Настройка проверки подлинности на основе сертификата клиента для SharePoint Server

ОБЛАСТЬ ПРИМЕНЕНИЯ:2013 2016 2019 Subscription Edition SharePoint в Microsoft 365

Проверка подлинности на основе сертификата клиента позволяет веб-клиентам предъявлять удостоверения серверу с вовлечением цифрового сертификата, повышающего надежность проверки подлинности пользователя. SharePoint Server не обеспечивает встроенную поддержку проверки подлинности на основе сертификата клиента, но этот вариант аутентификации доступен благодаря проверке подлинности на основе SAML-утверждений. Вы можете использовать службы федерации Active Directory (AD FS) (AD FS) 2.0 в качестве службы маркеров безопасности (STS) для утверждений SAML или любой сторонней системы управления удостоверениями, которая поддерживает стандартные протоколы безопасности, такие как WS-Trust, WS-Federation, SAML 1.1 и SAML 2.0.

Примечание.

Дополнительные сведения о требованиях к протоколам для SharePoint Server см. в статье, посвященной интерфейсным протоколам для SharePoint.

Проверка подлинности на основе утверждений в SharePoint Server позволяет использовать различные службы токенов безопасности. Если вы настроите AD FS в качестве службы stS, SharePoint Server может поддерживать любой поставщик удостоверений или метод проверки подлинности, поддерживаемый AD FS, который включает проверку подлинности на основе сертификата клиента.

Примечание.

Дополнительные сведения об AD FS см. в обзоре служб федерации Active Directory (AD FS) и обзоре AD FS 2016.

Дополнительные сведения о проверке подлинности в SharePoint см. в разделе Планирование методов проверки подлинности для пользователей в SharePoint Server.

Показанный ниже рисунок относится к SharePoint Server 2013 и SharePoint Server 2016. SharePoint Server настроен в качестве проверяющего партнера для службы токенов безопасности на основе AD FS.

AD FS может выполнять проверку подлинности учетных записей пользователей для нескольких различных типов методов проверки подлинности, таких как проверка подлинности на основе форм, доменные службы Active Directory (AD DS), клиентские сертификаты и смарт-карты. При настройке SharePoint Server в качестве проверяющего партнера AD FS SharePoint Server доверяет учетным записям, проверяющим AD FS, и методам проверки подлинности, которые AD FS использует для проверки этих учетных записей. Таким образом SharePoint Server поддерживает проверку подлинности на основе сертификата клиента.

Настройка проверки подлинности на основе сертификата клиента

В приведенных ниже статьях показано, как настроить SharePoint Server с проверкой подлинности на основе сертификата клиента или смарт-карты, когда используется AD FS в качестве службы токенов безопасности.

1. Настройте AD FS для поддержки проверки подлинности на основе утверждений.

   Дополнительные сведения см. в статье об изменении типа локальной аутентификации для AD FS 2.0.

2. Настройте SharePoint Server для поддержки проверки подлинности на основе SAML-утверждений с использованием AD FS.

   Дополнительные сведения см. в разделах Настройка проверки подлинности на основе утверждений SAML с помощью AD FS в SharePoint Server и Улучшенное взаимодействие с SAML 2.0.

3. Создайте веб-приложение, использующее проверку подлинности на основе SAML-утверждений.

   Дополнительные сведения см. в статье Создание на основе утверждений веб-приложений в SharePoint Server.

Примечание.

Эти шаги будут аналогичны и для STS стороннего производителя.

См. также

Другие ресурсы

Configure SAML-based claims authentication with AD FS in SharePoint Server

Планирование и архитектура: AD FS 2.0

Руководство по развертыванию AD FS 2.0

Применение Active Directory Federation Services 2.0 в решениях для идентификации