Więcej o SharePoint 2013
Transkrypt
Więcej o SharePoint 2013
Konsultant SharePoint Maciej Jastrzębski Więcej o SharePoint 2013 Kerberos i SharePoint 2013 Współczesne systemy informatyczne coraz częściej stoją przed problemem wzajemnej integracji. Rozproszenie danych oraz odpowiedzialności za poszczególne funkcje powoduje, że tworzenie jednego wielkiego systemu duplikującego funkcjonalności oraz dane mija się z celem. Rozproszone systemy, szczególnie w instytucjach dbających o poziom bezpieczeństwa informacji, muszą być poprawnie zabezpieczone. Integracja kluczowych dla biznesu systemów wymaga bezpiecznej komunikacji między tymi systemami, a co za tym idzie wykorzystania odpowiedniego protokołu uwierzytelnienia użytkowników końcowych korzystających z kompleksowego rozwiązania. W roku 2013 wraz z zespołem stanęliśmy przed zadaniem skonfigurowania integracji systemów SharePoint 2013 oraz Exchange za pomocą udostępnianych przez wspomniany system pocztowy web serwisów (Exchange Web Services – EWS) w sposób, który pozwoliłby na przekazanie poświadczeń użytkownika końcowego zalogowanego do aplikacji SharePoint. Poświadczenia użytkownika Użytkownik końcowy Poświadczenia użytkownika Serwer SharePoint 2013 Serwer Exchange 2010 Rysunek 1 Diagram obrazujący wymaganie dotyczące przekazywania poświadczeń użytkownika. Wymaganie nierealizowalne z powodu problemu double-hop Przeszkodą, którą musieliśmy pokonać był tzw. problem double-hop uniemożliwiający przekazanie poświadczeń użytkownika (ang. credentials) z serwera sharepointowego do serwera exchange’owego. Konieczne było również to, aby poświadczenia użytkownika przekazywane były w sposób transparentny, bez prośby systemu o kolejne podanie loginu oraz hasła. Protokołem uwierzytelniania, który spełniałby opisane założenia był Kerberos. Kerberos Ticket Użytkownik końcowy Kerberos Ticket Serwer SharePoint 2013 Serwer Exchange 2010 Kerberos Ticket Rysunek 2 Uproszczony schemat działania protokołu Kerberos Konfiguracja Kerberos na SharePoint 2013 różni się znacznie od konfiguracji znanej z SharePoint 2010. Zmienione przez Microsoft podejście, a także świeżość platformy i brak informacji na temat konfiguracji opisywanego protokołu (nawet u producenta) stanowiły nie lada wyzwanie. Zaawansowana konfiguracja farmy SharePoint 2013 z równoważeniem ruchu sieciowego (ang. load balancing) zarówno po stronie Exchange, jak i po stronie samej farmy, sprawiły, że zadanie stało się jeszcze trudniejsze. Kerberos Key Distribution Center Zaangażowanie oraz wspólna praca całego zespołu dały pozytywny efekt – udało się uzyskać funkcjonalność działającą zgodnie z oczekiwaniami. Poprawna konfiguracja Kerberos dla SharePoint 2013 dała całemu zespołowi nową kompetencję w zakresie administracji oraz tworzenia kompleksowych rozwiązań dla platformy SharePoint 2013 działających w konfiguracji farmy i integrujących się z zewnętrznymi systemami biznesowymi.