Identiteetin hallinta skenaariot SharePoint 2010:ssä
Sharepoint 2010 autentikointia ajatellen identiteetinhallinta on järjestelmän näkökulmasta jakautunut kolmeen osaan. SharePoint 2010 alusta käsittelee identiteetit ‘sisään tulevina’ (incoming), ‘ulosmenevinä’ (outgoing) ja inter/intra-farmi autentikointeina.
Sisään tuleva Identiteetti (Incoming)
Tämä skenaario esittää skenaarion, jossa asiakasohjelma tai järjestelmä esittäytyy Sharepoint järjestelmälle – eli autentikoituu – websovelluksena tai webservicenä. SharePoint käyttää asiakasohjelman identiteettiä autorisointiin sen suojattuihin resursseihin, kuten web sivuihin, dokumentteihin jne.
SharePoint 2010 tukee kahta eri moodia asiakasohjelmien autentikoinnissa. Ne ovat ‘Classic’ ja ‘Claims Mode’.
Classic Mode
Classic mode mahdollistaa tyypillisen MS Internet Information Services (IIS) autentikaation, joka on tuttu edellisistä SharePoint versiostakin.Kun SharePoint 2010 on konfiguroitu ‘classic mode’ käyttöön, voidaan sitä laajentaa seuraavilla IIS autentikointi metodeilla:
Windows Integroitu autentikaatio
Windows integroitu autentikaatio mahdollistaa asiakassovellusten saumattoman autentikoitumiseen Sharepointin kanssa, ilman käyttäjätunnuksen ja salasanan kirjoitusta erikseen. Käyttäjien autentikointiin tarvittavat tiedot välitetään Internet Explorerin prosesseissa sen mukaan, millä tunnuksilla kukin käyttäjä on kirjautunut työasemaan. Palvelut tai sovellukset jotka käyttävät Sharepoint 2010 järjestelmää, yritetään tällä tavalla autentikoida käyttäen prosessin oletus identiteettinä tulevia tunnuksia, jotka on siis työasemaan kirjauduttaessa jo annettu.
NTLM
NT LAN Manager (NTLM) on Windows integroidun autentikoinnin oletus protokolla. Tämä protokolla laajentaa kolmiosoisen vaatimus-vastine (challenge-response) sarjan asiakassovellusten autentikoinniksi. Lisätietoja tästä löytyy saitilta Microsoft NTLM.
Edut:
– Yksinkertainen konfiguroida ja tyypillisesti ei vaadi mitään erityistä ympäristön tai infran konfiguraatioita toimiakseen.
– Toimii vaikka asiakassovellus ei olisikaan liitetty domainiin, ja vaikka domain luottamusta ei olisikaan domainiin missä SharePoint 2010 on.
Haitat:
– Vaatii SharePoint 2010 ottamaan yhteyden domainiin joka kerran kun asiakassovelluksen autentikaation vastine on varmistettava. Se aiheuttaa lisääntyvää kuormaa domain controlloreille.
– Ei mahdollista asiakassovellus delegointia login tunnuksille taustajärjestelmiin (esim. tietokanta). Tämä tunnetaan englanninkielen terminä ‘Double hop’
– Tämä on alkuperäinen – natiivi – protokolla
– Ei tue palvelin autentikaatiota
– Se on mielletty vähemmän turvalliseksi kun Kerberos autentikointi
Kerberos protokolla
Kerberos protokolla on suojattu protokolla, joka käyttää ‘tiketti’ autentikointia. Se myöntää tiketin vastineeksi asiakassovelluksen autentikaaatio pyynnölle ,jos pyyntö sisältää oikeat tunnukset ja oikean ‘Service Principal Name’:n (SPN). Tämän jälkeen asiakassovellus on oikeutettu verkkoresurssien käyttöön. Kerberos autentikaation käyttö vaatii asiakas- ja palvelin luottosuhteen avain jakeluun (Key Distribution Center eli KDC). Tämä KDC jakaa salatut avaimet, jotka tarvitaan salaukseen ja sen purkuun. Asiakas- ja Palvelin koneille on myös oltava Active Directory palvelut käytössään. Forest rootti domain on Kerberos autentikoinneissa oleellinen osa, josta lisätietoja löytyy saitilta: How the Kerberos Version 5 Authentication Protocol Works ja Microsoft Kerberos.
Edut:
· Kaikkein turvallisin Windows integroitu autentikointi protokolla.
· Sallii asiakassovellusten tunnuksien delegoinnin
· Tukee molemminpuolista autentikointia asiakassovellusten ja palvelinten välillä.
· Aiheuttaa vähiten liikennettä ja kuormaa domain controllereilla
· Avoin protokolla, jota tuetaan monissa eri ympäristöissä ja monien toimittajien kautta
Haitat:
· Vaatii konfigurointia ympäristöön ja infraan toimiakseen kunnolla.
· Vaatii asiakassovelluksilta yhteyden KDC:hen (Active Directory domain controller Windows ympäristöissä) TCP/UDP porttista 88 (Kerberos), ja TCP/UDP portista 464 (Kerberos salasanan viahto – Windows)
SQL Server Reporting Services ei tue ‘Claims based’ autentikointia
Seuraavat sovellukset/palvelut vaativat C2WTS ja Kerberos riippuvuus delegoinnin:
· Excel Services
· PerformancePoint Services
· InfoPath Forms Services
· Visio Services
Seuraavat sovellukset/palvelut eivät ole riippuvaisia näistä vaatimuksista. Ne voivat käyttää perus delegointia tarvittaessa:
· Business Data Connectivity service and Microsoft Business Connectivity Services
· Access Services
· Microsoft SQL Server Reporting Services (SSRS)
· Microsoft Project Server 2010
Ainoana tämän hetken sovelluksen/palveluna joka ei ole riippuvainen mistään näistä vaatimuksista, koska delegointi ei ole lainkaan sallittu:
· Microsoft SQL Server PowerPivot for Microsoft SharePoint
Identiteetti ulospäin (Outgoing)
Ulospäin käytetty identiteetti on kuvattu dokumentissa SP2010 Kerberos Guide, joka löytyy Microsoft technet ja MSDN saiteilta (linkit ovat mainittu aikaisemmin tässä dokumentissa ja tässä alla).
Lisätietoja autentikoinnista löytyy seuraavista lähteistä:
Kerberos guide Sharepointtiin:
Erittäin hyvä Kerberos tietolähde.
http://social.technet.microsoft.com/wiki/contents/articles/kerberos-survival-guide.aspx
Kerberos windows 2003 serverissä:
http://social.technet.microsoft.com/wiki/contents/articles/kerberos-interoperability-step-by-step-guide-for-windows-server-2003.aspx
Arvon TechTalk (Fin) 