SharePoint服务器端对象模型 之 访问用户、用户组和权限(Part 1)
(一)概述
SharePoint权限系统是整个SharePoint体系中一个比较重要的部分,权限系统主要分成两大部分:认证和授权。
认证主要解决的问题是判断登陆者是否合法,以及他究竟是哪一个用户,SharePoint与此相关的对象包括用户和用户组。SharePoint支持多种身份认证方式,从最基本的Windows集成认证到各种表单认证,并且在SharePoint 2010中增加了基于声明(Claim Based)认证方式,以及一些相关服务,允许在同一个网站中使用多种认证方式。不过认证方式的设置不在本书的讨论范围之内。
授权主要解决的问题是判断用户在某个对象(如网站、列表等)上有什么样的权限,换句话说,用户在这个SharePoint网站上能够进行什么样的操作。SharePoint与此相关的对象包括权限、权限级别和权限分配。
在介绍和权限相关的对象模型之前,让我们先来回顾一下SharePoint的授权体系。下面这张图表示了SharePoint中授权体系的结构和关系(这部分内容2010和2007没有本质区别):
从上图中可以看到,在SharePoint权限体系中,处在核心地位的是权限分配(Role Assignments),围绕着权限分配有三组对象:
1、范围(Scopes)
范围指定了在什么对象上分配权限。在SharePoint中,凡是能够分配权限的对象都是直接或间接继承了SPSecurableObject类,关于该类的方法和属性将在后文做详细介绍(在2007中,这些对象实现了ISecurableObject接口,不过实际上在2010中的SPSecurableObject类也是实现了这一接口的)。在SharePoint中,实现了该接口类包括SPWeb、SPList和SPListItem。也就是说,能够在SharePoint中分配权限的对象包括网站、列表、列表条目(当然也包括文档库中的文档,以及列表、文档库中的文件夹)。
默认情况下,SharePoint的权限分配在范围上是有继承关系的。子网站的权限分配与父网站相同,列表的权限分配与其所在网站相同,条目和文档的权限分配与其所在列表和文档库相同,如果包含文件夹的话,文件夹内的条目/文档的权限分配与该文件夹相同。不过,这种继承关系是允许用户打破的(在权限设置页面中,点击“停止继承权限”),在打破继承关系之后,对其父对象进行的任何权限分配上的修改都不再影响到结束继承的子对象;而子对象也可以在任何时候选择重新继承父对象的权限分配——这当然也就意味着子对象本身的权限分配设置都会被销毁,并按照父对象上的设置重新分配权限。
2、用户令牌(User Token)
在SharePoint中,可以被分配权限的用户包括普通用户、SharePoint用户组和AD安全组(相当于ASP.NET Membership中的“角色”)。因此在分配权限的时候,管理员就可以有多种选择(假设用户使用AD进行身份认证):
(1) 直接给某个用户分配权限;
(2) 给某个SharePoint用户组分配权限,并将需要分配权限的用户根据权限不同加入到不同的用户组中(在图3-18所示的SharePoint权限分配的界面中,可以很明显地看到这两种权限分配的方式);
(3) 在AD中将用户加到安全组中,之后把安全组加入到SharePoint中,并分配权限;
(4)将包含了用户的安全组加入到SharePoint用户组中。
在一般的SharePoint项目中,不建议直接为用户分配权限,这样会造成日后权限管理中的混乱和麻烦,所以推荐使用方法(2)至(4)。但是在一些地方,只能将权限设置给具体的用户(如网站集管理员)。
3、权限控制列表(ACL)
SharePoint中的权限控制分为两个层次:权限(Permission)和权限级别(Role Definition)。
权限是指具体的用户行为,例如创建列表条目、查看列表条目、管理网站、创建子网站、审批条目等等。
而权限级别是指按照具体应用所组织起来的一组权限,例如读取、仅查看、参与讨论、完全控制等等,每种权限级别都包括了相同或不同的权限组合。从图3-17中可以看到,在SharePoint中,权限的分配只能透过权限级别来完成。
权限级别是定义在网站中的,默认情况下,子网站的权限级别与父网站定义相同,并继承父网站的定义。当然管理员也可以选择结束掉这种继承关系,其情形与结束权限分配的继承关系类似。不过需要说明的是,如果需要打破权限级别的继承关系,其前提条件就是要先打破权限分配的继承关系。
综上所述,在SharePoint中的授权体系可以归纳性地概括为:在某个对象上,给某个用户(或用户组)分配某一组权限。