设为首页 收藏本站

运维网

 找回密码
 立即注册
查看: 841|回复: 0

[经验分享] SharePoint 2013 SSO-Secure Store Service在实际案例中的应用

[复制链接]
bobbai
累计签到:2 天
连续签到:1 天
发表于 2015-9-29 07:53:16 | 显示全部楼层 |阅读模式
文章目录:
  Secure Store Service介绍
  Secure Store Service部署
  Secure Store Service应用
  之前有一篇博客讲到使用EMSManagedAPI操作Exchange邮箱,在实际SharePoint开发中,用户总是会要求在SharePoint中集成现有exchange邮件系统。在集成的过程中,如何读取、新建、更改邮件(任务、会议)是首先要解决的问题,接下来要解决的是如何通过用户验证,也就是我们经常讲到的单点登陆。由于owa采用表单验证的方式,且没有找到很好的SharePoint单点登陆有效方案,所以采用了SharePoint2010以后引入的SSS(Secure Store Service),07版本是SSO。下面就来介绍一下SharePoint Secure Store Service 在实际案例中的应用。


Secure Store Service介绍  
  Secure Store Service 是SharePoint Server提供的运行在应用程序服务器上的授权服务。Secure Store Service将用户凭据存储于一个凭据的数据库,录入用户信息时,会使用密钥加密。用户凭据通常包含用户名和密码,也可以根据需要包含其他属性。通过获取Secure Store Service存储的凭据,可以用于访问其他外部应用。根据微软官方的描述,在SharePoint应用Secure Store Service的解决方案包括:


  • Excel Services 可使用安全存储提供对已发布工作簿中的外部数据源的访问。这可以用作将用户凭据传递给数据源(此过程通常需要配置 Kerberos 委托)的替代方式。如果您需要为数据身份验证配置无人参与服务帐户,则 Excel Services 需要安全存储。
  •   Visio Services 可使用安全存储提供对已发布的数据连接图表中的外部数据源的访问。这可以用作将用户凭据传递给数据源(此过程通常需要配置 Kerberos 委托)的替代方式。如果您需要为数据身份验证配置无人参与服务帐户,则 Visio Services 需要安全存储。

  •   PerformancePoint Services 可使用安全存储提供对外部数据源的访问。如果您需要为数据身份验证配置无人参与服务帐户,则 PerformancePoint Services 需要安全存储。

  •   PowerPivot 需要安全存储以便对 PowerPivot 工作簿进行计划刷新。

  •   Microsoft Business Connectivity Services 可使用安全存储将用户凭据映射到外部系统中的一组凭据。您可将每个用户的凭据映射到外部系统中的唯一帐户,也可以将一组经过身份验证的用户映射到单个组帐户。Business Connectivity Services 还可以使用安全存储来存储用于访问 SharePoint Online 中的本地数据源的凭据。

  •   SharePoint 运行时可使用安全存储来存储与 Azure 服务进行通信所必需的凭据(如果任何用户应用程序需要 SharePoint 运行时来设置和使用 Azure 服务)。

  本文是除以上解决方案中的另外一种应用。


Secure Store Service部署  
  在使用Secure Store Service前,我们做一些设置。
  一、首先,打开SharePoint管理中心,进入应用程序管理,点击“管理服务应用程序”
  在服务应用程序列表中,找到Secure Store Service服务。该服务会在运行配置向导过程中默认配置,也可以点击新建手动配置(手动配置方法请看官方文档)。
   DSC0000.png
  二、点击进入Secure Store Service服务
  1、首次配置,要生成新密钥
DSC0001.png
  2、生成新密钥后,就可以新建目标应用程序,点击新建
DSC0002.png
  3、进入新建页面后,填写相关内容
  目标应用程序 ID:此ID用来唯一标识该应用程序;
  显示名称:目标应用程序显示名称
  联系人email:填写管理员email,用来用户联系管理员;
  目标应用程序类型:根据需要选择类型,比如“个人”用来存储个人凭据,“组”用来存储组凭据(一个用户组用一个凭据)
  目标应用程序页 URL:一般选择默认页,系统会有一个默认页面(http:/<samplesite>/_layouts/SecureStoreSetCredentials.aspx?TargetAppId=<TargetApplicationID>)用来录入用户凭据。
  4、点击下一步,进入配置字段页面,按照需要添加凭据需要包含的字段(注:以后不能编辑字段名称和字段类型)
  在这里,我除默认的用户名和密码外,另外添加一列EmailAddress用来存储用户邮箱,类型选择一般(Genetic)。
   DSC0003.png
  5、继续点击下一步
  添加目标应用程序管理员,点击完成,完成创建目标应用程序
  至此我们已经完成了Secure Store Service的准备工作,接下来就是实际应用的实践。


Secure Store Service应用  
  一、用户凭据录入
  你可以使用系统默认的页面(http:/<samplesite>/_layouts/SecureStoreSetCredentials.aspx?TargetAppId=<TargetApplicationID>)用于用户凭据录入,也可以使用自定义的页面创建、更新用户凭据。下面的代码用来更新(创建)当前用户的特定目标应用程序凭据:




DSC0004.gif
public static void SetCredentials(string appId, string[] userInfo)
{
List<SecureStoreCredential> creds = new List<SecureStoreCredential>();
SecureStoreCredential name = new SecureStoreCredential(toSecureString(userInfo[0]), SecureStoreCredentialType.WindowsUserName);
SecureStoreCredential pwd = new SecureStoreCredential(toSecureString(userInfo[1]), SecureStoreCredentialType.WindowsPassword);
SecureStoreCredential EmailAddress = new SecureStoreCredential(toSecureString(userInfo[2]), SecureStoreCredentialType.Generic);
creds.Add(name);
creds.Add(pwd);
creds.Add(EmailAddress);
SecureStoreCredentialCollection credes = new SecureStoreCredentialCollection(creds.ToArray());
SecureStoreServiceProxy proxySs = new SecureStoreServiceProxy();
SPSite site = null;
SPWeb web = null;
SPSecurity.RunWithElevatedPrivileges(delegate()
{
site = SPContext.Current.Site;
web = SPContext.Current.Web;
});
site.AllowUnsafeUpdates = true;
web.AllowUnsafeUpdates = true;
SPServiceContext context = SPServiceContext.GetContext(site);
ISecureStore store = proxySs.GetSecureStore(context);
store.SetCredentials(appId, credes);
web.AllowUnsafeUpdates = false;
site.AllowUnsafeUpdates = false;
}

  参数介绍: appid:目标应用程序ID,也就是上面步骤新建的“FirstID”;
  userInfo:从页面中获取的用户信息列表;
  方法介绍:
  1、创建字段实例(注:实例名称与实际目标应用程序字段名称没有关联,只要顺序对就可以了,当然类型要一致)
  SecureStoreCredential name = new SecureStoreCredential(toSecureString(userInfo[0]), SecureStoreCredentialType.WindowsUserName);
  上面这句语句是创建一个凭据字段,对应FirstID中的“Windows用户名”,此类型包含一个2个参数的构造函数(字段值,字段类型);
  2、创建Secure Store Service代理,获取当前SharePoint Secure Store Service上下文环境
  3、为site,web提升权限
  SPSecurity.RunWithElevatedPrivileges(delegate()                       {                           site = SPContext.Current.Site;                               web = SPContext.Current.Web;                               });                 4、使用ISecureStore的SetCredentials方法更新(创建)用户凭据。
  5、最后,会注意到有一个toSecureString方法,这个方法是对字符串进行安全编码,代码是:


DSC0005.gif DSC0006.gif View Code


public static System.Security.SecureString toSecureString(string s)
{
System.Security.SecureString secureString = new System.Security.SecureString();
foreach (Char character in s)
{
secureString.AppendChar(character);
}
return secureString;
}
  利用上面的代码,就可以为用户配置目标应用程序的凭据。
  二、根据当前用户获取该用户凭据信息
  使用上面的方法将用户凭据录入后,下一步就是利用Secure Store Service获取用户凭据。
  在使用EMSManagedAPI操作Exchange邮箱所在的博客中,有一个步骤是需要用户的账号和密码。另外,上面在创建目标应用程序的过程中,多加了一列EmailAddress,这样我们就可以用EWS Managed API中AutodiscoverUrl方法,而不需要知道具体的邮件服务器服务地址,代码就可以改为:
  


View Code


原代码:
service.Credentials = new WebCredentials(creds);
service.Url = new Uri("https://服务器地址/ews/exchange.asmx");
service.PreAuthenticate = true;
  


View Code


修改后:
service.Credentials = new WebCredentials(creds);
service.AutodiscoverUrl(EmailAddress);
service.PreAuthenticate = true;
  上面是对之前应用的一点优化,如果有兴趣,可以去看之前的博客。接下来是如何取得用户凭证的实例。
  Secure Store Service不需要指定用户,会直接根据当前上下文获得当前登陆用户,下面是获取用户信息列表的方法:





public List<string> GetUserCredentialCollection(string appId, SPServiceContext CurrentContext)//appid is the SSS' ID
        {
List<string> credentialList = new List<string>();
SecureStoreProvider prov = new SecureStoreProvider();
SPServiceContext context = CurrentContext;
prov.Context = context; //当前上下文信息,以便从上下文中找到当前登陆用户
try
{
SecureStoreCredentialCollection cc = prov.GetCredentials(appId);
for (int i = 0; i < cc.Count; i++)
{
ISecureStoreCredential c = cc;
IntPtr ptr = System.Runtime.InteropServices.Marshal.SecureStringToBSTR(c.Credential);
string sDecrypString = System.Runtime.InteropServices.Marshal.PtrToStringUni(ptr);
credentialList.Add(sDecrypString);
}
}
catch
{
}
return credentialList;
}

  其实最重要的是for循环中的方法,根据目标应用程序ID,获取用户凭据集合,遍历用户凭据字段并存放到List中,之后就可以根据个人需求来利用这些信息。
  到这里Secure Store Service的应用基本就结束了,总体来说Secure Store Service有利有弊,对于安全性要求很高的用户来说,可能并不是一个最佳的选择。但Secure Store Service得灵活性较好,可以存储用户的多个应用程序凭据,对于多个系统集成有很好的兼容性。有兴趣的朋友,可以一起讨论,这篇博客就先写到这里了。
  转自:http://www.cnblogs.com/renzh/archive/2013/03/31/2990280.html

运维网声明 1、欢迎大家加入本站运维交流群:群②:261659950 群⑤:202807635 群⑦870801961 群⑧679858003
2、本站所有主题由该帖子作者发表,该帖子作者与运维网享有帖子相关版权
3、所有作品的著作权均归原作者享有,请您和我们一样尊重他人的著作权等合法权益。如果您对作品感到满意,请购买正版
4、禁止制作、复制、发布和传播具有反动、淫秽、色情、暴力、凶杀等内容的信息,一经发现立即删除。若您因此触犯法律,一切后果自负,我们对此不承担任何责任
5、所有资源均系网友上传或者通过网络收集,我们仅提供一个展示、介绍、观摩学习的平台,我们不对其内容的准确性、可靠性、正当性、安全性、合法性等负责,亦不承担任何法律责任
6、所有作品仅供您个人学习、研究或欣赏,不得用于商业或者其他用途,否则,一切后果均由您自己承担,我们对此不承担任何法律责任
7、如涉及侵犯版权等问题,请您及时通知我们,我们将立即采取措施予以解决
8、联系人Email:admin@iyunv.com 网址:www.yunweiku.com

所有资源均系网友上传或者通过网络收集,我们仅提供一个展示、介绍、观摩学习的平台,我们不对其承担任何法律责任,如涉及侵犯版权等问题,请您及时通知我们,我们将立即处理,联系人Email:kefu@iyunv.com,QQ:1061981298 本贴地址:https://www.yunweiku.com/thread-120155-1-1.html 上篇帖子: [收藏]Working with Sharepoint Portal Server 2003 Area Templates 下篇帖子: 在SharePoint中包含自己的项目与工程
回复

使用道具 举报

返回列表
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

扫码加入运维网微信交流群X

扫码加入运维网微信交流群

扫描二维码加入运维网微信交流群,最新一手资源尽在官方微信交流群!快快加入我们吧...

扫描微信二维码查看详情

客服 E-mail:iyunvcom@gmail.com

本站由青云提供云计算服务

运维网--中国最专业的运维工程师交流社区

豫ICP备20007574号-1 Copyright © 2012-2025

关于我们

发展历程

联系我们

关注我们

广告服务

广告案例

隐私条款

免责声明

用户登录

用户注册

版主守则

申请版主

手机版

金币获取

帮助中心

每日签到

Good Good

Study

Day Day

UP


客服E-mail:kefu@iyunv.com 客服QQ:1061981298


QQ群⑦:运维网交流群⑦ QQ群⑧:运维网交流群⑧ k8s群:运维网kubernetes交流群


提醒:禁止发布任何违反国家法律、法规的言论与图片等内容;本站内容均来自个人观点与网络等信息,非本站认同之观点.


本站大部分资源是网友从网上搜集分享而来,其版权均归原作者及其网站所有,我们尊重他人的合法权益,如有内容侵犯您的合法权益,请及时与我们联系进行核实删除!



合作伙伴: 青云cloud

快速回复 返回顶部 返回列表