Обзор

Пакет расширений Microsoft Federation Extensions для SharePoint 3.0 предназначен для систем на базе SharePoint, в том числе служб Windows SharePoint Services (WSS) 3.0 и сервера Microsoft Office SharePoint Server (MOSS) 2007, и добавляет в вышеуказанные системы следующие функции:

  • Функции федерации, которые позволяют организации предоставлять свои службы партнерам федерации без необходимости создания теневых учетных записей для пользователей партнеров.

  • Передача полномочий по проверке подлинности пользователей от приложений SharePoint службе маркеров безопасности (STS) и включение поддержки утверждений в приложениях SharePoint. Дополнительные сведения о преимуществах, предоставляемых приложениями, поддерживающими утверждения, см. на веб-странице Модель удостоверений на основе утверждений (возможно, на английском языке). К этим преимуществам относятся:

    1. Предоставление настраиваемых атрибутов в качестве утверждений для детального управления доступом к приложению SharePoint. Например, можно выдавать настраиваемые утверждения и назначать их в качестве утверждений роли, после чего они становятся ролями в приложении SharePoint. Затем роли можно использовать для управления доступом.

    2. Возможность добавлять дополнительные методы проверки подлинности для удовлетворения изменяющимся потребностям бизнеса, не затрагивая развернутые приложения SharePoint. Например, для приведения системы в соответствие требованиям может потребоваться усиление проверки подлинности пользователей в приложениях SharePoint посредством добавления второго уровня проверки подлинности. С расширенной моделью проверки подлинности можно добавить второй уровень проверки подлинности в службу маркеров безопасности, не изменяя параметры приложения SharePoint.

Делегирование проверки подлинности

В этом сценарии расширения федерации участвуют следующие компоненты:

  • Служба маркеров безопасности (STS), также называемая поставщиком утверждений, — это компонент, который отвечает за проверку подлинности пользователей и выдает маркеры безопасности, принимаемые приложением SharePoint.

  • Приложение SharePoint доверяет маркерам безопасности, которые выданы доверенным центром сертификации, т. е. службой маркеров безопасности, и использует утверждения, содержащиеся в маркере безопасности.

  • Клиент — это обычный клиент браузера или клиентские приложения Office, например Word, Excel или PowerPoint, используемые для получения доступа к ресурсам, управляемым серверами SharePoint.

Далее описан порядок обработки запроса проверки подлинности в случае, когда полномочия по проверке подлинности пользователей переданы от приложения SharePoint службе маркеров безопасности. Предполагается, что используется клиент браузера.

  1. Пользователь запрашивает доступ к приложению SharePoint с помощью браузера.

  2. Чтобы перенаправить клиентов, не прошедших проверку подлинности, в службу маркеров безопасности, модуль федеративной проверки подлинности (WSFAM) использует код состояния 302.

  3. Служба маркеров безопасности запрашивает учетные данные пользователя.

  4. Служба маркеров безопасности выполняет проверку подлинности пользователя и создает маркер безопасности для приложения SharePoint, содержащий утверждения об имени и ролях. Обратите внимание, что приложению SharePoint требуются только эти два утверждения. Затем утверждения об имени и ролях будут сопоставлены сведениям об имени и ролях в приложении SharePoint. Служба маркеров безопасности перенаправляет пользователя обратно в приложение SharePoint.

  5. Клиент отправляет следующий запрос приложению SharePoint, которое доверяет маркеру безопасности и теперь имеет доступ к сведениям об имени и ролях.

  6. Для передачи маркера безопасности сеанса клиенту модуль проверки подлинности сеанса (SAM) использует файл Cookie.

  7. При последующих запросах клиент предоставляет приложению SharePoint файл Cookie сеанса, поэтому повторная проверка подлинности клиента в течение сеанса не требуется.

Далее описан порядок обработки запроса проверки подлинности при использовании клиентского приложения Office.

  1. Пользователь запрашивает доступ к приложению SharePoint с помощью клиентского приложения Office.

  2. Чтобы перенаправить клиентов, не прошедших проверку подлинности, в службу маркеров безопасности, модуль федеративной проверки подлинности (WSFAM) использует код состояния 302. Модуль проверки подлинности Office обнаруживает, что запрос поступил от клиентского приложения Office, и изменяет код состояния на 403, который используется для клиентских приложений Office.

  3. Клиентское приложение Office получает ответ с кодом состояния 403 и открывает окно со страницей входа на сервер служб федерации Active Directory, указанный в ответе.

  4. На странице входа на сервер служб федерации Active Directory пользователь вводит имя и пароль.

  5. Служба маркеров безопасности выполняет проверку подлинности пользователя и создает маркер безопасности для приложения SharePoint.

  6. Клиент отправляет приложению SharePoint следующий запрос, на этот раз с маркером, выданным службой маркеров безопасности.

  7. Для передачи маркера безопасности сеанса клиенту модуль проверки подлинности сеанса использует файл Cookie.

  8. При последующих запросах клиент предоставляет приложению SharePoint файл Cookie сеанса, поэтому повторная проверка подлинности клиента в течение сеанса не требуется.

Реализация сценария федерации

Добавление партнеров федерации в приложение SharePoint заключается в установлении отношения доверия федерации со службой маркеров безопасности, используемой партнером. В этом примере сценария федерации SharePoint участвуют следующие компоненты:

  1. Предприятие Contoso, в котором имеется служба маркеров безопасности, а также федеративное веб-приложение SharePoint FederatedWebApp.

  2. Предприятие Fabrikam, которое является партнерским предприятием Contoso. У предприятия Fabrikam также имеется служба маркеров безопасности.

В этом сценарии сотрудник предприятия Fabrikam хочет получить доступ к веб-приложению FederatedWebApp, расположенному в домене Contoso.com, без необходимости выполнять повторный вход, т. е. с помощью функции единого входа. Чтобы включить функцию единого входа на уровне федерации, необходимо выполнить четыре этапа настройки конфигурации доверия.

  1. Администратор предприятия Contoso настраивает отношение доверия между веб-приложением FederatedWebApp и службой маркеров безопасности предприятия Contoso, указывая в качестве поставщика маркера для веб-приложения FederatedWebApp службу маркеров безопасности предприятия Contoso.

  2. Администратор предприятия Contoso настраивает отношение доверия между веб-приложением FederatedWebApp и службой маркеров безопасности предприятия Contoso, указывая в качестве проверяющей стороны службы маркеров безопасности предприятия Contoso веб-приложение FederatedWebApp.

  3. Администратор предприятия Contoso настраивает отношение доверия между предприятиями Contoso и Fabrikam, указывая в качестве службы маркеров безопасности поставщика удостоверений (IP-STS), также называемой поставщиком утверждений, службу маркеров безопасности Fabrikam. Служба маркеров безопасности предприятия Contoso находится в одном домене с веб-приложением FederatedWebApp, однако запрашивает утверждения у доверенной службы маркеров безопасности поставщика удостоверений, которая расположена в домене клиента, запрашивающего доступ к веб-приложению FederatedWebApp.

  4. Администратор предприятия Fabrikam настраивает отношение доверия между предприятиями Fabrikam и Contoso, указывая в качестве проверяющей стороны службы маркеров безопасности предприятия Fabrikam службу маркеров безопасности предприятия Contoso.

Порядок обработки запроса на доступ к веб-приложению FederatedWebApp пользователя предприятия Fabrikam (после выполнения четырех этапов настройки конфигурации отношения доверия):

  1. Пользователь предприятия Fabrikam обращается к веб-приложению FederatedWebApp с помощью браузера. Веб-приложение SharePoint перенаправляет клиента, не прошедшего проверку подлинности, в службу маркеров безопасности предприятия Contoso.

  2. Служба маркеров безопасности предприятия Contoso предлагает пользователю указать предприятие, на котором он работает, и пользователь указывает Fabrikam.

  3. Служба маркеров безопасности предприятия Contoso перенаправляет пользователя в службу маркеров безопасности предприятия Fabrikam. Поскольку пользователь уже выполнил вход в домен предприятия Fabrikam, служба маркеров безопасности предприятия Fabrikam выдает маркер безопасности, который будет предоставлен службе маркеров безопасности предприятия Contoso.

  4. Служба маркеров безопасности предприятия Contoso принимает маркер безопасности, выданный службой маркеров безопасности предприятия Fabrikam и, в свою очередь, выдает маркер безопасности, предназначенный для веб-приложения FederatedWebApp, который содержит утверждения об имени и ролях.

  5. Служба маркеров безопасности предприятия Contoso перенаправляет пользователя обратно в веб-приложение FederatedWebApp. Веб-приложение FederatedWebApp доверяет маркеру безопасности и теперь имеет доступ к сведениям об имени и ролях. Маркер безопасности содержится в файле Cookie, который хранится на стороне клиента. При последующих запросах клиент предоставляет веб-приложению FederatedWebApp файл Cookie, поэтому отправка дополнительных запросов в службу маркеров безопасности не требуется.

Требуемые компоненты

Компоненты, требуемые для установки этого пакета:

  • Серверы SharePoint Server: Microsoft Office SharePoint Server 2007 с пакетом обновления 2 (SP2) или службы Windows SharePoint Services 3.0 с пакетом обновления 2 (SP2).

    1. Если сервер SharePoint запущен в качестве сетевой службы, необходимо добавить сертификат подписи службы маркеров безопасности в хранилище "Доверенные лица" на локальном компьютере.

    2. Если сервер SharePoint запущен с другой учетной записью, например имя_домена\имя_пользователя, сертификат подписи службы маркеров безопасности можно добавить (а) в хранилище "Доверенные лица" на локальном компьютере или (б) в хранилище "Доверенные лица" учетной записи имя_домена\имя_пользователя. Рекомендуется использовать вариант (б), поскольку он является более безопасным. Если используется вариант (б), необходимо запустить программу FedUtil с учетной записью имя_домена\имя_пользователя, чтобы просмотреть результаты проверки сертификата.

  • Клиенты:

    • Пакет Office 2007 с пакетом обновления 2 (SP2) и исправлением, описанным в статье базы знаний KB969413 (возможно, на английском языке) или окончательная первоначальная версия пакета Office 2010.

    • Клиенты браузера: Internet Explorer 7 или 8.

  • Windows® Identity Foundation (WIF).

  • .NET Framework 3.5 с пакетом обновления 1 (SP1).

Внимание!
Не устанавливайте Службы федерации Active Directory 2.0 и сервер SharePoint на один компьютер. В ходе установки сервера SharePoint веб-сайт по умолчанию на порту 80 отключается. Службы федерации Active Directory 2.0 использует этот веб-сайт и создает в нем виртуальный каталог.

Компоненты

Этот пакет устанавливает следующие компоненты:

  • Служебная программа федерации SharePoint.

    Основные функции служебной программы федерации SharePoint:

    • Сбор сведений о приложении SharePoint, которое необходимо сделать федеративным.

    • Изменение конфигурации приложения SharePoint:

      • Добавление необходимых HTTP-модулей WIF в конвейер HTTP ASP.NET приложения SharePoint.

      • Добавление HTTP-модуля расширения федерации в конвейер HTTP ASP.NET приложения SharePoint.

      • Добавление раздела конфигурации WIF с необходимыми параметрами.

    • Изменение параметров приложения SharePoint для использования поставщиков членства и ролей на основе утверждений.

    • Создание документа метаданных федерации для выбранного приложения SharePoint.

  • HTTP-модуль расширения федерации.

    Этот модуль выполняет две задачи:

    • Реализует поставщика членства и ролей на основе утверждений, который преобразует утверждения в роли, используемые SharePoint.

    • Интеграция клиентских приложений Office, позволяющая приложениям использовать функцию единого входа в федеративном веб-приложении SharePoint.

Краткое руководство. Включение федерации в приложении SharePoint со службами федерации Active Directory 2.0 в качестве службы маркеров безопасности

Для выполнения инструкций данного раздела краткого руководства требуется установить следующие компоненты:

  • Службы федерации Active Directory® (AD FS) 2.0 в одном домене с сервером SharePoint.

  1. Установите Службы федерации Active Directory® (AD FS) 2.0. Дополнительные сведения см. на веб-странице Руководство по развертыванию служб федерации Active Directory 2.0 (возможно, на английском языке). Обратите внимание, что можно использовать любую службу маркеров безопасности, которая поддерживает протокол WS-Federation.

    Примечание.
    Если в службе маркеров безопасности отсутствуют документы метаданных федерации, необходимо создать их вручную. Чтобы просмотреть, как выглядит документ метаданных федерации, необходимо создать проект службы маркеров безопасности с помощью WIF и затем просмотреть файл federationmetadata.xml этого проекта. Дополнительные сведения см. на веб-странице Веб-сайт службы маркеров безопасности ASP.NET (возможно, на английском языке).
  2. Сервер SharePoint (Microsoft Office SharePoint Server 2007 с пакетом обновления 2 (SP2) или службы Windows SharePoint Services 3.0 с пакетом обновления 2 (SP2)).

Настройка WIF на сервере SharePoint

  1. Соберите следующие сведения:

    1. Выберите веб-приложение SharePoint, которое необходимо настроить. Запишите путь к файлу web.config данного веб-приложения (WebAppConfigPath).

    2. Запишите зону SharePoint настраиваемого веб-приложения (по умолчанию, интрасеть, Интернет, экстрасеть или пользовательская зона).

    3. Запишите путь к файлу web.config (AdminWebConfigPath) веб-сайта центра администрирования SharePoint 3.0. Если путь к файлу неизвестен, откройте диспетчер IIS, щелкните правой кнопкой мыши веб-сайт центра администрирования SharePoint 3.0 и затем выберите пункт "Проводник".

    4. Запишите адрес расположения метаданных федерации службы маркеров безопасности (StsFedMetadataAddress). Если службой маркеров безопасности является Службы федерации Active Directory 2.0, достаточно указать имя узла, на котором установлены Службы федерации Active Directory 2.0.

  2. Запустите служебную программу федерации SharePoint. Программа расположена в меню Пуск -> Все программы -> Microsoft Federation Extensions для SharePoint 3.0 -> Служебная программа федерации для SharePoint 3.0. Для запуска этой программы требуются повышенные привилегии. Ниже описаны диалоговые окна программы и параметры, которые необходимо указывать в этих окнах.



    1. Настройка администрирования и сведений о зоне. В первом диалоговом окне требуется указать сведения, относящиеся к администрированию. В этом диалоговом окне укажите путь к файлу web.config, используемому для администрирования веб-приложения (AdminWebConfigPath из этапа 1в).



    2. Сведения о приложении. Во втором диалоговом окне требуется указать сведения, относящиеся к приложению SharePoint. В этом диалоговом окне укажите путь к файлу web.config веб-приложения SharePoint, которое необходимо настроить (WebAppConfigPath из этапа 1а) и полный URL-адрес приложения (например, https://docs.contoso.com). Кроме того, для приложения необходимо указать зону безопасности SharePoint (из этапа 1б). В завершении необходимо указать, требуется ли включить скользящий срок действия файла Cookie. Это означает, что когда клиент отправляет запрос приложению и предоставляет файл Cookie сеанса, срок действия файла Cookie увеличивается.

      Примечание.
      Служба маркеров безопасности Службы федерации Active Directory 2.0 требует, чтобы приложение использовало протокол HTTPS, поскольку передача маркера безопасности, выданного службой маркеров безопасности, в приложение должна осуществляться безопасно.
      Нажмите кнопку "Далее".



    3. Сведения о службе маркеров безопасности. В третьем диалоговом окне требуется указать сведения, относящиеся к службе маркеров безопасности. В этом диалоговом окне укажите расположение документа метаданных федерации службы маркеров безопасности (StsFedMetadataAddress из этапа 1г). Пример URL-адреса документа метаданных федерации службы маркеров безопасности: http://<your STS host name>/FederationMetadata/2007-06/FederationMetadata.xml. Если службой маркеров безопасности является Службы федерации Active Directory 2.0, достаточно указать имя узла, на котором установлены Службы федерации Active Directory 2.0. Нажмите кнопку "Далее".

      На странице сбора сведений о службе маркеров безопасности также имеется флажок "Планировать ежедневное автоматическое обновление метаданных WS-Federation". Если установить этот флажок, FedUtil запланирует ежедневное выполнение соответствующего задания в 00:00. Если требуется выполнять эту задание несколько раз в день, можно обновить задание в "Планировщике заданий". "Планировщик заданий" находится на панели управления в области "Администрирование". Если с помощью служебной программы FedUtil было настроено несколько приложений, отображается несколько заданий.

      Задача извлекает метаданные федерации службы маркеров безопасности и обновляет конфигурацию приложения путем внесения изменений, обнаруженных в документе метаданных федерации, например изменение сертификата подписи службы маркеров безопасности.



    4. Проверка допустимости цепочки сертификатов подписи службы маркеров безопасности. В этом диалоговом окне необходимо указать, будет ли осуществляться проверка допустимости цепочки сертификатов подписи службы маркеров безопасности. Сделав выбор, нажмите кнопку "Далее".



    5. Шифрование маркера. В этом диалоговом окне необходимо указать, будет ли шифроваться маркер, выданный службой маркеров безопасности. Если в веб-приложении SharePoint включена поддержка протокола SSL, для повышения производительности рекомендуется выбрать "Без шифрования". При выборе параметра "Включить шифрование" потребуется указать сертификат из локального хранилища сертификатов. Нажмите кнопку "Далее".

      Примечание.
      Дополнительные сведения о том, в какое хранилище необходимо добавить сертификат подписи службы маркеров безопасности, см. в разделе "Требуемые компоненты".


    6. Утверждения, предлагаемые службой маркеров безопасности. В этом диалоговом окне приводится список утверждений, предлагаемых службой маркеров безопасности. Обратите внимание, что служба маркеров безопасности предлагает множество утверждений, однако веб-приложению SharePoint требуются только утверждения об имени и ролях. Нажмите кнопку "Далее".



    7. Сводка. В последнем диалоговом окне отображается список операций, которые выполнит служебная программа.

      1. Дополнительно можно включить автоматическое обновление метаданных федерации, чтобы у веб-приложения SharePoint всегда была ссылка на последний сертификат службы маркеров безопасности. Это удобно в случае, когда развертываемый сертификат службы маркеров безопасности имеет различные отпечатки.

      2. Чтобы начать процесс настройки, нажмите кнопку "Далее".

      3. В случае успешной настройки появится сообщение об успешном завершении настройки сайта SharePoint. Метаданные федерации для веб-приложения SharePoint находятся в следующем расположении: https://<url>:<port>/layouts/images/<port>/Federationmetadata/2007-06/FederationMetadata.xml.

  3. Далее выполним настройку службы маркеров безопасности для выдачи маркеров веб-приложению SharePoint.

    1. В службе маркеров безопасности добавьте веб-приложение SharePoint в качестве проверяющей стороны. Чтобы автоматически настроить приложение SharePoint в качестве проверяющей стороны, воспользуйтесь ссылкой на метаданные федерации (https://contoso.com:<port>/_layouts/images/<port>/FederationMetadata/2007-06/FederationMetadata.xml) в консоли управления Службы федерации Active Directory 2.0. Дополнительные сведения о создании доверия проверяющей стороны см. в документации по продукту Службы федерации Active Directory 2.0.

    2. В службе маркеров безопасности настройте политику выдачи утверждений для приложения SharePoint, чтобы получать утверждения об имени и ролях. Если используются Службы федерации Active Directory 2.0, дополнительные сведения о настройке политики выдачи утверждений см. в разделе Обзор роли утверждений и правил утверждений в организации поставщика утверждений руководства по проектированию служб федерации Active Directory 2.0 (возможно, на английском языке).

Настройка доступа пользователей

В федеративном веб-приложении SharePoint для авторизации доступа пользователей модуль SharePoint запрашивает сведения у поставщиков членства и ролей на основе утверждений. Это означает, что при настройке федеративных пользователей должны быть указаны поставщики членства и ролей на основе утверждений. В ходе настройки веб-приложения SharePoint служебная программа федерации FedUtil добавляет сведения о поставщиках членства и ролей в файл web.config веб-сайта центра администрирования SharePoint 3.0. Для настройки доступа федеративных пользователей с помощью веб-сайта центра администрирования выполните следующие действия.

  1. Откройте веб-сайт центра администрирования SharePoint 3.0.

  2. Откройте вкладку Управление приложениями.

  3. В разделе Безопасность приложений щелкните ссылку Политика для веб-приложения.

  4. Щелкните Добавить пользователей.

  5. Выберите веб-приложение.

  6. Выберите подходящую зону. Обратите внимание, что пункт "Все зоны" недоступен. Нажмите кнопку "Далее".

  7. Если необходимо настроить доступ на основании значения конкретного утверждения роли (например, "Администраторы домена"), введите Role#Domain Admins.

  8. Если необходимо настроить доступ на основании конкретного имени пользователя (например, "frank@fabrikam.com"), введите frank@fabrikam.com.

  9. Для учетной записи пользователя укажите требуемые разрешения. Нажмите кнопку "Готово".

Как правило, действия, описанные выше, используются для создания учетной записи администратора федерации, который затем может настроить параметры доступа для остальных пользователей федерации с помощью ролей или имен.

Сведения о развертывании

Ниже приведены сведения, которые необходимо учитывать при включении сценария федерации для существующих развертываний SharePoint.

  • В качестве методов проверки подлинности для зоны по умолчанию веб-приложения используйте встроенную проверку подлинности Windows или проверку подлинности NTLM. Это требование связано с тем, что некоторые функции SharePoint, например поиск, используют встроенную проверку подлинности Windows или проверку подлинности NTLM.

  • Включайте сценарий федерации только для зоны экстрасети или зоны Интернета приложения. Для расширения зоны по умолчанию приложения SharePoint рекомендуется использовать зону экстрасети или зону Интернета и затем настроить расширенную зону для федерации. Обратите внимание, что при расширении приложения можно оставить режим проверки подлинности Windows и затем запустить служебную программу федерации SharePoint для этого приложения. Эта программа внесет изменения, необходимые для включения федерации в зоне экстрасети или зоне Интернета приложения.

  • Обычно администраторы предоставляют пользователям сайт SharePoint на уровне семейства веб-сайтов. Администратор семейства веб-сайтов может использовать этот подход для предоставления федеративным пользователям доступа к федеративному веб-приложению. Однако по умолчанию с помощью сайта интрасети невозможно настроить роли и членство на основе утверждений для федеративных пользователей. Для этого необходимо изменить файл web.config сайта интрасети для распознавания поставщиков роли и членства на основе утверждений. Эти изменения похожи на изменения, выполняемые служебной программой федерации SharePoint в файле web.config веб-сайта центра администрирования.

  • Устанавливайте этот пакет расширений федерации на всех веб-серверах переднего плана в ферме SharePoint.

  • Если ферма SharePoint развернута с несколькими веб-серверами переднего плана, потребуется установить этот пакет расширений федерации на каждом сервере и затем настроить приложение.

Известные проблемы

  1. Срок действия файла Cookie истек, поэтому изменения в документе не сохраняются в файле с таким же именем.

    Проблема. Если после истечения срока действия файлов Сookie пользователь проходит повторную проверку подлинности, изменения в документе, выполненные до истечения срока действия файла Сookie, не сохраняются. Ниже описаны действия пользователя.

    1. Пользователь выполняет вход в федеративное веб-приложение, открывает документ и изменяет его.

    2. Пользователь оставляет систему в бездействии и срок действия файла Cookie истекает. После истечения срока действия файла Cookie пользователь пытается сохранить документ.

    3. Веб-приложение запрашивает повторную проверку подлинности пользователя. После успешной повторной проверки подлинности пользователь не может сохранить изменения в документе и получает сообщение "Доступ запрещен".

    Причина. Это известная ошибка в пакете Office Client 2007 с пакетом обновления 2 (SP2).

    Решение. Сохраните документ под другим именем.

  2. Если в диалоговом окне "Открытие документа" приложения Word пользователь вводит URL-адрес корневого сайта, запрос проверки подлинности отображается дважды.

    Проблема. Когда пользователь пытается получить доступ к ресурсам SharePoint путем ввода URL-адреса корневого сайта в диалоговом окне "Открытие документа" приложения Word, система дважды запрашивает данные для проверки подлинности. Ниже описаны действия пользователя.

    1. Пользователь запускает приложение Word и затем в меню Файл выбирает команду Открыть.

    2. В диалоговом окне "Открытие документа" пользователь вводит URL-адрес корневого сайта (например, https://docs.contoso.com/sites/mysite).

    3. Система запрашивает данные для проверки подлинности пользователя и затем отображает встроенное представление структуры SharePoint.

    4. Пользователь выбирает документ, нажимает кнопку Открыть и получает запрос проверки подлинности повторно.

    5. Пользователь закрывает приложение Word.

    6. Пользователь повторно открывает приложение Word, выбирает в меню Файл команду Открыть и затем вводит URL-адрес того же сайта (https://docs.contoso.com/sites/mysite).

    7. В диалоговом окне Открытие документа пользователь получает сообщение об ошибке 403.

    Причина. Это известная ошибка в пакете Office Client 2007 с пакетом обновления 2 (SP2).

    Решение. Решение отсутствует.

  3. Не рекомендуется устанавливать пакет SDK WIF на сервере SharePoint с установленным пакетом расширений федерации.

    Проблема. Эта проблема возникает только в том случае, если пакет SDK WIF и пакет расширений федерации установлены на одном и том же сервере SharePoint. Служебной программе федерации SharePoint не удается настроить приложение SharePoint, когда пользователь выбирает параметр автоматического обновления метаданных федерации.

    Причина. Это известная ошибка в пакете расширений федерации.

    Решение. Рекомендуется устанавливать пакет SDK WIF и пакет расширений федерации на разные серверы.

  4. Не рекомендуется предоставлять доступ на уровне федерации к веб-приложениям SharePoint, которые не расширены (т. е. для зоны безопасности SharePoint выбрано только значение по умолчанию).

    Проблема. Если в веб-приложении SharePoint, имеющем только одну зону безопасности SharePoint (по умолчанию) и семейство сайтов, выполняется настройка поставщика роли и членства, пользователи, принадлежащие поставщику членства, могут получать доступ к веб-приложению, однако получают сообщение "Доступ запрещен" при попытке доступа к семейству сайтов.

    Причина. Это известная ошибка в Microsoft Office SharePoint Server 2007 с пакетом обновления 2 (SP2).

    Решение. Если требуется предоставить доступ к веб-приложению на уровне федерации, расширьте его на зоны экстрасети, интрасети или Интернета и затем предоставьте доступ к этим зонам на уровне федерации.

Дополнительные ресурсы