶名和用戶所在的組。AD FS 2.0 服務器是 IP-STS 的示例。

SharePoint 2013 利用 IP-STS 頒發給授權用戶的令牌中包含的聲明。在聲明環境中，接受 SAML 令牌的應用程序稱為信賴方 STS (RP-STS)。信賴方應用程序接收 SAML 令牌并使用其中的聲明來決定是否授予客戶端對所請求資源的訪問權限。在 SharePoint 2013 中，配置為使用 SAML 提供程序的每個 Web 應用程序都作為單獨的 RP-STS 條目添加到 IP-STS 服務器中。一個 SharePoint 場可以在 IP-STS 中表示多個 RP-STS 條目。

基于令牌聲明的典型的體系結構

釋放價值，分享知識和經驗，解讀IT前沿和技術。幫助他人，提升自己。更多交流請關注微信公眾號itboxes（IT智囊）。

注：圖片來源于網絡，如有異議，請聯系我們，我們將即時處理。

作者：風中的大蘋果Martecher
鏈接：https://www.jianshu.com/p/f20775727038
來源：簡書
著作權歸作者所有。商業轉載請聯系作者獲得授權，非商業轉載請注明出處。

總結

以上是生活随笔為你收集整理的10分钟精通SharePoint-验证方式的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。