SharePoint User Profile Service之(五)-Audience

最新推荐文章于 2019-10-05 02:11:19 发布
最新推荐文章于 2019-10-05 02:11:19 发布
阅读量1.4k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: User Profile Service 文章标签: SharePoint User Profile Audience
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/SPFarm/article/details/42343713
本文介绍如何利用Audience特性在SharePoint环境中更高效地管理用户权限,通过Audience设置实现复杂条件组的权限分配,避免在每个站点重复创建SharePointGroup带来的不便。详细展示了如何创建Audience及在列表项访问和WebPart访问中应用Audience的步骤。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Audience

User Profile Service里面,可以设置Audience。Audience有什么用呢?

虽然在SharePoint中可以用SharePoint Group/AD Group/AD User来管理权限,但是还是有一些情况不能满足。比如:需要设定满足复杂条件的一组人,并且要在Farm里的各个Site使用。如果使用SharePoint group,那么就需要在每个Site里都建一个Group,并且把相应的User加进去。一旦这组人员发生变化,就需要修改每个Site里的Group。

而Audience 就解决了这个问题。

要设置Audience,先用Farm Administrator 权限登陆到Central Administration,找到User Profile Service Application,进入到管理页面。 


进入Manage Audiences页面后,点击New Audience,这样就进入了新建Audience的页面:


在这个页面输入名字和Owner,点击OK。

在这个页面设定条件,点击OK之后,就创建好了一个Audience。在这个页面,可以添加其他的条件。 


Audience创建完了之后,如何使用呢?

1. 控制List item的访问随便找一个List

点击List Settings, 在Settings页面,点击Audience target settings: 


在这里选中Check Box,点击OK:


 这个时候再打开一个item:


 这样只有Developer 这个Audience 里面的User才能看见这个item了。


2. 控制Web Part的访问

Edit一个Webpart page,选一个Web Part,并Edit Properties: 


在修改属性的地方,可以设定Audience: 


这样这个Web Part就只有Developer 这个Audience 里面的User才能看见了。

SharePoint User Profile Services Application之() 创建UPS Service Application
SPFarmer的SharePoint专栏
12-29 2380
创建User ProfileService Application User Profile Service Application是SharePoint2013的重要组成部分,提供用户属性的同步,Mysite的创建,并为社交功能提供支持。   下面介绍如何创建一个User Profile Service Application.首先以Farm 管理员账户登录到CentralAdminist
sharepoint 2013 userprofile 用户信息
jielizhao的专栏
09-18 1532
sharepoint 2013 用户信息
SharePoint 2010 User Profile Service
懒牛科技-SharePoint
11-26 1131
最近在帮助公司配置用户搜索服务,在需求调研的过程中,有些用户问道:如果一个用户从域中删除了,是否还能搜索的到?   针对这个问题,我做了一下功课,并画了如下流程图来帮助客户理解:       引用: Creating User Profile Synchronization Exclusion Filters using the userAccou
SharePoint 2013 User Profile (用户配置文件)
落花流水
08-21 1198
User Profile Service Application(管理配置文件服务),准确的说是SharePoint上的User Profile Service Application,本文主要介绍怎么在SharePoint中开启User Profile Service Application、管理User Profile Service Application以及怎么在代码中读取用户配置文件的信息
sharepoint获取Audiences
weixin_30730053的博客
12-01 118
代码很简单。如下: Code publicstaticstring[]GetUserAudiencesNamesArray(SPWebspWeb) { ServerContextcontext=ServerContext.Current; AudienceManagerma=newAudien...
yandex-audience-api:Yandex.Audience python API
05-18
cd yandex-audience-api pip install . 用法 使用前,您必须生成OAuth令牌-https: #Constants and Parameters import hashlib import cx_Oracle import pandas as pd import datetime import yaaudience # ...
fb-audience-network-android-demo-app:Android应用程序,通过使用News API来演示Facebook Audience Network的用法
05-01
替换fb-audience-network-android-demo-app \ app \ src \ main \ java \ com \ silver \ mynews \ api \ Constants.java中的广告展示位置ID和API密钥。 package com.silver.mynews.api ; public interface ...
Social-Media-Audience
03-06
"Social-Media-Audience"项目,结合R语言这一强大的数据分析工具,为我们揭示了社交媒体受众分析的深度与广度。 R语言,作为统计学和数据科学的首选编程语言,拥有丰富的数据处理和可视化库,如dplyr用于数据操作,...
audience-annotations-0.5.0-API文档-中英对照版.zip
07-14
赠送jar包:audience-annotations-0.5.0.jar; 赠送原API文档:audience-annotations-0.5.0-javadoc.jar; 赠送源代码:audience-annotations-0.5.0-sources.jar; 赠送Maven依赖信息文件:audience-annotations-...
WR-Audience:网络广播观众
05-01
网络广播原型 关于 这个想法是要有一种方法,提供一种使用可用的网络技术来创建广播节目的简便方法。 如果我们发现Web浏览器不合适,则可以使用面向桌面的软件包。 如果是这样,可能将Qt与C ++一起使用,将Java与...
SharePoint 2010 配置基于MemberShip的身份验证
10-05 206
场景:通常需要为sharepoint打通其他的系统整合到sharepoint认证,ad通常是为内部域用户,外网访问的可以使用membership来登录,那么这个既可以内部用户访问,外部用户也可以访问 ,另外也可以把其他的用户加到membership里面. 目录: 用aspnet_sqlreg创建memebership数据库 用网站管理工具添加用户和角色 为以下添加连接字...
图文SharePoint 2013 中创建、配置、编辑或删除 User Profile Service 应用程序
段传涛 的专栏
01-08 2907
SharePoint Server 2013 中创建、编辑或删除 User Profile Service 应用程序 SharePoint 2013         其他版本                     SharePoint 2010    适用于:SharePoint Server 2013 Enterprise, Sha
SharePoint User Profile Service: Sync Profile显示错误“The user does not exist or is not unique”的解决方案
WarmSunshine7的博客
03-11 1034
最近check SharePointuser profile service时候发现一个问题,相同用户在user profile都出现双份,但是域名却不一样,比如一个useruser profile中有两个分别为"domain\user"和"domainAD\user"。 在Event View中按下面方式Filter User profile sync相关FIMSynchronizatio...
SharePoint User Profile Services Application之() 配置同步连接(Synchronization Connections)
SPFarmer的SharePoint专栏
12-30 1984
User Profile Service Application创建好了之后,下一步要做的就是把AD里面的user同步进来。当然,除了AD之外,还支持其他类型的数据源,比如数据库,或者BCS等。这里只介绍AD
SharePoint 2013 User Profile Synchronization Service无法开启的解决方案
为自己喝彩的博客
10-26 3484
上述图片是SharePoint2013 User Profile Synchronization Service的组件,从图片中我们可以看到UserProfileSharePoint UserProfile集合,这些Profile信息可以从ADService或者Business System中进行同步获取。   问题描述:很多企业用AD 管理用户以及Profile信息,所以采用A
SharePoint User Profile Services Application之() 创建mysite
SPFarmer的SharePoint专栏
12-31 1602
创建完User Profile Service Application之后,就可以准备创建MySite了。 要创建MySite,需要先创建一个My Site Host Site Collection。一般情况下,为了方便管理,会单独创建一个WebApplication,专门存放My Site。  Web Application创建好之后,要创建一个MySite Host 类型的Site
SharePoint User Profile Services Application之() -Promoted Sites
SPFarmer的SharePoint专栏
12-31 1516
Promoted Sites SharePoint 2013里面,最上边置顶了一个Sites的链接,那么如何配置和使用这个Sites?   打开User Profile Service Application的管理页面,点击Manage Promoted Sites: 在Promoted Sites页面,点击New Link, 输入Link的
--service-account-issuer=https://kubernetes.defau
最新发布
03-21
<think>好的,用户现在要了解的是Kubernetes中的`--service-account-issuer=https://kubernetes.defau`参数。首先,我需要确认这个参数的正确性,注意到用户输入的结尾是“defau”,可能是“default”的拼写错误,但为了准确起见,应该指出正确的参数名称是`--service-account-issuer`,并假设用户可能是指默认的签发者URL。 接下来,我需要回忆这个参数的作用。这个参数用于指定服务账户令牌(Service Account Token)的签发者(Issuer)。在Kubernetes中,服务账户用于Pod的身份认证,而签发者URL是OpenID Connect(OIDC)发现的一部分,用于验证令牌的来源是否可信。正确的签发者URL通常是集群的API服务器地址,比如`https://kubernetes.default.svc`,但用户可能在这里输入了一个不完整的URL。 然后,用户可能的需求是什么?他们可能在配置集群时遇到了问题,或者想了解如何设置服务账户的签发者。他们可能是在尝试集成外部身份提供商,或者配置集群间的信任关系,比如联邦集群或多集群环境中需要统一的签发者。 接下来需要考虑参数的使用场景。例如,当集群需要与外部系统(如AWS IAM、GitHub Actions等)集成时,正确设置签发者URL是必要的。此外,如果用户在使用Service Account Token Volume Projection功能,签发者的正确配置也是关键。 然后需要解释参数的具体配置方法,包括在kube-apiserver中的配置步骤,可能的YAML文件修改示例。同时,需要提到相关参数的关联,比如`--api-audiences`,以及如何验证配置是否正确,比如检查令牌的签发者字段。 用户可能还关心安全方面的考虑,比如签发者URL必须是HTTPS,不能使用IP地址,以及如何避免配置错误导致的认证问题。此外,可能存在的常见错误,比如拼写错误或URL格式不正确,也需要提醒用户。 最后,总结这个参数的重要性,强调在需要集群间信任或外部集成时的必要性,同时指出默认配置和修改后的影响。确保回答结构清晰,分点说明,并给出实际示例,帮助用户理解如何正确应用这个参数。</think>--- ### 关于 `--service-account-issuer` 参数的详细介绍 --- #### 1. **参数作用** `--service-account-issuer` 是 Kubernetes **kube-apiserver** 的配置参数,用于指定 **服务账户令牌(Service Account Token)的签发者(Issuer)标识**。 - **核心功能**:定义服务账户令牌的颁发者 URL,用于 OpenID Connect (OIDC) 身份验证和集群间的信任关系。 - **默认值**:Kubernetes 1.20+ 后默认不显式设置(旧版本可能默认为空)。 - **典型值**:通常设置为集群的 API 服务器地址,例如: - `https://kubernetes.default.svc`(集群内默认服务域名) - `https://my-cluster.example.com`(外部可访问的集群域名) --- #### 2. **核心影响** ##### 服务账户令牌的签发者标识 - **OIDC 发现**:签发者 URL 是 OIDC 发现的元数据端点(如 `/.well-known/openid-configuration`)的一部分,用于验证令牌来源。 - **多集群信任**:在联邦集群或跨集群通信场景中,统一签发者 URL 可建立集群间的信任关系。 ##### 依赖该参数的关键功能 - **Service Account Token Volume Projection**:动态生成服务账户令牌时需指定签发者(通过 `spec.serviceAccountToken.audience` 和签发者匹配)。 - **外部身份联合**:将 Kubernetes 服务账户与外部系统(如 AWS IAM、GitHub Actions)集成时,签发者需被外部系统认可。 --- #### 3. **配置方式** ##### 在 kube-apiserver 中启用 1. 修改 kube-apiserver 配置文件(如 `/etc/kubernetes/manifests/kube-apiserver.yaml`): ```yaml - command: - kube-apiserver - --service-account-issuer=https://kubernetes.default.svc # 签发者 URL - --service-account-signing-key-file=/etc/kubernetes/pki/sa.key # 签名私钥 - --service-account-api-audiences=api,https://api.my-cluster.example.com # 目标受众(可选) ``` 2. 重启 kube-apiserver(通过重启 kubelet): ```bash systemctl restart kubelet ``` ##### 验证配置 检查生成的令牌是否包含正确的签发者信息: ```bash kubectl create token my-service-account --audience=api # 解码令牌的 JWT payload 部分,查看 "iss" 字段是否为配置的 URL ``` --- #### 4. **使用场景示例** ##### 场景 1:跨集群信任(联邦集群) 集群 A 信任集群 B 签发的服务账户令牌: - 集群 B 配置: ```yaml --service-account-issuer=https://cluster-b.example.com ``` - 集群 A 的 kube-apiserver 配置: ```yaml --service-account-jwks-uri=https://cluster-b.example.com/openid/v1/jwks ``` ##### 场景 2:与 AWS EKS 集成 AWS EKS 要求服务账户签发者匹配 OIDC 提供商的 URL: 1. 配置 kube-apiserver: ```yaml --service-account-issuer=https://oidc.eks.us-west-2.amazonaws.com/id/EXAMPLEDID ``` 2. 创建 IAM 角色并绑定服务账户,实现 AWS 资源访问权限控制。 ##### 场景 3:动态服务账户令牌 Pod 中自动挂载的令牌需包含特定签发者: ```yaml apiVersion: v1 kind: Pod metadata: name: my-pod spec: serviceAccountName: my-sa containers: - name: app image: nginx volumeMounts: - name: token mountPath: /var/run/secrets/tokens volumes: - name: token projected: sources: - serviceAccountToken: path: token expirationSeconds: 7200 audience: api # 必须与 --service-account-api-audiences 匹配 ``` --- #### 5. **安全注意事项** - **HTTPS 强制要求**:签发者 URL 必须使用 HTTPS,否则令牌可能被中间人攻击篡改。 - **唯一性**:签发者 URL 必须在所有信任集群中唯一,避免冲突。 - **避免 IP 地址**:使用域名而非 IP,防止因 IP 变更导致信任链断裂。 - **定期轮换密钥**:配合 `--service-account-signing-key-file` 定期更新私钥以增强安全性。 --- #### 6. **常见问题** ##### 问题 1:令牌验证失败 - **原因**
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值