Więcej o SharePoint 2013

Konsultant SharePoint
Maciej Jastrzębski
Więcej o SharePoint 2013
Kerberos i SharePoint 2013
Współczesne systemy informatyczne coraz częściej stoją
przed problemem wzajemnej integracji. Rozproszenie danych
oraz odpowiedzialności za poszczególne funkcje powoduje, że tworzenie jednego wielkiego systemu duplikującego
funkcjonalności oraz dane mija się z celem.
Rozproszone systemy, szczególnie w instytucjach dbających
o poziom bezpieczeństwa informacji, muszą być poprawnie
zabezpieczone. Integracja kluczowych dla biznesu systemów
wymaga bezpiecznej komunikacji między tymi systemami,
a co za tym idzie wykorzystania odpowiedniego protokołu
uwierzytelnienia użytkowników końcowych korzystających
z kompleksowego rozwiązania.
W roku 2013 wraz z zespołem stanęliśmy przed zadaniem
skonfigurowania integracji systemów SharePoint 2013 oraz
Exchange za pomocą udostępnianych przez wspomniany
system pocztowy web serwisów (Exchange Web Services
– EWS) w sposób, który pozwoliłby na przekazanie
poświadczeń użytkownika końcowego zalogowanego do aplikacji SharePoint.
Poświadczenia
użytkownika
Użytkownik końcowy
Poświadczenia
użytkownika
Serwer SharePoint 2013
Serwer Exchange 2010
Rysunek 1
Diagram obrazujący wymaganie dotyczące przekazywania poświadczeń użytkownika. Wymaganie nierealizowalne z powodu problemu double-hop
Przeszkodą, którą musieliśmy pokonać był tzw. problem
double-hop uniemożliwiający przekazanie poświadczeń
użytkownika (ang. credentials) z serwera sharepointowego
do serwera exchange’owego. Konieczne było również to,
aby poświadczenia użytkownika przekazywane były w sposób
transparentny, bez prośby systemu o kolejne podanie loginu
oraz hasła. Protokołem uwierzytelniania, który spełniałby
opisane założenia był Kerberos.
Kerberos
Ticket
Użytkownik końcowy
Kerberos
Ticket
Serwer SharePoint 2013
Serwer Exchange 2010
Kerberos
Ticket
Rysunek 2
Uproszczony schemat działania protokołu Kerberos
Konfiguracja Kerberos na SharePoint 2013 różni się znacznie
od konfiguracji znanej z SharePoint 2010. Zmienione przez
Microsoft podejście, a także świeżość platformy i brak informacji na temat konfiguracji opisywanego protokołu (nawet
u producenta) stanowiły nie lada wyzwanie. Zaawansowana
konfiguracja farmy SharePoint 2013 z równoważeniem
ruchu sieciowego (ang. load balancing) zarówno po stronie
Exchange, jak i po stronie samej farmy, sprawiły, że zadanie
stało się jeszcze trudniejsze.
Kerberos Key Distribution Center
Zaangażowanie oraz wspólna praca całego zespołu dały pozytywny efekt – udało się uzyskać funkcjonalność działającą
zgodnie z oczekiwaniami.
Poprawna konfiguracja Kerberos dla SharePoint 2013
dała całemu zespołowi nową kompetencję w zakresie
administracji oraz tworzenia kompleksowych rozwiązań
dla platformy SharePoint 2013 działających w konfiguracji farmy i integrujących się z zewnętrznymi systemami
biznesowymi.