Siirry sisältöön

Identiteetin hallinta skenaariot SharePoint 2010:ssä

marraskuu 14, 2011

Sharepoint 2010 autentikointia ajatellen identiteetinhallinta on järjestelmän näkökulmasta jakautunut kolmeen osaan. SharePoint 2010 alusta käsittelee identiteetit ‘sisään tulevina’ (incoming), ‘ulosmenevinä’ (outgoing) ja inter/intra-farmi autentikointeina.

image

Sisään tuleva Identiteetti (Incoming)

Tämä skenaario esittää skenaarion, jossa asiakasohjelma tai järjestelmä esittäytyy Sharepoint järjestelmälle – eli autentikoituu – websovelluksena tai webservicenä. SharePoint käyttää asiakasohjelman identiteettiä autorisointiin sen suojattuihin resursseihin, kuten web sivuihin, dokumentteihin jne.

SharePoint 2010 tukee kahta eri moodia asiakasohjelmien autentikoinnissa. Ne ovat ‘Classic’ ja ‘Claims Mode’.

Classic Mode

Classic mode mahdollistaa tyypillisen MS Internet Information Services (IIS) autentikaation, joka on tuttu edellisistä SharePoint versiostakin.Kun SharePoint 2010 on konfiguroitu ‘classic mode’ käyttöön, voidaan sitä laajentaa seuraavilla IIS autentikointi metodeilla:

Windows Integroitu autentikaatio

Windows integroitu autentikaatio mahdollistaa asiakassovellusten saumattoman autentikoitumiseen Sharepointin kanssa, ilman käyttäjätunnuksen ja salasanan kirjoitusta erikseen. Käyttäjien autentikointiin tarvittavat tiedot välitetään Internet Explorerin prosesseissa sen mukaan, millä tunnuksilla kukin käyttäjä on kirjautunut työasemaan.  Palvelut tai sovellukset jotka käyttävät Sharepoint 2010 järjestelmää, yritetään tällä tavalla autentikoida käyttäen prosessin oletus identiteettinä tulevia tunnuksia, jotka on siis työasemaan kirjauduttaessa jo annettu.

NTLM

NT LAN Manager (NTLM) on Windows integroidun autentikoinnin oletus protokolla. Tämä protokolla laajentaa kolmiosoisen vaatimus-vastine (challenge-response) sarjan asiakassovellusten autentikoinniksi. Lisätietoja tästä löytyy saitilta Microsoft NTLM.

Edut:

– Yksinkertainen konfiguroida ja tyypillisesti ei vaadi mitään erityistä ympäristön tai infran konfiguraatioita toimiakseen.

– Toimii vaikka asiakassovellus ei olisikaan liitetty domainiin, ja vaikka domain luottamusta ei olisikaan domainiin missä SharePoint 2010 on.

Haitat:

– Vaatii SharePoint 2010 ottamaan yhteyden domainiin joka kerran kun asiakassovelluksen autentikaation vastine on varmistettava. Se aiheuttaa lisääntyvää kuormaa domain controlloreille.

– Ei mahdollista asiakassovellus delegointia login tunnuksille taustajärjestelmiin (esim. tietokanta). Tämä tunnetaan englanninkielen terminä ‘Double hop’

– Tämä on alkuperäinen – natiivi – protokolla

– Ei tue palvelin autentikaatiota

– Se on mielletty vähemmän turvalliseksi kun Kerberos autentikointi

Kerberos protokolla

Kerberos protokolla on suojattu protokolla, joka käyttää ‘tiketti’ autentikointia. Se myöntää tiketin vastineeksi asiakassovelluksen autentikaaatio pyynnölle ,jos pyyntö sisältää oikeat tunnukset ja oikean ‘Service Principal Name’:n (SPN). Tämän jälkeen asiakassovellus on oikeutettu verkkoresurssien käyttöön. Kerberos autentikaation käyttö vaatii asiakas- ja palvelin luottosuhteen avain jakeluun (Key Distribution Center eli KDC). Tämä KDC jakaa salatut avaimet, jotka tarvitaan salaukseen ja sen purkuun. Asiakas- ja Palvelin koneille on myös oltava Active Directory palvelut käytössään. Forest rootti domain on Kerberos autentikoinneissa oleellinen osa, josta lisätietoja löytyy saitilta: How the Kerberos Version 5 Authentication Protocol Works ja Microsoft Kerberos.

Edut:

· Kaikkein turvallisin Windows integroitu autentikointi protokolla.

· Sallii asiakassovellusten tunnuksien delegoinnin

· Tukee molemminpuolista autentikointia asiakassovellusten ja palvelinten välillä.

· Aiheuttaa vähiten liikennettä ja kuormaa domain controllereilla

· Avoin protokolla, jota tuetaan monissa eri ympäristöissä ja monien toimittajien kautta

Haitat:

· Vaatii konfigurointia ympäristöön ja infraan toimiakseen kunnolla.

· Vaatii asiakassovelluksilta yhteyden KDC:hen (Active Directory domain controller Windows ympäristöissä) TCP/UDP porttista 88 (Kerberos), ja TCP/UDP portista 464 (Kerberos salasanan viahto – Windows)

SQL Server Reporting Services ei tue ‘Claims based’ autentikointia

Seuraavat sovellukset/palvelut vaativat C2WTS ja Kerberos riippuvuus delegoinnin:

· Excel Services

· PerformancePoint Services

· InfoPath Forms Services

· Visio Services

Seuraavat sovellukset/palvelut eivät ole riippuvaisia näistä vaatimuksista. Ne voivat käyttää perus delegointia tarvittaessa:

· Business Data Connectivity service and Microsoft Business Connectivity Services

· Access Services

· Microsoft SQL Server Reporting Services (SSRS)

· Microsoft Project Server 2010

Ainoana tämän hetken sovelluksen/palveluna joka ei ole riippuvainen mistään näistä vaatimuksista, koska delegointi ei ole lainkaan sallittu:

· Microsoft SQL Server PowerPivot for Microsoft SharePoint

Identiteetti ulospäin (Outgoing)

Ulospäin käytetty identiteetti on kuvattu dokumentissa SP2010 Kerberos Guide, joka löytyy Microsoft technet ja MSDN saiteilta (linkit ovat mainittu aikaisemmin tässä dokumentissa ja tässä alla).

Lisätietoja autentikoinnista löytyy seuraavista lähteistä:
Kerberos guide Sharepointtiin:

http://www.microsoft.com/downloads/details.aspx?FamilyID=1A794FB5-77D0-475C-8738-EA04D3DE1147&displaylang=e&displaylang=en

Erittäin hyvä Kerberos tietolähde.

http://social.technet.microsoft.com/wiki/contents/articles/kerberos-survival-guide.aspx

Kerberos windows 2003 serverissä:

http://social.technet.microsoft.com/wiki/contents/articles/kerberos-interoperability-step-by-step-guide-for-windows-server-2003.aspx

MSDN kerberos ohjeet:

http://msdn.microsoft.com/en-us/library/aa378747.aspx

From → Tietoturva

Jätä kommentti

Vastaa

Täytä tietosi alle tai klikkaa kuvaketta kirjautuaksesi sisään:

WordPress.com-logo

Olet kommentoimassa WordPress.com -tilin nimissä. Log Out /  Muuta )

Google photo

Olet kommentoimassa Google -tilin nimissä. Log Out /  Muuta )

Twitter-kuva

Olet kommentoimassa Twitter -tilin nimissä. Log Out /  Muuta )

Facebook-kuva

Olet kommentoimassa Facebook -tilin nimissä. Log Out /  Muuta )

Muodostetaan yhteyttä palveluun %s

%d bloggers like this: