SharePoint 2013 的身份验证的新增功能

摘要：SharePoint 2013 包含对声明基础结构和身份验证功能的改进，可支持新的服务器间身份验证和应用程序身份验证方案。
SharePoint 2013 中的身份验证增强功能可更轻松地利用基于声明的身份验证，并支持针对 Exchange Server 2013、Lync Server 2013 以及 SharePoint 商店或应用程序目录中的应用程序的新方案和功能。SharePoint 2013 通过利用和扩展 Open Authorization 2.0 (OAuth 2.0) Web 授权协议来引入对服务器间的身份验证和应用程序身份验证的支持。OAuth 是一个提供基于重定向的临时身份验证的行业标准协议。用户或代表用户的 Web 应用程序可以请求授权以便临时访问资源所有者的指定网络资源。
利用 SharePoint 2013 中的对 OAuth 的支持，用户可以向 SharePoint 商店和应用程序目录中的应用程序授予对指定的受保护的用户资源和数据（包括联系人列表、文档、照片和视频）的访问权，而不要求应用程序获取、存储或提交用户凭据。OAuth 允许应用程序和服务代表用户进行操作以便对 SharePoint 资源进行受限访问。例如，用户可以批准应用程序授予对文档库的特定文件夹的访问权的权限。这将使应用程序（如第三方照片打印程序）根据用户请求访问和复制特定文件夹中的文件，而无需使用或验证用户的帐户凭据。
1.SharePoint 2013 中的用户身份验证和授权
SharePoint 2013 中的用户身份验证是验证请求访问 SharePoint Web 应用程序的用户的身份的过程。身份验证提供程序会向经过身份验证的用户颁发一个安全令牌，该令牌将封装一组有关用户的基于声明的断言，并用于验证分配给用户的一组权限。SharePoint 2013 中的用户授权是一个确定可对 SharePoint Web 应用程序中指定源执行定义的操作的用户的过程。SharePoint 2013 支持基于以下方法的用户身份验证：
•Windows 声明
•基于安全声明标记语言 (SAML) 的声明
•基于表单的身份验证声明
这些基于声明的身份验证方法现在是为 SharePoint 2013 建议的身份验证方法。
SharePoint 2013 的应用程序身份验证和服务器间身份验证功能需要基于声明的身份验证。为此，基于声明的身份验证是 SharePoint 2013 中针对新 Web 应用程序的默认身份验证。当您在管理中心中创建 Web 应用程序时，您只能为基于声明的身份验证指定身份验证方法。虽然 Windows 经典模式身份验证仍在 SharePoint 2013 中可用且可通过 Windows PowerShell 进行配置，但建议您使用基于声明的身份验证。Windows 经典模式身份验证在 SharePoint 2013 中已被弃用。
2.声明基础结构中的改进
SharePoint 2013 还包括声明身份验证基础结构中的以下改进：
•使用新的 Convert-SPWebApplication Windows PowerShell cmdlet 更轻松地从经典模式迁移到基于 Windows 的声明模式
可以对每个内容数据库和每个 Web 应用程序运行迁移。这与 SharePoint 2010 产品形成了鲜明的对比，后者中将对每个 Web 应用程序运行迁移。有关详细信息，请参阅在 SharePoint 2013 中从经典模式身份验证迁移到基于声明的身份验证。
•登录令牌现在将在新的分布式缓存服务中进行缓存
SharePoint 2013 使用新的分布式缓存服务来缓存登录令牌。在 SharePoint 2010 产品中，登录令牌存储在每个 Web 前端服务器的内存中。每当用户访问特定的 Web 前端服务器时，都需要进行身份验证。如果您在 Web 前端的前面使用网络负载平衡器，则用户需要对在负载平衡器后面访问的每个 Web 前端服务器进行身份验证，这可能会导致多次重新身份验证。若要避免重新身份验证以及验证延迟，建议您启用并配置负载平衡器关联（也称为粘滞会话）。通过在 SharePoint 2013 的分布式缓存服务中存储登录令牌，不再需要在负载平衡器解决方案中配置关联。由于专用缓存服务，还可以获得向外扩展的好处并且 Web 前端中的内存使用率会更低。
•日志记录越多，解决身份验证问题就越轻松
SharePoint 2013 具有更多的日志记录可帮助您解决身份验证问题。以下是增强的日志记录支持的示例：
◦分离每个身份验证模式的与已分类的声明相关的日志
◦有关在分布式缓存服务中添加和删除 FedAuth cookie 的信息
◦有关无法使用 FedAuth cookie 的原因的信息，如 cookie 到期或解密失败
◦有关重定向身份验证请求的位置的信息
◦有关特定网站集中的用户迁移失败的信息
3.服务器间身份验证
SharePoint 2013 扩展 OAuth 以实现服务器间身份验证协议，诸如 SharePoint 2013 这样的服务可使用此协议来验证其他服务（如 Exchange Server 2013 或 Lync Server 2013）或与服务器间身份验证协议兼容的服务。
SharePoint 2013 具有专用的本地服务器间安全令牌服务 (STS)，此服务提供了包含用户标识声明的服务器间安全令牌以支持跨服务器的经过身份验证的访问。这些用户标识声明由其他服务用来查找针对其自己的标识提供程序的用户。在本地 STS（SharePoint 2013 服务器间 STS）和其他服务器间兼容服务（Exchange Server 2013 或 Lync Server 2013 服务器间 STS）之间建立的信任是使实现服务器间身份验证的关键功能。对于本地部署，您将其他服务器间兼容服务的 JavaScript 对象表示法 (JSON) 元数据终结点配置为建立此信任关系。对于联机服务，Windows Azure Access Control Service (ACS) 的实例将充当信任中介器以支持三种类型的服务器之间的跨服务器通信。
SharePoint 2013 中的新服务器间 STS 颁发了用于进行服务器间身份验证的访问令牌。在 SharePoint 2013 以及 SharePoint 2010 产品中，支持与 WS 联合身份验证协议兼容的受信任的标识提供程序。但是，SharePoint 2013 中的新服务器间 STS 仅执行允许临时访问令牌访问其他服务（如 Exchange Server 2013 和 Lync Server 2013）的功能。服务器间 STS 未用于用户身份验证且未在用户登录页上、管理中心中的身份验证提供程序 UI 或 SharePoint 2013 产品中的人员选取器中列出。
4.应用程序身份验证
SharePoint 2013 使用 OAuth 2.0 授予 SharePoint 商店和应用程序目录中的应用程序代表用户访问 SharePoint 资源的权限。在安装 SharePoint 商店和应用程序目录中的应用程序时，用户会授予这些应用程序代表其访问 SharePoint 资源的权限。例如，用户安装 SharePoint 商店中的应用程序。SharePoint 网站包含应用程序呈现的嵌入的 HTML 内联框架 (IFRAME)，该框架要求应用程序访问用户列表。当 Web 浏览器显示网站时，应用程序会回调运行 SharePoint 2013 的服务器以代表用户访问该列表。在应用程序获取列表中的数据后，它会显示 IFRAME 的内容。
SharePoint 2013 中的应用程序身份验证过程使用 OAuth 验证应用程序所做的声明，并断言可代表经过身份验证的用户执行操作的应用程序。在 SharePoint 2013 中，Windows Azure ACS 的实例将充当应用程序标识提供程序。您还可以使用应用程序身份验证而无需 ACS。授权过程会验证经过身份验证的应用程序是否有权执行定义的操作或访问指定的资源