Team Foundation Server 概念
若要有效地部署和管理 Visual Studio Team Foundation Server,您必須了解它的運作方式以及它如何與其他 Team Foundation 元件進行通訊。 身為 Team Foundation Server 的系統管理員,您應該要熟悉 Windows 驗證、網路通訊協定和流量,以及安裝 Team Foundation Server 之公司網路的結構。 您也應該了解 Team Foundation Server 中的群組和權限。當您管理 Team Foundation Server 時,可能也會發現了解 SQL Server、SQL Server Reporting Services 和 SharePoint 產品非常實用。
了解元件和條件
如果您了解下列元件和條件,則可以更有效地規劃、部署和管理 Team Foundation Server:
應用程式層、資料層、用戶層:組成 Team Foundation Server 的邏輯層。 這些層可能都部署在相同的實體電腦上,或可以跨多個電腦安裝。 如需詳細資訊,請參閱 簡單拓撲的範例、中等拓撲的範例、複雜拓撲的範例和Team Foundation Server 架構。
Team 專案集合:Team Foundation Server 中所有資料的主要組織單位。 集合可以包含一個或多個 Team 專案。 如需詳細資訊,請參閱 使用 Team 專案集合組織您的伺服器。
Team 專案:小組的中心點,用於共用在開發特定軟體技術或產品時所需的小組活動。 Team 專案會在 Team 專案集合中進行組織。 如需詳細資訊,請參閱計劃和追蹤專案。
Team Foundation 管理主控台:Team Foundation Server 中供管理員使用的集中式管理工具。 您可以從管理主控台管理使用者和使用權限,以及建立和管理 Team 專案集合、加入和管理 SharePoint Web 應用程式以用於部署、建立和管理虛擬實驗室和檢閱伺服器狀態。 如需詳細資訊,請參閱 Team Foundation 管理主控台。
服務帳戶:Team Foundation 中 Web 服務和應用程式使用的帳戶。 Team Foundation Server 需要服務帳戶才能跨伺服器和 Web 服務執行操作。 這些服務帳戶都有特定的需求。 如需詳細資訊,請參閱Team Foundation Server 中的服務帳戶和相依性。
SharePoint 產品:可提供可擴充且可管理平台的軟體,用於 Web 型商務應用程式的共同作業和開發。您可以在 Team Foundation Server 的部署中,包含一個或多個 SharePoint Web 應用程式。 若要包含這些應用程式的其中一個,您必須安裝和設定 SharePoint 產品的 Team Foundation Server 擴充功能,且必須跨部署設定使用權限。 如需詳細資訊,請參閱將 SharePoint Web 應用程式加入至您的部署和SharePoint 產品和 Team Foundation Server。
SQL Server 和 SQL Server Reporting Services:可提供資料庫平台的軟體,用於大型線上交易處理 (OLTP)、資料倉儲和電子商務應用程式。 SQL Server 也是商務智慧平台,用於資料整合、分析和報告方案。 Team Foundation Server 會將其資料儲存在 SQL Server 資料庫中。 您也可以選擇性地包含執行 SQL Server Reporting Services 而且會自動產生 Team 專案報表的伺服器。 如需詳細資訊,請參閱Team Foundation Server 架構和SQL Server 和 Team Foundation Server。
了解 Team Foundation Server 安全性
若要最佳化 Team Foundation Server 的安全性,您應了解下列概念:
拓撲,其中包括部署執行 Team Foundation 之元件伺服器的位置和方式、在 Team Foundation Server 和 Team Foundation 用戶端之間傳遞的網路流量,以及必須在 Team Foundation Server 上執行的服務。
驗證,其中包括判斷 Team Foundation Server 使用者、群組和服務的有效性。
授權,其中包括判斷有效的 Team Foundation Server 使用者、群組和服務是否擁有適當的使用權限可執行特定的動作。
此外,您也必須考量 Team Foundation Server 與其他元件和服務的相依性。
當您考量 Team Foundation Server 的安全性時,您必須了解驗證和授權之間的差異。 「驗證」(Authentication) 是驗證從用戶端、伺服器或處理序嘗試進行連接的認證。 「授權」(Authorization) 則是驗證嘗試連線的身分識別是否具有存取物件或方法的使用權限。 只有順利驗證之後才會進行授權。 如果未驗證連接,在執行任何授權檢查之前就已經失敗。 如果連接驗證成功,由於使用者或群組沒有執行特定動作的授權,仍可以不允許執行該動作。
拓撲、通訊埠和服務
Team Foundation Server 部署和安全性的第一個項目,是部署的元件是否可以彼此連接來進行通訊。 您的目標是啟用 Team Foundation 用戶端和 Team Foundation Server 之間的通訊,並限制或防止其他連接嘗試。
Team Foundation Server 需倚賴特定的通訊埠和服務才能運作。 您可以保護及監視這些通訊埠,以協助符合商業安全性需求。 您必須允許 Team Foundation Server 的網路流量在 Team Foundation 用戶端、裝載 Team Foundation 應用程式層和資料層之邏輯元件的伺服器、Team Foundation Build 的電腦和使用 Team Foundation Server Proxy 的遠端用戶端之間傳輸。 根據預設,Team Foundation Server 會設定為可針對其 Web 服務使用 HTTP。 如需 Team Foundation Server 使用的通訊埠和服務的完整清單,以及如何在其架構中使用這些通訊埠和服務,請參閱 Team Foundation Server 架構。
您可以在 Active Directory 網域或工作群組中部署 Team Foundation Server。 Active Directory 提供的內建安全性功能比工作群組提供的還多。 您可以使用 Active Directory 功能來協助保護您的 Team Foundation Server 部署。 例如,您可以將 Active Directory 設定為防止重複的電腦名稱,如此一來,惡意使用者便無法使用正在執行 Team Foundation Server 的錯誤伺服器來假冒電腦名稱。 若要在工作群組中降低這類威脅的影響,您必須設定電腦憑證。
不管是否在工作群組或網域中部署 Team Foundation Server,您都必須遵守 Team Foundation Server 的需求自己加諸的特定條件約束。 如需有關 Team Foundation Server 拓撲的詳細資訊,請參閱簡單拓撲的範例、中等拓撲的範例、複雜拓撲的範例、SharePoint 產品和 Team Foundation Server 之間的互動 和認識 SQL Server 和 SQL Server Reporting Services。
驗證
Team Foundation Server 安全性會整合並仰賴 Windows 整合式驗證以及 Windows 作業系統的安全性功能。Windows 整合式驗證可用來驗證帳戶,這些帳戶用於 Team Foundation 和 Team Foundation Server 用戶端之間的連接、為 Team Foundation 裝載邏輯應用程式層和資料層之伺服器上的 Web 服務,以及應用程式層伺服器和資料層伺服器本身之間的連接。
.gif "注意事項") 注意事項 |
|---|
您可以設定 Team Foundation Server 支援 Kerberos,以便在安裝 Team Foundation Server 之後,同時對用戶端與伺服器進行雙向驗證。 |
您不應該在 Team Foundation Server 和 SharePoint 產品 之間設定任何 SQL Server 資料庫連接以使用 SQL Server 驗證,因為它不像 Windows 驗證一樣安全。 當您連接到資料庫時,資料庫管理員帳戶的使用者名稱和密碼會以未加密的格式傳送。 Windows 整合式驗證則不會傳送使用者名稱和密碼。 反之,它會使用 Windows 整合式驗證安全性通訊協定,將與主機網際網路資訊服務 (IIS) 應用程式集區相關聯的服務帳戶身分識別資訊傳送到 SQL Server。
授權
Team Foundation Server 授權是根據 Team Foundation 中的使用者和群組、直接指派給這些使用者和群組的使用權限,以及這些使用者和群組可能從所屬的其他 Team Foundation Server 群組所繼承而來的使用權限。 Team Foundation 中的使用者和群組可以是本機使用者或群組及 (或) Active Directory 使用者和群組。
Team Foundation Server 有事先設定伺服器、集合和專案層級的預設群組。 您可以加入個別使用者來填入這些群組。 然而,如果使用 Active Directory 安全性群組來填入這些群組,則管理會更方便。 透過使用此方法,您可以更有效率地管理跨多個電腦或應用程式 (SharePoint 產品 和 SQL Server) 的群組成員資格和使用權限。
特定的部署可能會要求您在多部電腦上及數個應用程式內設定使用者、群組和使用權限。 例如,如果要將報告和專案入口網站加入為部署的一部分,您必須在 Reporting Services、SharePoint 產品 和 Team Foundation Server 中設定使用者和群組的使用權限。 在 Team Foundation Server 中,您可以設定每個專案、每個集合和跨部署 (伺服器層級上) 的使用權限。 此外,預設會將某些使用權限授與加入至 Team Foundation Server 的任何使用者或群組,因為該使用者或群組會自動加入至 [Team Foundation Valid Users]。 如需如何設定使用權限的詳細資訊,請參閱管理使用權限。 如需有關 Team Foundation Server 中使用者和群組的詳細資訊,請參閱設定使用者、群組和使用權限。
除了設定使用權限以在 Team Foundation Server 中進行授權之外,您可能也需要版本控制和工作項目內的授權。 您可在命令提示字元上單獨管理這些使用權限,但它們都整合為 Team 總管介面不可缺少的部分。