SharePoint 混合单点--Azure访问控制服务(ACS)与认证方法

04/01 10:33
阅读数 88

Azure访问控制服务(ACS)与认证

Microsoft Azure访问控制服务

Microsoft Azure访问控制服务(ACS)提供了一种简单的身份验证(身份)方法,以及授权用户(访问控制)使用流行的基于Web的身份提供程序(如Microsoft帐户(以前称为Windows Live))访问应用程序和服务ID),Facebook,Yahoo!,Google和WS-Federation身份提供商。ACS消除了每个社交身份提供商将自定义授权代码写入应用程序的需要。它还提供了一个授权存储,可以通过编程方式访问,也可以通过管理门户访问。

ACS支持以下标准:

  • AD FS 2.0
  • OAuth 2.0(草案10)
  • WS-信托
  • WS-Federation协议
  • SAML 1.1和2.0
  • 简单Web令牌(SWT)和Json Web令牌(JWT)令牌格式
  • 集成和可自定义的Home Realm Discovery,允许用户选择其身份提供商
  • 基于开放数据协议(OData)的管理服务,提供对ACS配置的编程访问

ACS和SCS认证信任

SharePoint和SharePoint Online之间的S2S身份验证信任

S2S身份验证信任是SharePoint混合功能(如混合搜索)的重要先决条件,它需要SharePoint本地服务器与SharePoint Online之间的通信。实质上,您正在创建一个高信任的授权系统,该系统在SharePoint内部部署和SharePoint Online之间创建,以适应服务器间通信。

实施S2S身份验证信任后,SharePoint内部部署人员可以在SharePoint Online中请求资源。该请求将与本地用户的用户主体名称(UPN)一起在线发送到SharePoint。然后,使用UPN在SharePoint Online用户配置文件存储中查找用户的标识。如果找到匹配,则在云中重新生成(或称为“再水合”)用户身份并用于对搜索结果执行安全修整。

需要为SharePoint验证以下用户属性以查找用户的UPN,然后在用户身份重新生成过程中成功执行匹配:

  • 用户主要名称(UPN)
  • 简单邮件传输协议(SMTP)地址
  • 名称标识符 - 例如Windows安全标识符(SID)
  • 会话发起协议(SIP)地址

手动配置S2S信任

手动配置S2S信任涉及以下步骤:

  1. 创建新的自签名或公共CA颁发的X.509证书作为新的STS令牌签名证书。可以使用默认的服务器场STS证书,但最常见的做法是配置新证书。
  2. 替换所有SharePoint本地服务器上的STS令牌签名证书。
  3. 在SharePoint本地服务器上,安装以下内容:
    • Microsoft Online Services登录助手
    • 适用于Windows PowerShell的Azure Active Directory模块
    • SharePoint Online Management Shell
  4. 在本地SharePoint场和SharePoint Online之间建立信任。
  5. 将新创建的STS证书上载到SharePoint Online。
  6. 将服务主体名称(SPN)添加到Azure以用于本地域。

    例如,00000003-0000-0ff1-ce00-000000000000“/ * .contsoso.com。SharePoint Online应用程序主体ID始终为00000003-0000-0ff1-ce00-000000000000。
     


  7. 在SharePoint内部部署中将SharePoint Online应用程序主体对象ID注册为受信任的提供程序。
  8. 在内部部署SharePoint Server场和SharePoint Online之间配置通用身份验证领域。
  9. 在本地配置Azure ACS应用程序代理。
发布了397 篇原创文章 · 获赞 102 · 访问量 121万+
展开阅读全文
打赏
0
0 收藏
分享
加载中
更多评论
打赏
0 评论
0 收藏
0
分享
返回顶部
顶部