A autorização e autenticação
Windows SharePoint Services 3.0 oferece suporte à segurança para acessar usuário no site, lista, lista ou biblioteca pasta e os níveis item. Gerenciamento de segurança é função-com base em todos os níveis, fornecer gerenciamento de segurança coerente entre a plataforma Windows SharePoint Services wssnoversshort uma consistente interface usuário Role-Based e modelo de objeto para atribuição de permissões em objetos. Como resultado, lista - nível, pasta - nível, ou item-nível segurança implementa o mesmo modelo usuário como site-nível segurança, tornando mais fácil para gerenciar usuário e direitos GRUPO em todo um site. Windows SharePoint Services também oferece suporte exclusivo permissões nas pastas e itens contidos listas e bibliotecas documento.
Autorização refere-se ao processo pelo qual Windows SharePoint Services fornece segurança para Web sites, listas, pastas, ou itens por para determinar quais usuários podem executar ações específicas em um determinado objeto. O processo autorização pressupõe que o usuário foi já autenticado, que se refere ao processo pelo qual Windows SharePoint Services identifica o atual usuário. Windows SharePoint Services não implementar seu próprio sistema de autenticação ou gerenciamento identidade, mas em vez disso, se baseia exclusivamente em externo sistemas, se Microsoft Windows ou non-Windows autenticação.
Windows SharePoint Services suporta o seguinte tipos de autenticação:
Windows: All Microsoft Internet Information Services (IIS) e Windows autenticação integração opções, incluindo basic, Digest, certificados, Windows NT LAN Manager (NTLM) e Kerberos. Autenticação Windows permite IIS para executar a autenticação para Windows SharePoint Services.
Importante
Se você instalar "Infra-estrutura atualização para SharePoint Windows Services 3.0 (KB951695)," personalizado soluções podem falhar se eles chamar o modelo de objeto SharePoint enquanto representação está suspenso.Se você usar autenticação Windows e seu codificar chama o modelo de objeto SharePoint de um processo de trabalho IIS, a solicitação deve representar identidade do usuário chamado.Configura os serviços SharePoint Windows ASP.NET para representar o usuário chamado automaticamente, mas seu codificar pode trabalho inesperadamente, ou falhas, se você suspender representação--de exemplo, por chamado o RevertToSelf RevertToSelf função de API o Windows, ou por chamado o método System.Security.Principal.WindowsIdentity.Impersonate System.Security.Principal.WindowsIdentity.Impersonate e passando IntPtr.Zero como o valor de token de usuário parâmetro.Mesmo se sua codificar não reverter explicitamente para si mesmo, pode ser chamado por ASP.NET após ele reverterá para si mesmo, como acontece quando estiver implementando um provedor caminho virtual; Se seu codificar não representar o usuário chamado, ele pode não função corretamente.
Formulários ASP.NET: sistema gerenciamento identidade um non-Windows que usa o conectável sistema de autenticação Forms-Based Microsoft ASP.NET. Este modo permite Windows SharePoint Services ao trabalho com uma variedade de sistemas gerenciamento identidade, incluindo grupos definidos externamente ou funções such as protocolo LDAP (LDAP) e sistemas gerenciamento identidade banco de dados Light-Weight. Autenticação de formulários permite ASP.NET para executar a autenticação para Windows SharePoint Services, geralmente envolvendo redirecionar para um log - na página.
Delegado: de sistema para delegar credenciais usuário final de de confiança uma sistema para Windows SharePoint Services. Isso permite que de confiança serviços para transmitir usuário identidades para Windows SharePoint Services para autorização, transmitir que a atual usuário é sem exigir credenciais do usuário que tenha que Windows SharePoint Services.
Observação
Windows SharePoint Services não suporte trabalhando com um com diferenciação de maiúsculas e minúsculas membership provider e sem diferenciação de maiúsculas e minúsculas usa armazenamento SQL para todos os usuários no banco de dados regardless of de membership provider.
Autenticação com base em formulários
Fornece autenticação Forms-Based personalizado gerenciamento identidade em Windows SharePoint Services implementando um membership provider, que define interfaces para identificar e autenticar individual usuários e um Gerenciador função, que define interfaces para agrupamento individual usuários em grupos lógicos ou funções. Dado um nome usuário, o sistema provedor função retorna uma lista das funções às quais o usuário pertence. O membership provider cria um usuário token a partir do nome logon e senha, enquanto o Gerenciador função cria um conjunto de símbolos membro de grupo para a atual do usuário.
O Gerenciador função é opcional, isso se um personalizado sistema de autenticação não suporte grupos (Windows Live ID, de exemplo) e, em seguida, um Gerenciador função não é necessário. Windows SharePoint Services oferece suporte a um membership provider e Gerenciador uma função por zona URL ( SPUrlZone). As funções de formulários ASP.NET direitos não inerente associado com eles. Em vez disso, Windows SharePoint Services atribui direitos para as funções de formulários por meio de suas diretivas e autorização.
The log-on form (login.aspx) is provided by Windows SharePoint Services and resides in the _layouts virtual directory (in Local_Drive:\\Program Files\Common Files\Microsoft Shared\web server extensions\12\TEMPLATE\LAYOUTS). Este arquivo implementa os controles Web forms do ASP.NET usados para coletar credenciais usuário e credenciais armazenar em cache em um cookie.
O administrador central para um site deve registrar o Gerenciador membership provider e função modificando o arquivo web.config para a executar-tempo servidor virtual. Se nenhum provedores estiver registrados, autenticação Forms-Based ASP.NET não trabalho. O administrador central deve da mesma forma atualização o arquivo sptimer.exe.config.
Windows SharePoint Services consome o padrão ASP.NET 2.0 função provedor interface para coletar informações GRUPO sobre o atual usuário. Para autenticação fins, funções e grupos são a mesma coisa: uma maneira dos usuários agrupamento em conjuntos lógicos para autorização. Cada função ASP.NET é tratada como um GRUPO domínio por Windows SharePoint Services.
Para obter informações sobre a estrutura autenticação conectável fornecida pelo ASP.NET, consulte New Security Features in ASP.NET 2.0 .
A autenticação delegada
Windows SharePoint Services suporta delegando credenciais usuário final de um externo sistema para uma implantação SharePoint, de confiança permitindo serviços para transmitir usuário identidades para autorização quando o usuário final não conectar diretamente a Windows SharePoint Services, mas se conecta por outro sistema. Windows SharePoint Services assim permite código de confiança para especificar que a atual usuário é sem Windows SharePoint Services ter credenciais do usuário que.
A autenticação delegada um servidor delega uma extremidade-autenticação do usuário para outro servidor. O computador cliente faz uma solicitação para o primeiro servidor, que torna um ou mais solicitações para o segundo servidor on the part of o usuário final in TURN. Para funcionar, o primeiro servidor deve delegado a autenticação usuários finais para o segundo servidor, que requer um dos dois relacionamentos confiança:
O cliente confia o primeiro servidor com sua senha, de exemplo, para usar autenticação básica ou armazenar uma credencial server-side such as o mecanismo sign-on único conectável de Microsoft Office do SharePoint Server 2007 ou Active Directory Federation Services (ADFS).
O segundo servidor confia o primeiro servidor para transmitir no válido credenciais para válido finalidades, exemplo, para estabelecer um Kerberos-relacionamento de confiança delegação restrita entre os servidores.