Flux RSS Programme Partenaires
English flagChinese (Simplified) flagGerman flagFrench flagSpanish flagRussian flagHindi flagPolish flagHebrew flagIndonesian flag                                
By N2H
A propos | articles | Services | Logiciels | Contact

Progressive Security dessins en utilisant la technologie intégrée de Microsoft

Industrial SharePoint architecture mettant l'accent sur la sécurité et la gouvernance

Secure SharePoint Code Design and Reviews Corporate code de la sécurité

Pionnier SharePoint / Microsoft Articles de sécurité et de la recherche

Articles & Research

Latest Free Software SharePoint

ARB Security Solutions publie régulièrement des logiciels libres SharePoint, y compris WebParts, les applications clientes, Framework Extensions, ainsi que divers autres composants.
Le logiciel gratuit le plus récent est:

Titre: Simple Rollup WebPart SharePoint
Date de publication: 10/22/2009

Précédent Two Free WebPart de presse:

SecureCenter pour SharePoint

Par des intégrateurs de sécurité de SharePoint, pour les intégrateurs de sécurité de SharePoint.

SharePoint Security Assurance Program ™

Pour faire face à l'extérieur des déploiements de SharePoint, la sécurité est une préoccupation extrêmement importante de déploiement. Découvrez comment grâce à la sécurité quotidienne de balayage, vous pouvez vous assurer aux utilisateurs professionnels et les partenaires extérieurs qu'ils peuvent collaborer en confiance!

Security Assurance WebPart:



Début de la vérification des processus avec SharePoint ™ Security Assurance Programmes

Free SharePoint Online Security Tools

SharePoint et les cartes à puce (CAC Cards)

Avez-vous travaillé avec SharePoint et cartes à puce?

J'ai, comme dans la plupart des militaires ou des environnements fédéraux que vous trouverez que les utilisateurs accèdent généralement votre instance SharePoint grâce à l'utilisation d'un CAC (Common Access Card) Card. C'est le même titre que tout autre SmartCard un peu plus jazzés en général avec une autre information jointe à ce sujet, rien de compliqué terriblement réel. Voici un exemple d'une carte CAC prélevés sur l'armée. Site mil:

cac card SharePoint and SmartCards (CAC Cards)

La méthodologie et d'objet entre une carte et d'un CAC SmartCard sont à peu près les mêmes. Elles sont utilisées afin que l'utilisateur peut s'authentifier à toute sorte de certificat client objets de connaissance. À l'intérieur de sphères fédérale cependant, les cartes CAC sont généralement obligatoires.

Mais avec SharePoint, type de cartes à puce sont ennuyeux. Il ya quelques mises en garde pour la mise en place au sein de votre environnement SharePoint en matière de maintien de la conformité CAC, dont certaines peuvent être manipulés à l'aide inhérente paramètres IIS, les autres, eh bien, exigent un développement personnalisé.

Pour beaucoup de personnes, la mise en œuvre de Smartcard architecture de sécurité dans leur environnement SharePoint peuvent être relativement indolore. Si vous savez que tous vos utilisateurs ont des comptes Active Directory, puis vous êtes prêt à aller, comme faire un peu de configuration dans IIS vous procurer la plupart du chemin. La façon dont cela peut se faire à travers un concept appelé le mappage de certificat client. Le mappage de certificat client sera essentiellement de requête pour le certificat du client hors de la carte à puce, et la carte que pour une pré-existante de Windows compte. En substance, ce n'est pas très différente de la configuration que vous vous retrouvez avec l'utilisation de l'authentification Windows intégrée, puisque vous aurez auront toujours l'identité Windows valide pour le placer contre les opérateurs de comparaison. Si c'est votre cas, les problèmes que vous rencontrerez en sont intrinsèquement liés à IIS. Vous avez plus grand changement est dans la métabase IIS, puisque vous aurez à manipuler la propriété de métabase qui orchestre les négociations de connexion du client SSL. Sens, tu vas dire SharePoint pour toujours négocier le certificat, qui aidera à résoudre de nouveau certificat client-blocages de négociation. Cela se fait en définissant la propriété de la métabase SSLAlwaysNegoClientCert à true.

Bien que cela fonctionne, ce n'est pas ma situation idéale pour les environnements à grande échelle. Je n'ai que bien que de nombreux utilisateurs ont CAC / cartes SmartCard qui n'existe pas dans l'arborescence Active Directory que je peux programme contre. Cela pose un grand problème pour moi parce que mes travaux de cartographie vont échouer comme l'opérateur de comparaison seront constamment tirer une valeur fausse dès le retour de contrepartie. Je ne peux pas vraiment imaginer la mise en œuvre de tout type de gestion qui seraient bénéfiques dans ce type de scénario, car il faudrait que je connais le mot de passe utilisateurs, ce qui pour une unité typiquement militaire, peut être gigantesque. Dans le même sens, il me faudrait effectivement mettre en place mon 1-to-1 scénario de cartographie. Je ne veux pas entreprendre cette tâche en aucune façon d'actions ou la forme. Si je suis cette voie, je serais coincé avec un scénario de gestion, ce serait dans l'intérêt d'un meilleur mot, devenir ingérable.
Heureusement, grâce à l'utilisation de ASP.NET, il est possible d'injecter des choses dans le flux de la demande ASP.NET. Ceci est une bonne chose. Avec plusieurs méthodes d'authentification qui sont offerts dans le domaine de SharePoint, ils sont mis en œuvre en tant que modules HTTP. Par exemple, si vous utilisez FBA avec votre instance SharePoint elle va être en utilisant HTTP modules.

Comment fonctionne un module HTTP est très simple. Premièrement, une demande Web SharePoint seront soumises à IIS. Cette demande web sera mis en correspondance avec ASP.NET, qui va analyser la page ASP.NET 2.0 par l'intermédiaire du moteur qui est par essence une main requête web-off. C'est là que le module HTTP entre en vigueur. Une fois la demande Web sont transmises à ASP.NET, il y aura une requête dans le module HTTP qui existent dans les fichiers de configuration sur le serveur pour déterminer s'il convient de toute interception et, éventuellement, de manipuler la demande. Bien que seulement certains modules mai prennent effet, tous les modules HTTP qui sont disponibles sont chargés.

Si vous voulez voir en action, vous pouvez afficher les modules HTTP qui sont actuellement instancié à partir de votre site SharePoint par quelque petit code utilisant la collection Context.ApplicationInstance.Modules dans un événement OnLoad WebPart.

Dans le prochain post de cette série, je vais parler de comment nous pouvons résoudre ce problème grâce à la construction d'un module HTTP personnalisé, et comment nous pouvons gérer nos certificats clients par le stockage de base de données plutôt que de s'appuyer sur des comptes Windows. Suivant, nous allons voir comment nous pouvons exploiter ce concept encore plus loin pour implémenter un fournisseur de rôles personnalisés qui peut se brancher dans le module HTTP afin de fournir un mécanisme permettant de rediriger les utilisateurs qui ne souscrivent pas à un rôle à un site anonyme par défaut, ainsi comme mettre en œuvre un nom fort rôles pour l'environnement SharePoint.

  • Share / Bookmark

Related posts:

  1. Dual San et SharePoint Search (Solution)
  2. Création de certificats avec double Attributs San
  3. Sharepointsecurity.com est trop occupé?
  4. CAC Enabled Anonyme sites SharePoint
  5. HTTP.sys pilote du noyau et aspnet_filter.dll

Article ou de recherche Classé dans SharePoint sécurité.

35 Commentaires »

  1. Cela peut également être réalisé en utilisant ISA 2006 afin de vérifier le CAC au DoD et ensuite passer soit une demande anonyme à la ferme SharePoint ou de la carte du compte à AD et ensuite passer un ticket Kerberos pour le service SharePoint Farm utilisant la délégation Kerberos contrainte. Il s'agit d'une jolie nappe de zéro solution du code.

    Commentaire par Jon - Juin 1, 2007 @ 1:50 pm

  2. C'est ce que j'ai utilisé dans certaines circonstances, et de cette façon dans quelques autres. Il ya un coût irrécupérable avec ISA à la fois du matériel, mise en oeuvre et perspectives de gestion qui font que certains segments de la DoD sevrer un peu loin d'elle comme une solution.

    Je n'ai pas essayé de 100% ce que je décris ici, à travers ISA (non-AD-dire la cartographie des utilisateurs de l'ACC / SmartCard informations interrogés), mais je vais chercher à lui donner un coup de feu.

    Je n'aime utilisant Kerberos généralement dans la façon dont vous la décrire mais en raison des considérations de vitesse et travaillant avec le TGT pour bâtir un signe de plus uniforme dans l'environnement pour d'autres applications.

    Commentaire par Adam Buenz - Juin 9, 2007 @ 12:48

  3. Salut, je travaille également sur un site militaire et je suis en train de demander une authentification cac sur mon site SharePoint et je rencontre beaucoup de problèmes. Le plus proche que nous avons obtenues été où les utilisateurs ont été invités à authentifier les deux fois avec les cartes CAC. Par hasard, ne vous documentez votre procédure pour faire cela?

    Commentaire de Lauren Adler - Juillet 12, 2007 @ 8:24

  4. Je n'ai pas vraiment un processus étape par étape qui est là parce que les différences d'architecture entre les environnements peuvent être si vaste.

    Comment exactement ce que vous faites votre authentification? Avez-vous vérifié simplement les paramètres IIS pour accepter les certificats clients?

    Commentaire par Adam Buenz - Juillet 12, 2007 @ 8:54

  5. Adam,
    Great post, je suis attendaient avec impatience le prochain "dans la série". Un travail similaire à celui que vous décrivez m'a été donné que, pour l'essentiel, mon introduction à SharePoint, CAC, Active Directory ... you name it, je n'ai pas travaillé avec elle encore! (Donc, je m'excuse si je terminologie ou de détournement contraire incompétence trahir.)
    CAC Fondamentalement, les utilisateurs devront être en mesure de se connecter via leur nom d'utilisateur / mot de passe ou par l'intermédiaire de CVC (de l'extérieur du site ou hors de la forêt Active Directory), avec nom d'utilisateur / mot de passe et hors site de liquidation que le même utilisateur.
    J'ai une poignée sur la mise en œuvre d'un module HTTP et comment les non-utilisateurs AD va fonctionner, mais je suis très bloqué sur l'étude de comment associer le CAC authentifié à une entrée de la MA. Je sais que vous êtes tous différents types de occupé, mais je serais très reconnaissant de tout conseil que vous pouvez offrir. Merci!
    Brian

    Commentaire de Brian - 22 août 2007 @ 2:14 pm

  6. Bonjour Adam,

    Je suis en train de mettre en place la signature des cartes CAC pour InfoPath 2003 formulaires sur un SIPR SPS version 3.0 d'(que nous avons actuellement ne signez pas avec un CAC).

    Toute aide serait appréciée ou un point dans la bonne direction. Je ne suis pas un codeur ... pour le moment ... mais je suis une étude rapide.

    Je suis un Multi-Media Illustrator par MOS, mais c'était un type InfoManagement / automatisation dans la pratique.

    Commentaire de SFMOSS - Mars 10, 2008 @ 2:56

  7. Adam,

    Merci pour ce poste. Il aborde un grand nombre des questions que je visage. Je suis actuellement en œuvre un portail de SP pour un client CAC USAF, avec des unités séparées géographiquement à travers le pays et dans différentes commandes. L'info AD ne sont pas partagées entre les commandes, et j'ai donc dû utiliser FBA. Ma question est la suivante: Y at-il de toute façon à déterminer l'identité de la carte CAC? Comment saurais-je que la carte d'identité à un rôle dans mon fournisseur de rôle FBA? L'élimination du nom d'utilisateur / mot de passe processus serait un ENORME plus pour le client, mais je ne suis pas sûr que c'est possible. Si ce n'est pas, alors il n'y a aucun point réel de la traiter avec la carte CAC à tous.
    J'apprécie sincèrement votre aide en me désignant dans la bonne direction.

    Commentaire de VegasGuy - Mars 26, 2008 @ 9:29 pm

  8. Nous avons des situations où un utilisateur a deux différents CAC concernant le UPN même. Un CAC est là Marine Reserve CAC l'autre est leur civiles CAC. L'UPN est AD doit être unique afin que cette personne peut avoir qu'un seul compte, mais a besoin de deux. C'est leur solution et a personne d'autre terme dans cette situation?

    Commentaire de Brian - 28 août 2008 @ 10:11

  9. Adam,
    Great Post! J'ai une obligation pour le CAC en signant la carte pour SharePoint Server 2007 (MOSS). Toute aide avec ISA Approche ou FBA en détail.
    Merci d'avance

    Commentaire de Lindy - Décembre 30, 2008 @ 2:13 pm

  10. J'ai mis en place CAC authentification grâce à notre gamme ISA 2006 à nos «MySite 'et le portail d'ordinaire, mais je rencontre des problèmes d'authentification permettant CAC à notre site anonyme. J'ai acquis qu'il fonctionne en interne avec une relation plusieurs-à-un modèle d'authentification, il faut avoir juste un utilisateur externe a frappé notre ISA 2006 de tableau qui me cause de problèmes. Toute connaissance serait grandement apprécié!

    Commentaire de Noni Hernandez - Janvier 13, 2009 @ 1:49 pm

  11. Hey Adam,

    Great post! Il est toujours en tête des résultats Google pour le CAC / Smart Card et SharePoint. :-)

    Vous avez des mises à jour concernant le module HTTP ou la possibilité d'utiliser un fournisseur d'appartenances?

    Commentaire par Joel - 28 Janvier 2009 @ 6:34 pm

  12. Excellent post. Décrit exactement ce que je dois faire pour un espace aérien de la Force de mise en œuvre SP Command. Avez-vous fait le suivi post.

    Commentaire de JDK - Février 4, 2009 @ 1:44 pm

  13. Excellent post. Avez-vous fait le suivi des messages?

    Commentaire de VR - Février 27, 2009 @ 9:29 pm

  14. Le suivi post pour ce qui devient peu de temps! Il a fallu un certain temps pour se rencontrer, mais en vaudra la peine que d'attendre. :)

    Commentaire par Adam Buenz - Mars 2, 2009 @ 8:45

  15. Je suis en train de mettre en œuvre l'authentification et autorisation avec CVC dans SharePoint. J'ai mis une HttpModule coutume dans le pipeline pour mon portail SharePoint, mais si j'ai tant essayer de lire la valeur () context.Request.clientCertificate.isPresent, le portail se bloque si dur que je dois restaurer à partir de sauvegarde. Le même code fonctionne quand je l'ai mis dans le pipeline d'un non-SharePoint, Site Html. Quelqu'un at-il rien vu de semblable? Quelqu'un at-il obtenu que cela fonctionne?

    Commentaire de Tim - 13 Mars 2009 @ 11:42

  16. J'ai finalement trouvé la solution à mon problème de la publication d'un site SharePoint anonyme tout en exigeant un CAC en cours de validité à visiter. Si quelqu'un est d'avoir ce problème, n'hésitez pas à me contacter afin que je puisse être en mesure d'aider!

    Commentaire de Noni Hernandez - 27 Mars, 2009 @ 7:26

  17. Salut Noni,

    Je suis en train de mettre en place un site SharePoint anonyme avec carte valide CAC. Pouvez-vous m'envoyer un email Comment avez-vous fait cela?

    Merci

    Commentaire par Venkat - Mars 28, 2009 @ 9:11

  18. Je sollicite Noni maintenant de faire éventuellement guest post sur le sujet. Espérons qu'elle sera d'accord!

    Commentaire par Adam Buenz - Mars 28, 2009 @ 11:55

  19. Je suis en train d'écrire un guide de configuration qui vous fera économiser jours / semaines / mois de la sueur, des larmes et des cauchemars!

    Sur une autre note, je suis un mec, un très masculin ça!

    Commentaire de Noni Hernandez - 1 avril 2009 @ 8:15

  20. Noni,

    Merci beaucoup. Waiting for you guide de configuration.

    Commentaire par Venkat - 2 avril 2009 @ 10:54

  21. Noni,

    Commentaire par Venkat - 7 avril 2009 @ 11:01

  22. Noni,

    Commentaire par Venkat - 7 avril 2009 @ 11:01

  23. Noni,

    Pouvez-vous s'il vous plaît écrivez-moi une fois que vous avez fini avec le guide? Voici mon forumsub@att.net email.

    Merci

    Commentaire de John - 7 avril 2009 @ 11:02

  24. Noni, avez-vous finir votre guide?

    Commentaire de Dvar - 20 avril 2009 @ 2:16

  25. Sorry it's taking so long ... Je mon poignet fracturé et disloqué un doigt si les choses ont été lentement. Je l'ai fait très vite, désolé pour le retard!

    À la vôtre,

    Noni

    Commentaire de Noni Hernandez - 20 avril 2009 @ 11:50

  26. Noni,

    avez-vous obtenu votre guide pour la configuration de l'ACE pour le moment. S'il vous plaît email à kamie.dameron @ af.edu lorsque vous faites. Merci

    Commentaire par Kamie Dameron - 20 avril 2009 @ 4:37 pm

  27. Le guide est enfin complète et à la page principale d'Adam! Hope it helps everyone!

    Commentaire de Noni Hernandez - 28 avril 2009 @ 6:28

  28. Noni,

    J'ai vu l'article que vous avez écrit intitulé CAC Enabled Anonyme sites SharePoint, cependant, c'est que le suivi de cet article, car il ne mentionnait pas le module HTTP à tous. Si non pouvez-vous me pointer vers l'article.

    Commentaire par Jeremy Weiss - Mai 7, 2009 @ 2:14 pm

  29. J'utilise CAC Cards par geting simplement le nom d'utilisateur de l'analyse du serveur CERT_SUBJECT variable et ensuite comparer ce nom à des noms dans la base de mon application Web. Jusqu'à présent, cela fonctionne). Je n'ai pas eu deux utilisateurs avec le même nom. Mais lorsque le certificat devient chaged ou mal nommée, CERT_SUBJECT restait blanc.

    Commentaire de J. Hughes - Mai 11, 2009 @ 10:29

  30. J'ai besoin de mettre en œuvre l'authentification par carte à puce pour les utilisateurs AD et auth mot de passe pour les utilisateurs externes sur le web app même ... Quelqu'un peut-il me donner un morceau de conseiller sur la façon de faire cela? :)
    Je sais comment le faire avec des applications web différent, mais pas d'une seule : (

    Commentaire de Dvar - Mai 11, 2009 @ 11:10

  31. Quelqu'un at-il tenté cela avec une autorité de certification externe pour les utilisateurs non DoD? Nous sommes en train d'examiner cela et voulait obtenir un certain niveau de la difficulté que nous allons avoir à traiter.

    Chris

    Commentaire de Chris Thomas - Mai 18, 2009 @ 7:56

  32. Je sais que le thread d'origine est un peu daté. mais le DoD a, pour la plupart normalisés sur ISA pour le CAC, à l'origine spécifiquement pour OWA et maintenant pour SharePoint / MOSS. La même un STIG (DISA technique de sécurité des guides d'application) pour cela. Voir ici: http://iase.disa.mil/stigs/draft-stigs/draft_isa_server_2006_addendumv1r0.doc et ici http://iase.disa.mil/stigs/draft-stigs/draft_isa_server_2006_addendumv1r0.doc. Curretnly Microsoft Intelligent Application Gateway (IAG) and it's future version Unified Application Gateway (UAG), sont examinés en à étudier cette wel comme d'autres besoins d'accès distant. Encore une fois une solution de code no. DoD Custer ont accès au programme d'installation / build docs de la DISA.

    Il ya plusieurs autres articles récents sur le sujet de la KCD voir ici:

    La délégation Kerberos contrainte dans ISA Server 2006
    http://technet.microsoft.com/en-us/library/bb794858.aspx

    La Commission du Codex pour l'installation OWA / Build documention a été élaboré et rédigé par les auteurs de cet article-(la même approche a été de levier pour une utilisation avec SharePoint / Moss et plus)

    Ouvrez une session sur Outlook Web Access avec cartes à puce
    http://technet.microsoft.com/en-us/magazine/2007.07.smartcards.aspx

    Configuration de Kerberos délégation contrainte avec IAG SP2
    http://technet.microsoft.com/en-us/library/dd278107.aspx

    Configurer l'authentification Kerberos (Office SharePoint Server)
    http://technet.microsoft.com/en-us/library/cc263449.aspx

    Un utilisateur ne peut accéder à un site Web qui est publié dans ISA Server 2006 en utilisant Kerberos délégation contrainte si l'utilisateur n'est pas dans le même domaine que l'ordinateur ISA Server
    http://support.microsoft.com/kb/942637/en-us

    KCD avec la Croix-Forest Accounts
    http://technet.microsoft.com/en-us/library/cc752953.aspx

    Même genre d'idée mais pour Point de performance dans ce cas.
    Video demo: Configuration de la délégation Kerberos pour Monitoring Server
    http://technet.microsoft.com/en-us/library/dd630733.aspx

    Comment faire pour configurer l'authentification basée sur certificats pour OWA - Partie I
    http://msexchangeteam.com/archive/2008/10/07/449942.aspx

    Commentaire de SecurityPresentations - Juin 17, 2009 @ 7:15 pm

  33. Vous avez posté
    Le guide est enfin complète et à la page principale d'Adam! Hope it helps everyone!

    Commentaire de Noni Hernandez - 28 avril 2009 @ 6:28

    Pouvez-vous fournir l'url à la page principale d'Adam, s'il vous plaît.

    Commentaire par Robin - 15 Septembre, 2009 @ 1:13 pm

  34. Pouvez-vous s'il vous plaît fournir l'URL pour le guide?

    Commentaire de GReddy - 6 Novembre, 2009 @ 10:04

  35. http://www.sharepointsecurity.com/sharepoint/cac-enabled-anonymous-sharepoint-sites/

    Commentaire de adam - 6 Novembre, 2009 @ 10:52

Flux RSS pour les commentaires sur ce post. TrackBack URL

Laissez un commentaire


w3c plainte W3C Compliant | Avis juridique | Confidentialité | Contact
© 2009 ARB Security Solutions, LLC. | Fournir SharePoint Intégration de la sécurité depuis 2003 | Minneapolis, MN
ARB Security Solutions n'est pas affilié à ou approuvés par Microsoft Corporation. SharePoint est une marque déposée de Microsoft Corporation.
Site géré par Adam Buenz - Microsoft MVP - SharePoint