sharepoint 概念及认证方式介绍
3.SharePoint Web 應用程序
我個人的理解,SharePoint Web 應用程序(SharePoint Web Application)代表的是 SharePoint 網站(集)的物理容器。
SharePoint Web 應用程序需要指定內容數據庫、宿主 IIS 應用程序池、應用程序池管理員賬號等信息,這些都是 SharePoint 網站(集)的物理容器屬性。從這以后(網站集,網站,列表。。。)都是在數據庫里面操作,是為邏輯容器。(姑且讓我這么區分吧)
所以,像下面這樣解釋 Web Application 和 Site Collection, Web Site 之間的關系就是比較準確的了:
?和?
上面第一張圖,如果是將 Web Application 畫進 Site Collection 那個方框中了,就有點問題了。
?
順便說一句,上面圖形中只是描述這些對象之間的邏輯關系,并不意味著必須按照這個關系路徑來訪問這個關系樹中的枝葉。你可以直接訪問某個列表(List)而無需列表所在站點的訪問權限。所以,對于打破了繼承關系的這些對象來說,其權限其實是扁平的,并無樹狀繼承一說。
?
配置 SharePoint Web 應用程序,并不是一件簡單的事情。
感謝?lxrc4561200?提供的網址?Web技術網 (SharePoint),大大簡化了我整理索引鏈接的難度:) 這篇?SharePoint 2010管理中心創建Web應用程序?和這篇?SharePoint2010管理中心管理Web應用程序?可以作為創建、設置 SharePoint Web 應用程序的一個很好的開始。
2013-1-3 補充:上面這個網站鏈接已經打不開,我在博客園找了一篇類似的:SharePoint 2010 使用筆記(應用篇-管理中心-應用程序管理)。原來的 Web技術網內容不錯,可惜不知道為什么打不開了。但那個網站也不是沒有問題,最大的問題就是:羅列 SharePoint 功能,不講應用。就好比教你所有 PhotoShop 的菜單命令,但是,你還是創作不出來絢麗的圖片作品一樣。
?
毫無疑問,創建新的 SharePoint Web 應用程序的時候,全部接受默認的選項也是可以的。
或者,你也可以面對這么多選項,做出很多“艱難”的決策來對 SharePoint 做更多的了解。
3.1身份驗證方式
有“經典”和“基于聲明”的兩種。
“經典”的里面,又可以選身份驗證提供程序:NTML 或者 Kerberos。
“基于聲明”的就更多了。
有人用 IIS 對“經典”的身份驗證做了測試?IIS的各種身份驗證詳細測試,不過,有點兒含糊的感覺,圖少,另外有圖解版的,可以對照著看?Windows安全認證是如何進行的?[NTLM篇]、Windows安全認證是如何進行的?[Kerberos篇]。
NTLM 無須額外的配置即可使用,所以,一般體驗和個人研究都選擇它。
?
“基于聲明”的,原理和 Kerberos 的有點兒像,都引入了 Token Issuer 的角色(SharePoint 拿到驗證 Token,還要用 Security Token Service 再轉換一次才能使用)。不同的是,聲明 Claims 引入了證書簽名加密、基于 SAML 協議,適用于非 Windows 系統的互信授權,從而可以跨過企業間的異構界限,實現聯合身份驗證 Federation。Form Based 身份驗證也劃入了“基于聲明”的行列。
有本書講這個主題的,叫做?A Guide to Claims-Based Identity and Access Control,原理講得很好。不過,實際操作指南少,還得靠自己再去找。
再順便說一句,因為“基于聲明”的驗證方式出現較晚,Microsoft Office 2010 以前的版本在與其整合應用的時候,會有一個二次登錄的問題。(似乎問題是卡在身份驗證服務器提供的登錄轉向頁面上,不過我尚未深入研究)
微軟有個幫助你規劃應用的圖?Design Sample: Corporate Portal with Claims-based Authentication。
?
配置 Form Based 身份驗證:?Sharepoint 2010 Form 身份認證的實現(基于SQL)?和?Configuring Forms Based Authentication for SharePoint 2010 using IIS7。
配置 Federation 身份驗證:端對端配置 SharePoint 2010 和 ADFS v2 版本。配置到最后,會用到配置“信任”:SharePoint 2010管理中心管理信任。
?
SharePoint 2010 無須擴展應用程序即可同時支持以上這些身份驗證方式并存,麻煩的是,登錄時會多出來一個選擇驗證方式的界面。當然,這很“討厭”,于是有人看不下去了,Multiple Authentication Methods in SharePoint 2010、SharePoint 2010: transparent login with mixed authentication。
?
不得不說的是,SharePoint 自己是不驗證用戶身份的,它依賴于其它的 IDM (IDentity Management)系統(如 AD、FBA 里面的數據庫等等)。看得出來,SharePoint 甚至一開始都不打算存儲用戶的信息;不過,為了提高性能(不至于每次顯示一個用戶名還要去 IDM 里面兜一圈),SharePoint 還是存了一些用戶信息的,叫做 User Profile。然后,有一個叫做 User Profile Service 的服務從 IDM 同步用戶信息過來存到 SharePoint 管理數據庫里面。?
所以,你打開當的“我的設置”(My Settings)界面的時候,發現連你自己的郵件地址都不能改,就是因為這些是從外部同步而來,改了也會被覆蓋掉。
3.2主機頭、端口
你想弄一個?http://www.adventureworks.com?這樣的網站的話,就指定主機頭值。但是,按照我的印象,還是在?SharePoint2010更改網站的URL(1)、SharePoint2010更改網站的URL(2)?里面設置更加方便。
端口,別和默認端口(21 什么的)沖突即可。HTTPS 協議默認 443 端口,如果已經占用了,就換別的。不想換?!那就申請通配符證書吧。
3.3IIS 應用程序池及其管理賬戶
建議挑一個非域管理員、非本機管理員的賬號試試,會很好玩的。用這個賬號登錄網站,就會顯示“系統賬戶”或者“System Account”。
3.4第一個內容數據庫的名稱
這個名稱,其實無所謂,不重名即可。不過,我喜歡在 WSS_Content 后面加上 “_端口”,看上去好區分。?
一個 Web Application 里面可以使用多個內容數據庫,但是,一個網站集(site collection)只能存在于一個內容數據庫中。你可以將不同內容的網站集放到不同的內容數據庫,這樣對于改進性能和提升管理水平很有幫助。SharePoint 2010 默認是把新創建的網站集放在最新創建的那個內容數據庫中,這樣顯然是不方便的,在數據庫之間移動網站集?提供了按照我們本來的意思安排網站集和內容數據庫的方法。
3.5關聯的服務應用程序
即 SharePoint Service Application,姑且可以看做是 SharePoint 的 Web 版公共程序庫,提供各種服務供各個 Web 應用調用。
沒把握的話,全部選上,否則在學習、測試的時候會有各種各樣的錯誤。
熟悉的話,你就麻煩了,這里又牽涉到一個服務應用程序規劃的問題,取決于服務器場中每臺 SharePoint Instance 的角色定位問題。
微軟有個圖可以幫助你決定(當然,你也可以被這個圖擾亂),到底要怎么樣分配 SharePoint Web 應用程序關聯的服務應用程序?Cross-farm Services in SharePoint 2010 Products。單機環境玩不了這個 :(
?
?
上面這些決策,顯然不是(純)程序員或者網站管理員、網站用戶應該(以及能夠)考慮的,這些明顯是給另外一撥人去思考的。所以呢,單槍匹馬的搞 SharePoint 項目的時代,不說已經過去,大概從來就沒有到來過吧。
這些問題,個人在單機上面搞研究是不會遇到的,所以,弄個擬真的環境很有必要(見本文第一篇里面關于?安裝和配置?的部分)。不僅僅是 SharePoint,其它的技術平臺都應該會有這個問題。
總結
以上是生活随笔為你收集整理的sharepoint 概念及认证方式介绍的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 收入涨了但不愿消费?上半年人均收入与支出
- 下一篇: 天猫精灵方糖拆解报告和芯片详解