在 SharePoint Server 中規劃伺服器對伺服器的驗證

  • 發行項

適用于:yes-img-132013 yes-img-16 2016yes-img-192019 yes-img-se訂閱版本 no-img-sopMicrosoft 365 中的 SharePoint

伺服器對伺服器驗證可讓具備伺服器對伺服器驗證功能的伺服器,代表使用者互相存取及要求資源。 具備伺服器對伺服器驗證功能的伺服器執行 SharePoint Server、Exchange Server 2016、商務用 Skype Server 2015、Azure 工作流程服務,或其他支援 Microsoft 伺服器對伺服器通訊協定的軟體。 伺服器對伺服器驗證啟用一組可透過跨伺服器資源共用及存取達成的新功能和案例。

若要從另一部可執行伺服器對伺服器驗證的伺服器提供要求的資源,執行 SharePoint Server 的伺服器必須執行下列動作:

  • 確認信任要求伺服器。 若要驗證要求伺服器,您必須設定執行 SharePoint Server 的伺服器信任傳送要求的伺服器。 這是單向信任關係。

  • 確認已授權伺服器要求的存取類型。 若要授權存取,您必須針對所要求之資源的一組適當權限,設定執行 SharePoint Server 的伺服器。

請注意,SharePoint Server 的伺服器對伺服器驗證通訊協定與使用者驗證不同,且不可做為 SharePoint 使用者的登入驗證通訊協定。 此伺服器對伺服器驗證通訊協定 (使用 Open Authorization (OAuth) 2.0 通訊協定) 不會新增至使用者登入通訊協定集,例如 WS-同盟。 SharePoint Server 中沒有新的使用者驗證通訊協定。 此伺服器對伺服器驗證通訊協定不會顯示在身分識別提供者清單中。

如需如何規劃使用者設定檔應用程式服務以進行伺服器對伺服器驗證的資訊,請參閱<SharePoint Server 的伺服器對伺服器驗證及使用者設定檔>。

簡介

規劃伺服器對伺服器驗證包含下列工作:

重要事項

Web 應用程式若包含伺服器對伺服器驗證端點 (用於傳入伺服器對伺服器要求),或對其他伺服器提出傳出伺服器對伺服器要求,則必須設定 Web 應用程式使用 Secure Sockets Layer (SSL)。

注意事項

如果要設定需使用 SharePoint Server 的一或多個伺服器對伺服器案例,只需要在執行 SharePoint Server 的伺服器上規劃伺服器對伺服器驗證。

識別一組信任關係

從執行 SharePoint Server 的伺服器觀點來看,與另一部可執行伺服器對伺服器驗證之伺服器的信任關係包括:

  • 執行 SharePoint Server 的伺服器信任來自可執行伺服器對伺服器驗證之伺服器的要求 (傳入執行 SharePoint Server 的伺服器)。

    您必須在執行 SharePoint Server 的伺服器上進行設定,以讓此伺服器信任要求伺服器。

  • 可執行伺服器對伺服器驗證的伺服器信任來自執行 SharePoint Server 之伺服器的要求 (從執行 SharePoint Server 的伺服器傳出)。

    您必須在可執行伺服器對伺服器驗證的伺服器上進行設定,以讓此伺服器信任執行 SharePoint Server 的要求伺服器。

為執行 SharePoint Server 的每個伺服器陣列建立伺服器清單,清單中的伺服器不僅具備伺服器對伺服器驗證功能,也會根據呼叫伺服器陣列的伺服器對伺服器案例接收傳入要求。 請檢查兩個伺服器對伺服器驗證關係案例。

案例 1:伺服器陣列為內部部署

If the farm that can perform server-to-server authentication is on-premises, you must configure the farm that runs SharePoint Server. Use the New-SPTrustedSecurityTokenIssuer PowerShell cmdlet to add a JavaScript Object Notation (JSON) metadata endpoint of the server that can perform server-to-server authentication to the server that runs SharePoint Server. 如果可執行伺服器對伺服器驗證的伺服器是另一部執行 SharePoint Server 的伺服器,則 JSON 中繼資料端點的格式為:HTTPs:// < HostName > /_layouts/15/metadata/json/1。

案例 2:伺服器陣列是 Microsoft 365 租用的一部分

如果執行 SharePoint Server 的伺服器陣列與另一部可執行伺服器對伺服器驗證的伺服器都是 Microsoft 365 組織的一部分,則不需要伺服器對伺服器驗證的其他設定。

在您確定一組需要伺服器對伺服器驗證的伺服器之後,請參閱<Configure server-to-server authentication in SharePoint Server>,以設定伺服器對伺服器信任關係。

另請參閱

概念

SharePoint Server 的驗證概觀

SharePoint Server 的伺服器對伺服器驗證及使用者設定檔