Team Foundation Server 概念

若要有效部署和管理 Visual Studio Team Foundation Server,您必須了解它如何運作,並與其他 Team Foundation 元件通訊。 身為 Team Foundation Server 系統管理員,您應該熟悉 Windows 驗證、網路通訊協定和傳輸,以及安裝 Team Foundation Server 的商業網路結構。 您也應該了解 Team Foundation Server 中的群組和權限。您可能也要了解 SQL Server、SQL Server Reporting Services 和 SharePoint 產品 能幫助您管理 Team Foundation Server。

了解元件和詞彙

如果您了解下列元件和詞彙,您將能夠更妥善規劃、部署和管理 Team Foundation Server:

  • 應用程式層、資料層和用戶端層:構成 Team Foundation Server 的邏輯層。 這些層可能部署在所有相同的實體電腦上,或可能會安裝在多部電腦。 如需詳細資訊,請參閱Team Foundation Server 架構

  • Team 專案集合:Team Foundation Server 中所有資料的主要組織單位。 集合可以包含一或多個 Team 專案。 如需詳細資訊,請參閱管理 Team 專案集合

  • Team 專案:一個中心點,供您的小組共用開發特定軟體技術或產品時所需的小組活動。 Team 專案集合中組織的 Team 專案。 如需詳細資訊,請參閱使用 Visual Studio ALM 和 TFS 追蹤工作

  • Team Foundation Server 管理主控台:TFS 系統管理員的集中式管理工具,用於設定及管理資源。 如需詳細資訊,請參閱設定及管理 TFS 資源

  • 服務帳戶:帳戶或 Web 服務和 Team Foundation 中的應用程式使用的帳戶。 Team Foundation Server 需要服務帳戶才能執行跨伺服器和 Web 服務的作業。 這些服務帳戶具有特定需求。 如需詳細資訊,請參閱Team Foundation Server 中的服務帳戶與相依性

  • SharePoint 產品:為 Team 專案入口網站及儀表板提供支援的軟體。您可以包含一或多個 SharePoint Web 應用程式做為 Team Foundation Server 部署的一部分。 若要包含這些應用程式中的其中一個,您必須安裝和設定 SharePoint 產品 的 Team Foundation Server 擴充功能,而且您必須設定跨部署的權限。 如需詳細資訊,請參閱使用專案入口網站共用資訊

  • SQL Server and SQL Server Reporting Services:為資料倉儲提供資料庫平台,以及為資料整合、分析和報告方案提供商務智慧平台的軟體。 TFS 會在 SQL Server 資料庫儲存其資料。 您也可以選擇性地包含執行 SQL Server Reporting Services 的伺服器,以為 Team 專案自動產生報告。 如需詳細資訊,請參閱管理 TFS 報表、資料倉儲及 Analysis Services Cube

了解 Team Foundation Server 安全性

若要最佳化 Team Foundation Server 的安全性,您應該了解下列概念:

  • 拓樸,其中包括執行 Team Foundation 元件的伺服器會在何處以及如何部署、在 Team Foundation Server 和 Team Foundation 用戶端之間傳遞的網路流量,以及必須在 Team Foundation Server 上執行的服務。

  • 驗證,其中包括決定 Team Foundation Server 中使用者、群組和服務的有效性。

  • 授權,其中包括決定 Team Foundation Server 中有效的使用者、群組和服務是否具有適當的權限來執行特定動作。

您也應該考慮 Team Foundation Server 相依的其他元件和服務。

當您考慮 Team Foundation Server 的安全性,您必須了解驗證與授權之間的差異。 「驗證」(Authentication) 是從用戶端、伺服器或處理序嘗試連接的認證驗證。 「授權」(Authorization) 是確認嘗試連接的身分識別是否有權限存取物件或方法。 只有在成功驗證之後,才會發生授權。 如果連接未通過驗證,它就會在執行任何授權檢查之前失敗。 如果連接的驗證成功,則可能因為未授權使用者或群組執行該動作,仍然不允許特定的動作。

拓撲、連接埠和服務

Team Foundation Server 的第一個部署項目和安全性會決定部署元件之間是否可以彼此通訊。 您的目標是要啟用 Team Foundation 用戶端和 Team Foundation Server 用戶端之間的連接,並限制或阻止其他連接的嘗試。

Team Foundation Server 的作用取決於特定連接埠和服務。 您可以保護並監視這些連接埠,以協助符合業務安全性的需求。 您必須允許 Team Foundation Server 的網路流量,在 Team Foundation 用戶端、裝載 Team Foundation 之應用程式層和資料層的邏輯元件的伺服器、Team Foundation Build 的電腦,和使用 Team Foundation Server Proxy 的遠端用戶端之間傳遞。 根據預設,Team Foundation Server 設定為針對其 Web 服務使用 HTTP。 如需 Team Foundation Server 使用的完整連接埠與服務清單,及如何在其架構中使用的資訊,請參閱 Team Foundation Server 架構

您可以在 Active Directory 網域或工作群組中部署 Team Foundation Server。 Active Directory 會提供比工作群組更多的內建安全性功能。 您可以使用 Active Directory 功能來協助保護您的 Team Foundation Server 部署。 例如,您可以設定 Active Directory,以防止重複的電腦名稱,讓惡意使用者無法透過執行 Team Foundation Server 的惡意伺服器,詐騙電腦名稱。 若要減輕工作群組中同樣的威脅,您必須設定電腦憑證。

不論您是將 Team Foundation Server 部署在工作群組或網域中,都必須遵守 Team Foundation Server 本身的需求所加諸的某些條件約束。 如需 Team Foundation Server 拓撲的詳細資訊,請參閱 簡單拓撲的範例中等拓撲的範例複雜拓撲的範例Understanding Windows SharePoint Services認識 SQL Server 和 SQL Server Reporting Services

驗證

Team Foundation Server 的安全性會與 Windows 整合式驗證和 Windows 作業系統的安全性功能整合並依賴它們。您可以使用 Windows 整合式驗證來驗證帳戶,以連接 Team Foundation 用戶端與 TFS,以及提供裝載邏輯應用程式和資料層之伺服器上的 Web 服務,還有連接應用程式層伺服器和資料層伺服器本身。

注意事項注意事項

您可以設定 TFS,以在您安裝 TFS 之後,支援用戶端和伺服器的相互驗證使用 Kerberos。

您不應該設定 Team Foundation Server 和 SharePoint 產品 之間的任何 SQL Server 資料庫連接使用 SQL Server 驗證,因為它不像 Windows 驗證一樣安全。 當您連接到資料庫時,會以未加密格式傳送資料庫管理員帳戶的使用者名稱和密碼。 Windows 整合式驗證不會傳送使用者名稱和密碼。 它改用 Windows 整合式驗證的安全性通訊協定,來將與主機 Internet Information Services (IIS) 應用程式集區相關聯的服務帳戶身分識別資訊傳送到 SQL Server。

授權

Team Foundation Server 授權是根據 Team Foundation 中的使用者和群組、直接指派給這些使用者和群組的權限,以及那些使用者和群組可能因為屬於 Team Foundation Server 內其他群組而繼承的權限。 Team Foundation 中的使用者和群組可以是本機使用者或群組、Active Directory 使用者和群組,或兩者。

Team Foundation Server 的預先設定是位於伺服器、集合和專案層級的預設群組。 您可以藉由加入個別使用者填入這些群組。 不過,如果您使用 Active Directory 安全性群組填入這些群組,可能會發現管理變得更容易。 您可以透過這種方式,更有效率地跨多部電腦或應用程式管理群組成員資格和權限,例如 SharePoint 產品和 SQL Server。

您的特定部署可能需要您在多部電腦上和數個應用程式內設定使用者、群組和權限。 例如,如果您想要包含報告和專案入口網站做為您部署的一部分,您必須在 Reporting Services、SharePoint 產品 和 Team Foundation Server 中為使用者和群組設定權限。 在 Team Foundation Server,您可以設定每個專案、每個集合與跨部署的權限 (於伺服器層級)。 此外,預設會授與某些權限給您加入 Team Foundation Server 的任何使用者或群組,因為該使用者或群組會自動加入 [Team Foundation Valid Users]。 如需詳細資訊,請參閱管理 TFS 中的使用者或群組

除了在 Team Foundation Server 中設定授權權限外,您可能還需要版本控制和工作項目中的授權。 您在命令提示字元個別管理這些權限,但是它們已整合為一部分的 Team Explorer 介面。

請參閱

工作

將 SharePoint 產品加入至您的部署

概念

Team Foundation Server 架構

Team Foundation Server 架構

管理 TFS 中的使用者或群組

其他資源

SharePoint Products and Technologies and Team Foundation Server