为 SharePoint 2013 配置客户端证书身份验证
摘要:了解如何配置 SharePoint 2013 以支持使用客户端证书的用户身份验证。
客户端证书身份验证使基于 Web 的客户端可以通过使用数字证书对服务器建立其身份,从而为用户身份验证提供了额外的安全性。SharePoint 2013 不提供对客户端证书身份验证的内置支持,但客户端证书身份验证可以通过基于安全断言标记语言 SAML 的声明身份验证来获得。您可以使用 Active Directory 联合身份验证服务 (AD FS) 2.0 作为针对 SAML 声明的安全令牌服务 (STS),或使用支持标准安全协议的第三方身份管理系统,如 WS 信任、WS 联合身份验证和 SAML 1.1。
![]() |
---|
有关 SharePoint 2013 协议要求的详细信息,请参阅 SharePoint 前端协议。 |
SharePoint 2013 中基于声明的身份验证允许您使用不同的 STS。如果您将 AD FS 配置为您的 STS,SharePoint 2013 可以支持 AD FS 支持的任何身份提供程序或身份验证方法,其中包括客户端证书身份验证。
![]() |
---|
有关 AD FS 的详细信息,请参阅 Active Directory 联合身份验证服务概述。 |
有关 SharePoint 中的身份验证概述的详细信息,请参阅在 SharePoint 2013 中规划用户身份验证方法。
在下图中,SharePoint 2013 配置为基于 AD FS 的 STS 的依赖性合作伙伴。
![含有 ADFS 2.0 的 SharePoint Server 2010 含有 ADFS 2.0 的 SharePoint Server 2010](https://i-msdn.sec.s-msft.com/dynimg/IC636699.jpg)
AD FS 可以通过多种不同类型的身份验证方法对用户帐户进行身份验证:基于表单的身份验证、Active Directory 域服务 (AD DS)、客户端证书和智能卡。在将 SharePoint 2013 配置为 AD FS 的信赖合作伙伴时,SharePoint 2013 信任 AD FS 验证的帐户,以及 AD FS 用来验证这些帐户的验证方法。这是 SharePoint 2013 支持客户端证书身份验证的方式。
配置客户端证书身份验证
以下主题解释如何通过将 AD FS 用作 STS 来使用客户端证书身份验证或智能卡身份验证配置 SharePoint 2013。
-
配置 AD FS 以支持基于声明的身份验证。
有关 AD FS 2.0 的详细信息,请参阅 AD FS 2.0 - 如何更改本地身份验证类型 (http://go.microsoft.com/fwlink/p/?LinkId=212513)。
-
配置 SharePoint 2013 以支持使用 AD FS 的基于 SAML 的声明的身份验证。
-
创建结合使用基于 SAML 安全令牌的声明身份验证的 Web 应用程序。
有关详细信息,请参阅在 SharePoint 2013 中创建基于声明的 Web 应用程序。
![]() |
---|
第三方 STS 所需的步骤与此类似。 |
另请参阅
在 SharePoint 2013 中规划用户身份验证方法:https://msdn.microsoft.com/zh-cn/library/cc262350.aspx
规划和体系结构:AD FS 2.0
AD FS 2.0 部署指南
在身份标识解决方案中使用 Active Directory 联合身份验证服务 2.0