Planen der Benutzerauthentifizierungsmethoden in SharePoint ServerPlan for user authentication methods in SharePoint Server

gilt für: ja2013 ja2016 ja2019 NeinSharePoint OnlineAPPLIES TO: yes2013 yes2016 yes2019 noSharePoint Online

Wir erläutern Ihnen die Verwendung der von SharePoint Server unterstützten Benutzerauthentifizierungstypen und -methoden und erklären Ihnen, wie Sie entscheiden können, welche Typen und Methoden jeweils die richtige Wahl für Ihre Webanwendungen und Zonen sind.Learn the user authentication types and methods that are supported by SharePoint Server and how to determine which ones to use for web applications and zones.

EinführungIntroduction

Die Benutzerauthentifizierung ist die Überprüfung der Identität eines Benutzers anhand eines Authentifizierungsanbieters. Dabei handelt es sich um ein Verzeichnis oder eine Datenbank, das bzw. die die Anmeldeinformationen des Benutzers enthält und bestätigen kann, dass der Benutzer diese ordnungsgemäß übermittelt hat. Ein Beispiel für einen Authentifizierungsanbieter sind Active Directory-Domänendienste (AD DS). Weitere Begriffe für Authentifizierungsanbieter sind "Benutzerverzeichnis" und "Attributspeicher".User authentication is the validation of a user's identity against an authentication provider, which is a directory or database that contains the user's credentials and can confirm the user submitted them correctly. An example of an authentication provider is Active Directory Domain Services (AD DS). Other terms for authentication provider are user directory and attribute store.

Eine Authentifizierungsmethode ist ein bestimmter Austausch von Kontoanmeldeinformationen und anderen Informationen, die die Identität eines Benutzers bestätigen. Das Ergebnis der Authentifizierungsmethode ist ein Beweis, meist in der Form eines Tokens, das Ansprüche enthält, dass ein Authentifizierungsanbieter einen Benutzer authentifiziert hat.An authentication method is a specific exchange of account credentials and other information that assert a user's identity. The result of the authentication method is proof, typically in the form of a token that contains claims, that an authentication provider has authenticated a user.

Ein Authentifizierungstyp ist eine bestimmte Möglichkeit zum Überprüfen von Anmeldeinformationen anhand mindestens eines Authentifizierungsanbieters, wobei gelegentlich ein Branchenstandardprotokoll verwendet wird. Ein Authentifizierungstyp kann mehrere Authentifizierungsmethoden verwenden.An authentication type is a specific way of validating credentials against one or more authentication providers, sometimes using an industry standard protocol. An authentication type can use multiple authentication methods.

Nachdem die Identität eines Benutzers überprüft wurde, wird im Autorisierungsverfahren ermittelt, auf welche Websites, Inhalte und anderen Features der Benutzer zugreifen kann.After a user's identity is validated, the authorization process determines which sites, content, and other features the user can access.

Bei der Planung der Benutzerauthentifizierungstypen und -methoden sollte Folgendes bestimmt werden:Your planning for user authentication types and methods should determine the following:

  • Die Benutzerauthentifizierungstypen und -methoden für alle Webanwendungen und -zonenThe user authentication types and methods for each web application and zone

  • Die erforderliche Authentifizierungsinfrastruktur zum Unterstützen der festgelegten Authentifizierungstypen und -methodenThe authentication infrastructure needed to support the determined authentication types and methods

    Hinweis

    Die Windows-Authentifizierung im klassischen Modus wird in SharePoint Server 2016 nicht mehr unterstützt.Windows classic mode authentication is no longer supported in SharePoint Server 2016.

Anspruchsbasierte AuthentifizierungClaims-based authentication

Die Benutzeridentität in AD DS basiert auf einem Benutzerkonto. Für eine erfolgreiche Authentifizierung gibt der Benutzer den Kontonamen an und beweist, dass ihm das Kennwort bekannt ist. Damit der Zugriff auf Ressourcen bestimmt werden kann, müssen Anwendungen möglicherweise AD DS nach Kontoattributen und weiteren Informationen abfragen, beispielsweise Gruppenmitgliedschaft oder Rolle im Netzwerk. Diese Methode funktioniert zwar in Windows-Umgebungen einwandfrei, kann jedoch nicht auf Drittauthentifizierungsanbieter und Umgebungen mehrerer Anbieter ausskaliert werden, die Internet-, Partner- oder cloudbasierte Computermodelle unterstützen.User identity in AD DS is based on a user account. For successful authentication, the user provides the account name and proof of knowledge of the password. To determine access to resources, applications might have to query AD DS for account attributes and other information, such as group membership or role on the network. While this works well for Windows environments, it does not scale out to third-party authentication providers and multi-vendor environments that support Internet, partner, or cloud-based computing models.

Bei Verwendung von anspruchsbasierten Identitäten ruft ein Benutzer ein digital signiertes Sicherheitstoken von einem allgemein vertrauenswürdigen Identitätsanbieter ab. Das Token enthält einen Satz von Ansprüchen. Jeder Anspruch stellt ein bestimmtes Datenelement zu einem Benutzer dar, wie z. B. Name, Gruppenmitgliedschaften und Rolle im Netzwerk. Die anspruchsbasierte Authentifizierung ist eine Benutzerauthentifizierung, die anspruchsbasierte Identitätstechnologien und -infrastrukturen verwendet. Anwendungen, die die anspruchsbasierte Authentifizierung unterstützen, rufen anstelle von Anmeldeinformationen ein Sicherheitstoken von Benutzern ab und verwenden die Informationen in den Ansprüchen zum Bestimmen des Zugriffs auf Ressourcen. Eine separate Abfrage an einen Verzeichnisdienst wie z. B. AD DS ist nicht erforderlich.With claims-based identities, a user obtains a digitally signed security token from a commonly trusted identity provider. The token contains a set of claims. Each claim represents a specific item of data about a user such as his or her name, group memberships, and role on the network. Claims-based authentication is user authentication that uses claims-based identity technologies and infrastructure. Applications that support claims-based authentication obtain a security token from a user, rather than credentials, and use the information within the claims to determine access to resources. No separate query to a directory service such as AD DS is needed.

Die anspruchsbasierte Authentifizierung in Windows baut auf Windows Identity Foundation (WIF) auf, einem Satz von .NET Framework-Klassen, mit denen die anspruchsbasierte Identität implementiert wird. Eine weitere Grundlage für die anspruchsbasierte Authentifizierung sind Standards wie WS-Federation, WS-Trust und Protokolle wie etwa SAML (Security Assertion Markup Language).Claims-based authentication in Windows is built on Windows Identity Foundation (WIF), which is a set of .NET Framework classes that is used to implement claims-based identity. Claims-based authentication relies on standards such as WS-Federation, WS-Trust, and protocols such as the Security Assertion Markup Language (SAML).

Weitere Informationen zur anspruchsbasierten Authentifizierung finden Sie in folgenden Ressourcen:For more information about claims-based authentication, see the following resources:

Aufgrund der verbreiteten Verwendung der anspruchsbasierten Authentifizierung zur Server-zu-Server-Authentifizierung und App-Authentifizierung empfehlen wir die anspruchsbasierte Authentifizierung für alle Webanwendungen und Zonen einer SharePoint Server-Farm. Weitere Informationen finden Sie unter Planen der Server-zu-Server-Authentifizierung in SharePoint Server. Wenn Sie die anspruchsbasierte Authentifizierung verwenden, sind alle unterstützten Authentifizierungsmethoden für Ihre Webanwendungen verfügbar, und Sie können neue Features und Szenarien in SharePoint Server nutzen, die Server-zu-Server- und App-Authentifizierung verwenden.Due to the widespread use of claim-based authentication for user authentication, server-to-server authentication, and app authentication, we recommend claims-based authentication for all web applications and zones of a SharePoint Server farm. For more information, see Plan for server-to-server authentication in SharePoint Server. When you use claims-based authentication, all supported authentication methods are available for your web applications and you can take advantage of new features and scenarios in SharePoint Server that use server-to-server authentication and app authentication.

Bei der anspruchsbasierten Authentifizierung ändert SharePoint Server alle Benutzerkonten automatisch in Anspruchsidentitäten, woraus sich ein Sicherheitstoken (auch als Anspruchstoken bezeichnet) für jeden Benutzer ergibt. Das Anspruchstoken enthält die Ansprüche, die zu dem betreffenden Benutzer gehören. Windows-Konten werden in Windows-Ansprüche konvertiert. Benutzer mit formularbasierter Mitgliedschaft werden in Ansprüche für formularbasierte Authentifizierung umgewandelt. SharePoint Server kann Ansprüche in SAML-basierten Token verwenden. Darüber hinaus können SharePoint-Entwickler und -Administratoren Benutzertoken um zusätzliche Ansprüche erweitern. Beispielsweise können Windows-Benutzerkonten und formularbasierte Konten um zusätzliche Ansprüche erweitert werden, die von SharePoint Server verwendet werden.For claims-based authentication, SharePoint Server automatically changes all user accounts to claims identities. This results in a security token (also known as a claims token) for each user. The claims token contains the claims pertaining to the user. Windows accounts are converted into Windows claims. Forms-based membership users are transformed into forms-based authentication claims. SharePoint Server can use claims that are included in SAML-based tokens. Additionally, SharePoint developers and administrators can augment user tokens with additional claims. For example, Windows user accounts and forms-based accounts can be augmented with additional claims that are used by SharePoint Server.

Sie müssen kein Anspruchsarchitekt sein, um die anspruchsbasierte Authentifizierung in SharePoint Server verwenden zu können. Allerdings erfordert die Implementierung der auf SAML-Token basierenden Authentifizierung eine Koordination mit den Administratoren der anspruchsbasierten Umgebung, wie in Planen der auf SAML-Token basierenden Authentifizierung beschrieben.You do not have to be a claims architect to use claims-based authentication in SharePoint Server. However, implementing SAML token-based authentication requires coordination with administrators of your claims-based environment, as described in Plan for SAML token-based authentication.

Authentifizierung im klassischen Modus in SharePoint Server 2013Classic mode authentication in SharePoint Server 2013

Wenn Sie in der SharePoint 2013-Zentraladministration eine Webanwendung erstellen, können Sie nur Authentifizierungstypen und -methoden für die anspruchsbasierte Authentifizierung angeben. In früheren SharePoint-Versionen war in der Zentraladministration auch der klassische Authentifizierungsmodus für Webanwendungen konfigurierbar. Der klassische Authentifizierungsmodus verwendet die Windows-Authentifizierung, und SharePoint 2013 behandelt die Benutzerkonten wie AD DS-Konten.In SharePoint 2013, when you create a web application in Central Administration, you can only specify authentication types and methods for claims-based authentication. In previous versions of SharePoint, you could also configure classic mode authentication for web applications in Central Administration. Classic mode authentication uses Windows authentication and SharePoint 2013 treats the user accounts as AD DS accounts.

Zum Konfigurieren einer Webanwendung für den klassischen Authentifizierungsmodus müssen Sie sie mithilfe des PowerShell-Cmdlets New-SPWebApplication erstellen. SharePoint 2010-Produkte-Webanwendungen, die für den klassischen Authentifizierungsmodus konfiguriert sind, behalten beim Upgrade auf SharePoint 2013 ihre Authentifizierungseinstellungen bei. Wir empfehlen jedoch, dass Sie Ihre Webanwendungen vor dem Upgrade auf SharePoint 2013 zur anspruchsbasierten Authentifizierungsmethode migrieren.To configure a web application to use classic mode authentication, you must use the New-SPWebApplication PowerShell cmdlet to create it. SharePoint 2010 Products web applications that are configured for classic mode authentication retain their authentication settings when you upgrade to SharePoint 2013. However, we recommend that you migrate your web applications to claims-based authentication before upgrading to SharePoint 2013.

Eine SharePoint 2013-Farm kann eine Kombination aus Webanwendungen enthalten, für die beide Modi verwendet werden. Einige Dienste unterscheiden bei Benutzerkonten nicht zwischen herkömmlichen Windows-Konten und anspruchsbasierten Windows-Konten.A SharePoint 2013 farm can include a mix of web applications that use both modes. Some services do not differentiate between user accounts that are traditional Windows accounts and Windows claims accounts.

Weitere Informationen zum Migrieren vor dem Upgrade finden Sie unter Migrieren von der klassischen Authentifizierung zur anspruchsbasierten Authentifizierung.For more information about migrating before upgrading, see Migrate from classic-mode to claims-based authentication.

Weitere Informationen zum Migrieren nach dem Upgrade finden Sie unter Migrate from classic-mode to claims-based authentication in SharePoint Server.For more information about migrating after upgrading, see Migrate from classic-mode to claims-based authentication in SharePoint Server.

Informationen zum Erstellen von Webanwendungen in SharePoint 2013, die den klassischen Authentifizierungsmodus verwenden, finden Sie unter Erstellen von Webanwendungen, die die klassische Authentifizierung in SharePoint Server verwenden. Beachten Sie, dass eine Migration von Webanwendungen mit anspruchsbasierter Authentifizierung zu klassischer Authentifizierung nicht möglich ist.For information about how to create web applications that use classic mode authentication in SharePoint 2013, see Create web applications that use classic mode authentication in SharePoint Server. Note that you cannot migrate a web application that uses claims-based authentication to use classic mode authentication.

Wichtig

Office Online kann nur von SharePoint 2013-Webanwendungen verwendet werden, von denen die anspruchsbasierte Authentifizierung genutzt wird. Das Rendern und die Bearbeitung mit Office Online funktioniert nicht für SharePoint 2013-Webanwendungen, von denen der klassische Authentifizierungsmodus genutzt wird. Wenn Sie SharePoint 2010-Webanwendungen, von denen der klassische Authentifizierungsmodus genutzt wird, zu SharePoint 2013 migrieren, müssen Sie dafür die Migration zur anspruchsbasierten Authentifizierung vornehmen, um die Verwendung mit Office Online zu ermöglichen.Office Online can be used only by SharePoint 2013 web applications that use claims-based authentication. Office Online rendering and editing will not work on SharePoint 2013 web applications that use classic mode authentication. If you migrate SharePoint 2010 web applications that use classic mode authentication to SharePoint 2013, you must migrate them to claims-based authentication to allow them to work with Office Online.

Unterstützte Authentifizierungstypen und -methodenSupported authentication types and methods

SharePoint Server unterstützt eine Vielzahl von Authentifizierungsmethoden und Authentifizierungsanbietern für die folgenden Authentifizierungstypen:SharePoint Server supports a variety of authentication methods and authentication providers for the following authentication types:

  • Windows-AuthentifizierungWindows authentication

  • Formularbasierte AuthentifizierungForms-based authentication

  • Auf SAML-Token basierende AuthentifizierungSAML token-based authentication

Windows-AuthentifizierungWindows authentication

Der Windows-Authentifizierungstyp nutzt Ihren vorhandenen Windows-Authentifizierungsanbieter (AD DS) und die Authentifizierungsprotokolle, die eine Windows-Domänenumgebung zum Überprüfen der Anmeldeinformationen von verbundenen Clients verwendet. Die folgende Windows-Authentifizierungsmethode wird bei der anspruchsbasierten Authentifizierung verwendet:The Windows authentication type takes advantage of your existing Windows authentication provider (AD DS) and the authentication protocols that a Windows domain environment uses to validate the credentials of connecting clients. Windows authentication method, which is used by both claims-based authentication include the following:

  • NTLMNTLM

  • KerberosKerberos

  • DigestDigest

  • BasicBasic

Weitere Informationen hierzu finden Sie in diesem Artikel unter Planen der Windows-Authentifizierung.For more information, see Plan for Windows authentication in this article.

Video zur Windows-Anspruchsauthentifizierung in SharePoint 2013 und SharePoint Server 2016Watch the Windows claims authentication in SharePoint 2013 and SharePoint Server 2016 video

Obwohl es sich nicht um einen Windows-Authentifizierungstyp handelt, unterstützt SharePoint Server auch die anonyme Authentifizierung. Benutzer können ohne Überprüfung ihrer Anmeldeinformationen auf SharePoint-Inhalte zugreifen. Die anonyme Authentifizierung ist standardmäßig deaktiviert. Sie wird in der Regel verwendet, wenn Sie SharePoint Server zur Veröffentlichung von Inhalten verwenden, die keine Sicherheit erfordern und für alle Benutzer verfügbar sind. Ein Beispiel hierfür sind öffentliche Internetwebsites.Although not a Windows authentication type, SharePoint Server also supports anonymous authentication. Users can access SharePoint content without validating their credentials. Anonymous authentication is disabled by default. You typically use anonymous authentication when you use SharePoint Server to publish content that does not require security and is available for all users, such as a public Internet website.

Beachten Sie, dass neben der Aktivierung der anonymen Authentifizierung auch die Konfiguration des anonymen Zugriffs (Berechtigungen) auf Websites und Websiteressourcen erforderlich ist.Note that in addition to enabling anonymous authentication, you must also configure anonymous access (permissions) on sites and site resources.

Hinweis

Internet Information Services (IIS)-Websites, die von SharePoint für die Webanwendungen erstellt werden, verfügen stets über die anonyme und Formularauthentifizierung, auch wenn die SharePoint-Einstellung für die anonyme und Formularauthentifizierung deaktiviert ist. Dies ist beabsichtigt. Beim Deaktivieren der anonymen oder Formularauthentifizierung in den IIS-Einstellungen führt zu Fehlern auf der SharePoint-Website.Internet Information Services (IIS) websites that are created by SharePoint for serving web applications always have the Anonymous Authentication and Forms Authentication methods enabled, even when the SharePoint setting for Anonymous and Forms Authentication are disabled. This is intentional and disabling Anonymous or Forms Authentication directly in the IIS settings will result in errors in the SharePoint site.

Formularbasierte AuthentifizierungForms-based authentication

Die formularbasierte Authentifizierung ist ein anspruchsbasiertes Identitätsverwaltungssystem, das auf der ASP.NET-Mitgliedschafts- und Rollenanbieterauthentifizierung basiert. Die formularbasierte Authentifizierung kann für Anmeldeinformationen verwendet werden, die in einem Authentifizierungsanbieter wie den folgenden gespeichert sind:Forms-based authentication is a claims-based identity management system that is based on ASP.NET membership and role provider authentication. Forms-based authentication can be used against credentials that are stored in an authentication provider, such as the following:

  • AD DSAD DS

  • Eine Datenbank wie z. B. eine SQL Server-DatenbankA database such as a SQL Server database

  • Ein LDAP-Datenspeicher (Lightweight Directory Access-Protokoll) wie z. B. Novell eDirectory, Novell Directory Services (NDS) oder Sun ONEAn Lightweight Directory Access Protocol (LDAP) data store such as Novell eDirectory, Novell Directory Services (NDS), or Sun ONE

Mit der formularbasierten Authentifizierung werden Benutzer anhand der Anmeldeinformationen überprüft, die Sie in ein Anmeldeformular eingeben (für gewöhnlich eine Webseite). Nicht authentifizierte Anforderungen werden zu einer Anmeldeseite umgeleitet, auf der ein Benutzer gültige Anmeldeinformationen eingeben muss und das Formular übermittelt. Das System gibt ein Cookie für authentifizierte Anforderungen aus, das einen Schlüssel zum Wiederherstellen der Identität für nachfolgende Anforderungen enthält.Forms-based authentication validates users based on credentials that users type in a logon form (typically a web page). Unauthenticated requests are redirected to a logon page, where a user must provide valid credentials and submit the form. The system issues a cookie for authenticated requests that contains a key for reestablishing the identity for subsequent requests.

Video zur formularbasierten Anspruchsauthentifizierung in SharePoint 2013 und SharePoint Server 2016Watch the forms-based claims authentication in SharePoint 2013 and SharePoint Server 2016 video

Hinweis

Bei der formularbasierten Authentifizierung werden die Benutzerkonto-Anmeldeinformationen als Nur-Text gesendet. Aus diesem Grund sollten Sie die formularbasierte Authentifizierung nicht verwenden, es sei denn, Sie verwenden auch SSL (Secure Sockets Layer) zum Verschlüsseln des Website-Datenverkehrs.With forms-based authentication, the user account credentials are sent as plaintext. Therefore, you should not use forms-based authentication unless you are also using Secure Sockets Layer (SSL) to encrypt the website traffic.

Weitere Informationen finden Sie unter Planen der formularbasierten Authentifizierung.For more information, see Plan for forms-based authentication.

Auf SAML-Token basierende AuthentifizierungSAML token-based authentication

Die auf SAML-Token basierende Authentifizierung in SharePoint Server verwendet das SAML 1.1-Protokoll sowie WS-F RFP (WS-Federation Passive Requestor Profile). Sie erfordert eine Koordination mit den Administratoren der jeweiligen anspruchsbasierten Umgebung, ganz gleich, ob es sich um Ihre eigene interne Umgebung oder eine Partnerumgebung handelt. Wenn Sie Active Directory-Verbunddienste (AD FS) 2.0 verwenden, verfügen Sie über eine auf SAML-Token basierende Authentifizierungsumgebung.SAML token-based authentication in SharePoint Server uses the SAML 1.1 protocol and the WS-Federation Passive Requestor Profile (WS-F PRP). It requires coordination with administrators of a claims-based environment, whether it is your own internal environment or a partner environment. If you use Active Directory Federation Services (AD FS) 2.0, you have a SAML token-based authentication environment.

Eine auf SAML-Token basierende Authentifizierungsumgebung beinhaltet einen Sicherheitstokendienst für Identitätsanbieter (Identity Provider Security Token Service, IP-STS). Der IP-STS stellt SAML-Token im Namen von Benutzern aus, deren Konten im zugehörigen Benutzerverzeichnis enthalten sind. Token können eine beliebige Zahl von Ansprüchen für einen Benutzer enthalten, z. B. einen Benutzernamen sowie Gruppen, denen der Benutzer angehört. Ein AD FS 2.0-Server ist ein Beispiel für einen IP-STS.A SAML token-based authentication environment includes an identity provider security token service (IP-STS). The IP-STS issues SAML tokens on behalf of users whose accounts are included in the associated authentication provider. Tokens can include any number of claims about a user, such as a user name and the groups to which the user belongs. An AD FS 2.0 server is an example of an IP-STS.

In SharePoint Server werden Ansprüche verwendet, die in von einem IP-STS für autorisierte Benutzer bereitgestellten Token enthalten sind. In anspruchsbasierten Umgebungen wird eine Anwendung, die SAML-Token akzeptiert, als eine Anwendung für den Sicherheitstokendienst der vertrauenden Seite (Relying Party-STS-Anwendung, RP-STS) bezeichnet. Eine Anwendung für die vertrauende Seite empfängt das SAML-Token und entscheidet anhand der darin enthaltenen Ansprüche, ob dem Client Zugriff auf die angeforderte Ressource erteilt wird. In SharePoint Server wird jede Webanwendung, die für die Verwendung eines SAML-Anbieters konfiguriert ist, dem IP-STS-Server als separater RP-STS-Eintrag hinzugefügt. Eine SharePoint-Farm kann mehrere verschiedene RP-STS-Einträge im IP-STS haben.SharePoint Server takes advantage of claims that are included in tokens that an IP-STS issues to authorized users. In claims environments, an application that accepts SAML tokens is known as a relying party STS (RP-STS). A relying party application receives the SAML token and uses the claims inside to decide whether to grant the client access to the requested resource. In SharePoint Server, each web application that is configured to use a SAML provider is added to the IP-STS server as a separate RP-STS entry. A SharePoint farm can represent multiple RP-STS entries in the IP-STS.

Video zur SAML-basierten Anspruchsauthentifizierung in SharePoint 2013 und SharePoint Server 2016Watch the SAML-based claims authentication in SharePoint 2013 and SharePoint Server 2016 video

Die Authentifizierungsanbieter für die auf SAML-Token basierende Authentifizierung hängen vom IP-STS in Ihrer Anspruchsumgebung ab. Wenn Sie AD FS 2.0, verwenden, können folgende Authentifizierungsanbieter (Attributspeicher für AD FS 2.0) vorhanden sein:The set of authentication providers for SAML token-based authentication depends on the IP-STS in your claims environment. If you use AD FS 2.0, authentication providers (known as attribute stores for AD FS 2.0) can include the following:

  • Windows Server 2003 Active Directory und AD DS in Windows Server 2008Windows Server 2003 Active Directory and AD DS in Windows Server 2008

  • Alle Editionen von SQL Server 2005 und SQL Server 2008All editions of SQL Server 2005 and SQL Server 2008

  • Benutzerdefinierte AttributspeicherCustom attribute stores

Weitere Informationen finden Sie unter Planen der auf SAML-Token basierenden Authentifizierung.For more information, see Plan for SAML token-based authentication.

Auswählen der Authentifizierungstypen für LDAP-UmgebungenChoosing authentication types for LDAP environments

Die formularbasierte Authentifizierung und die auf SAML-Token basierende Authentifizierung können LDAP-Umgebungen verwenden. Sie sollten den Authentifizierungstyp verwenden, der zu Ihrer aktuellen LDAP-Umgebung passt. Wenn Sie noch nicht über eine LDAP-Umgebung verfügen, empfehlen wir die formularbasierte Authentifizierung, da sie weniger komplex ist. Wenn Ihre Authentifizierungsumgebung jedoch bereits WS-Federation 1.1 und SAML 1.1 unterstützt, empfehlen wir SAML. SharePoint Server verfügt über einen integrierten LDAP-Anbieter.Forms-based authentication or SAML token-based authentication can use LDAP environments. You should use the authentication type that matches your current LDAP environment. If you do not already have an LDAP environment, we recommend that you use forms-based authentication because it is less complex. However, if your authentication environment already supports WS-Federation 1.1 and SAML 1.1, then we recommend SAML. SharePoint Server has a built-in LDAP provider.

Planen der Windows-AuthentifizierungPlan for Windows authentication

Der Prozess der Planung und Implementierung von Windows-Authentifizierungsmethoden ist für die anspruchsbasierte Authentifizierung ähnlich. Die anspruchsbasierte Authentifizierung für eine Webanwendung macht die Implementierung von Windows-Authentifizierungsmethoden nicht komplizierter. In diesem Abschnitt wird die Planung der Windows-Authentifizierungsmethoden zusammenfassend dargestellt.The process of planning and implementing Windows authentication methods is similar for claims-based authentication. Claims-based authentication for a web application does not increase the complexity of implementing Windows authentication methods. This section summarizes the planning for the Windows authentication methods.

NTLM und das Kerberos-ProtokollNTLM and the Kerberos protocol

Sowohl NTLM als auch das Kerberos-Protokoll sind integrierte Windows-Authentifizierungsmethoden, mit denen Benutzer problemlos authentifiziert werden können, ohne zur Eingabe von Anmeldeinformationen aufgefordert zu werden. Beispiel:Both NTLM and the Kerberos protocol are Integrated Windows authentication methods, which let users seamlessly authenticate without prompts for credentials. For example:

  • Benutzer, die in Internet Explorer auf SharePoint-Websites zugreifen, verwenden für die Authentifizierung die Anmeldeinformationen, unter denen der Internet Explorer-Prozess ausgeführt wird. Standardmäßig handelt es sich dabei um die Anmeldeinformationen, die der Benutzer zum Anmelden am Computer verwendet hat.Users who access SharePoint sites from Internet Explorer use the credentials under which the Internet Explorer process is running to authenticate. By default, these credentials are the credentials that the user used to log on to the computer.

  • Dienste oder Anwendungen, die integrierte Windows-Authentifizierungsmethoden für den Zugriff auf SharePoint-Ressourcen verwenden, versuchen sich anhand der Anmeldeinformationen des Threads, der gerade ausgeführt wird, zu authentifizieren. Dies ist standardmäßig die Identität des Prozesses.Services or applications that use Integrated Windows authentication methods to access SharePoint resources attempt to use the credentials of the running thread, which by default is the identity of the process, to authenticate.

NTLM ist die am einfachsten zu implementierende Form der Windows-Authentifizierung und erfordert in der Regel keine zusätzliche Konfiguration der Authentifizierungsinfrastruktur. Wählen Sie diese Option einfach aus, wenn Sie die Webanwendung erstellen oder konfigurieren.NTLM is the simplest form of Windows authentication to implement and typically requires no additional configuration of authentication infrastructure. Simply select this option when you create or configure the web application.

Das Kerberos-Protokoll unterstützt die Authentifizierungsticketausstellung. Die Verwendung des Kerberos-Protokolls erfordert eine weiter gehende Konfiguration der Umgebung. Damit die Kerberos-Authentifizierung unterstützt wird, müssen der Client- und der Servercomputer über eine vertrauenswürdige Verbindung zum Schlüsselverteilungscenter (Key Distribution Center, KDC) der Domäne verfügen. Bei der Konfiguration des Kerberos-Protokolls müssen vor dem Installieren von SharePoint Server Dienstprinzipalnamen (Service Principal Names, SPNs) in AD DS eingerichtet werden.The Kerberos protocol supports ticketing authentication. Use of the Kerberos protocol requires additional configuration of the environment. To enable Kerberos authentication, the client and server computers must have a trusted connection to the domain Key Distribution Center (KDC). Configuring the Kerberos protocol involves setting up service principal names (SPNs) in AD DS before you install SharePoint Server.

Folgende Gründe sprechen für die Kerberos-Authentifizierung:The reasons why you should consider Kerberos authentication are as follows:

  • Das Kerberos-Protokoll ist das sicherste Protokoll für die integrierte Windows-Authentifizierung. Es unterstützt erweiterte Sicherheitsfeatures wie etwa AES-Verschlüsselung (Advanced Encryption Standard) und gegenseitige Authentifizierung von Clients und Servern.The Kerberos protocol is the strongest Integrated Windows authentication protocol, and supports advanced security features including Advanced Encryption Standard (AES) encryption and mutual authentication of clients and servers.

  • Das Kerberos-Protokoll ermöglicht die Delegierung von Clientanmeldeinformationen.The Kerberos protocol allows for delegation of client credentials.

  • Von den verfügbaren sicheren Authentifizierungsmethoden beansprucht Kerberos den wenigsten Netzwerkdatenverkehr zu AD DS-Domänencontrollern. Kerberos kann in bestimmten Szenarien die Seitenwartezeit verringern oder die Anzahl der Seiten, die ein Front-End-Webserver bedienen kann, erhöhen. Zudem kann Kerberos die Last auf den Domänencontrollern reduzieren.Of the available secure authentication methods, Kerberos requires the least amount of network traffic to AD DS domain controllers. Kerberos can reduce page latency in certain scenarios, or increase the number of pages that a front-end web server can serve in certain scenarios. Kerberos can also reduce the load on domain controllers.

  • Das Kerberos-Protokoll ist ein offenes Protokoll, das von zahlreichen Plattformen und Herstellern unterstützt wird.The Kerberos protocol is an open protocol that many platforms and vendors support.

Kerberos-Authentifizierung ist aus folgenden Gründen möglicherweise nicht geeignet:The reasons why Kerberos authentication might not be appropriate are as follows:

  • Die Kerberos-Authentifizierung erfordert eine weiter gehende Konfiguration der Infrastruktur und der Umgebung als andere Authentifizierungsmethoden, damit sie ordnungsgemäß funktioniert. In vielen Fällen werden zum Konfigurieren des Kerberos-Protokolls Domänenadministratorrechte benötigt. Die Kerberos-Authentifizierung ist möglicherweise schwierig einzurichten und zu verwalten. Wird Kerberos falsch konfiguriert, kann es sein, dass Ihre Websites nicht erfolgreich authentifiziert werden können.Kerberos authentication requires more configuration of infrastructure and environment than other authentication methods to function correctly. In many cases, domain administrator permission is required to configure the Kerberos protocol. Kerberos authentication can be difficult to set up and manage. Misconfiguring Kerberos can prevent successful authentication to your sites.

  • Die Kerberos-Authentifizierung erfordert eine Anbindung des Clientcomputers an ein KDC und einen AD DS-Domänencontroller. In einer Windows-Bereitstellung ist das Schlüsselverteilungscenter ein AD DS-Domänencontroller. Das ist zwar in einem Organisationsintranet eine übliche Netzwerkkonfiguration, für Bereitstellungen mit Internetzugriff jedoch eher untypisch.Kerberos authentication requires client computer connectivity to a KDC and to an AD DS domain controller. In a Windows deployment, the KDC is an AD DS domain controller. While this is a common network configuration on an organization intranet, Internet-facing deployments are typically not configured in this manner.

Folgende Schritte stellen eine Zusammenfassung der Konfiguration der Kerberos-Authentifizierung dar:The following steps summarize configuring Kerberos authentication:

  1. Konfigurieren Sie die Kerberos-Authentifizierung für die SQL Server-Kommunikation durch Erstellen von Dienstprinzipalnamen (SPNs) in AD DS für das SQL Server-Dienstkonto.Configure Kerberos authentication for SQL Server communications by creating SPNs in AD DS for the SQL Server service account.

  2. Erstellen Sie SPNs für Webanwendungen, für die Kerberos-Authentifizierung verwendet wird.Create SPNs for web applications that will use Kerberos authentication.

  3. Installieren Sie die SharePoint Server-Farm.Install the SharePoint Server farm.

  4. Konfigurieren Sie einzelne Dienste innerhalb der Farm für die Verwendung von bestimmten Konten.Configure specific services within the farm to use specific accounts.

  5. Erstellen Sie die Webanwendungen, für die Kerberos-Authentifizierung verwendet wird.Create the web applications that will use Kerberos authentication.

Digest- und StandardauthentifizierungDigest and Basic

Bei der Digestauthentifizierungsmethode werden die Benutzerkonto-Anmeldeinformationen als ein MD5-Nachrichtenhash an den Internet Information Services (IIS)-Dienst auf dem Webserver gesendet, der die Webanwendung oder -zone hostet. Bei der Standardauthentifizierungsmethode werden die Benutzerkonto-Anmeldeinformationen als Nur-Text gesendet. Daher sollten Sie die Standardauthentifizierungsmethode nur dann verwenden, wenn Sie auch SSL zum Verschlüsseln des Websitedatenverkehrs verwenden.With the Digest authentication method, the user account credentials are sent as an MD5 message digest to the Internet Information Services (IIS) service on the web server that hosts the web application or zone. With the Basic authentication method, the user account credentials are sent as plaintext. Therefore, you should not use the Basic authentication method unless you are also using SSL to encrypt the website traffic.

Möglicherweise müssen Sie diese älteren Authentifizierungsmethoden verwenden, wenn Ihre Umgebung Webbrowser oder Dienste verwendet, die nur die Digest- oder Standardauthentifizierung für Websites unterstützen.You might have to use these older authentication methods if your environment uses web browsers or services that only support Digest or Basic authentication to websites.

Im Gegensatz zu den NTLM-, Kerberos- und den anonymen Authentifizierungsmethoden konfigurieren Sie die Digest- und Standardauthentifizierungsmethoden in den Eigenschaften der Website, die der Webanwendung oder -zone im Internet Information Services (IIS)-Snap-In entspricht.Unlike the NTLM, Kerberos, and Anonymous authentication methods, you configure Digest and Basic authentication methods from the properties of the web site that corresponds to the web application or zone in the Internet Information Services (IIS) snap-in.

Lesen Sie Folgendes, wenn Sie die anspruchsbasierte Authentifizierung verwenden:If you are using claims-based authentication, see the following:

Planen der formularbasierten AuthentifizierungPlan for forms-based authentication

Zum Verwenden der formularbasierten Authentifizierung von Benutzern in einem externen oder nicht auf Windows basierten Identitätsverwaltungssystem müssen Sie den Mitgliedschaftsanbieter und den Rollen-Manager in der Datei "Web.config" registrieren. SharePoint Server verwendet die standardmäßige ASP.NET-Rollen-Manager-Schnittstelle zur Erfassung von Gruppeninformationen über den aktuellen Benutzer. Jede ASP.NET-Rolle wird im Autorisierungsprozess in SharePoint Server als Domänengruppe behandelt. Rollen-Manager werden auf die gleiche Weise in der Datei "Web.config" registriert wie Mitgliedschaftsanbieter für die Authentifizierung.To use forms-based authentication to authenticate users against an identity management system that is not based on Windows or that is external, you must register the membership provider and role manager in the Web.config file. SharePoint Server uses the standard ASP.NET role manager interface to collect group information about the current user. Each ASP.NET role is treated as a domain group by the authorization process in SharePoint Server. You register role managers in the Web.config file exactly as you register membership providers for authentication.

Wenn Sie Mitgliedschaftsbenutzer oder -rollen über die Website für die Zentraladministration verwalten möchten, müssen Sie den Mitgliedschaftsanbieter und den Rollen-Manager in der Datei "Web.config" für die Website der Zentraladministration registrieren. Außerdem müssen Sie den Mitgliedschaftsanbieter und den Rollen-Manager in der Datei "Web.config" für die Webanwendung registrieren, die den Inhalt hostet.If you want to manage membership users or roles from the Central Administration website, you must register the membership provider and the role manager in the Web.config file for the Central Administration website. You must also register the membership provider and the role manager in the Web.config file for the web application that hosts the content.

Ausführliche Schritte für die Konfiguration der formularbasierten Authentifizierung finden Sie unter Konfigurieren der formularbasierten Authentifizierung für eine anspruchsbasierte Webanwendung in SharePoint Server.For detailed steps to configure forms-based authentication, see Configure forms-based authentication for a claims-based web application in SharePoint Server

Planen der auf SAML-Token basierenden AuthentifizierungPlan for SAML token-based authentication

Die Architektur für die Implementierung von auf SAML-Token basierenden Anbietern umfasst die folgenden Komponenten:The architecture for implementing SAML token-based providers includes the following components:

  • SharePoint-Sicherheitstokendienst Dieser Dienst erstellt die von der Farm verwendeten SAML-Token. Der Dienst wird auf allen Servern in einer Serverfarm automatisch erstellt und gestartet. Der Dienst wird für die farmübergreifende Kommunikation verwendet, da die gesamte farmübergreifende Kommunikation die anspruchsbasierte Authentifizierung verwendet. Dieser Dienst wird auch für Authentifizierungsmethoden verwendet, die für Webanwendungen implementiert sind, die die anspruchsbasierte Authentifizierung verwenden. Dazu zählen die Windows-Authentifizierung, die formularbasierte Authentifizierung und die auf SAML-Token basierende Authentifizierung.SharePoint Security Token Service This service creates the SAML tokens that the farm uses. The service is automatically created and started on all servers in a server farm. The service is used for inter-farm communication because all inter-farm communication uses claims-based authentication. This service is also used for authentication methods that are implemented for web applications that use claims-based authentication. This includes Windows authentication, forms-based authentication, and SAML token-based authentication.

  • Tokensignaturzertifikat ("ImportTrustCertificate") Dies ist das Zertifikat, das Sie aus einem Identitätsanbieter-Sicherheitstokendienst (Identity Provider Security Token Service, IP-STS) exportieren, auf einen Server in der Farm kopieren und es dann der Liste mit vertrauenswürdigen Stammzertifizierungsstellen der Farm hinzufügen. Sobald Sie dieses Zertifikat zum Erstellen eines SPTrustedIdentityTokenIssuer-Objekts verwendet haben, können Sie es nicht noch einmal verwenden, um ein weiteres SPTrustedIdentityTokenIssuer-Objekt zu erstellen. Wenn Sie mithilfe dieses Zertifikats ein anderes SPTrustedIdentityTokenIssuer-Objekt erstellen möchten, müssen Sie das vorhandene zuerst löschen. Vor dem Löschen müssen Sie zuerst die Zuordnungen des bestehenden Objekts zu Webanwendungen aufheben, von denen es möglicherweise verwendet wird.Token-signing certificate (ImportTrustCertificate) This is the certificate that you export from an IP-STS and then copy to one server in the farm and add it to the farm's Trusted Root Authority list. Once you use this certificate to create an SPTrustedIdentityTokenIssuer, you cannot use it to create another one. To use the certificate to create a different SPTrustedIdentityTokenIssuer, you must delete the existing one first. Before you delete an existing one, you must disassociate it from all web applications that may be using it.

  • Identitätsanspruch Der Identitätsanspruch ist der Anspruch aus einem SAML-Token, der der eindeutige Bezeichner des Benutzers ist. Nur der Besitzer des IP-STS weiß, welcher Wert in dem Token für jeden Benutzer immer eindeutig ist. Der Identitätsanspruch wird während der Zuordnung aller gewünschten Ansprüche als reguläre Anspruchszuordnung erstellt. Der Anspruch, der als Identitätsanspruch dient, wird bei der Erstellung des SPTrustedIdentityTokenIssuer-Objekts deklariert.Identity claim The identity claim is the claim from a SAML token that is the unique identifier of the user. Only the owner of the IP-STS knows which value in the token will always be unique for each user. The identity claim is created as a regular claims mapping during the mapping of all desired claims. The claim that serves as the identity claim is declared when the SPTrustedIdentityTokenIssuer is created.

  • Andere Ansprüche Hierbei handelt es sich um zusätzliche Ansprüche aus einem SAML-Ticket, die Benutzer beschreiben. Dies können Benutzerrollen, Benutzergruppen oder andere Arten von Ansprüchen wie etwa das Alter sein. Alle Anspruchszuordnungen werden als Objekte erstellt, die auf die Server in einer SharePoint Server-Farm repliziert werden.Other claims These claims consist of additional claims from a SAML ticket that describe users. These can include user roles, user groups, or other kinds of claims such as age. All claims mappings are created as objects that are replicated across the servers in a SharePoint Server farm.

  • Bereich In der SharePoint-Anspruchsarchitektur stellt der URI oder die URL, der bzw. die einer SharePoint-Webanwendung zugeordnet ist, die für die Verwendung eines auf SAML-Token basierenden Anbieters konfiguriert ist, einen Bereich dar. Beim Erstellen eines Anbieters für die auf SAML-Token basierende Authentifizierung in der Farm geben Sie die Bereiche oder Webanwendungs-URLs, die vom IP-STS erkannt werden sollen, einzeln an. Der erste Bereich wird angegeben, wenn Sie das SPTrustedIdentityTokenIssuer-Objekt erstellen. Sie können nach der Erstellung des SPTrustedIdentityTokenIssuer-Objekts weitere Bereiche hinzufügen. Bereiche werden mithilfe einer Syntax angegeben, die der im Folgenden angegeben ähnelt: $realm = "urn:sharepoint:mysites". Nachdem Sie dem SPTrustedIdentityTokenIssuer-Objekt den Bereich hinzugefügt haben, müssen Sie eine RP-STS-Vertrauensstellung mit dem Bereichsbezeichner auf dem IP-STS-Server einrichten. Dabei müssen Sie die URL für die Webanwendung angeben.Realm In the SharePoint claims architecture, the URI or URL that is associated with a SharePoint web application that is configured to use a SAML token-based provider represents a realm. When you create a SAML-based authentication provider on the farm, you specify the realms, or web application URLs, that you want the IP-STS to recognize, one at a time. The first realm is specified when you create the SPTrustedIdentityTokenIssuer. You can add more realms after you create the SPTrustedIdentityTokenIssuer. Realms are specified by using syntax similar to the following: $realm = "urn:sharepoint:mysites". After you add the realm to the SPTrustedIdentityTokenIssuer, you must create an RP-STS trust with the realm identifier on the IP-STS server. This process involves specifying the URL for the web application.

  • SPTrustedIdentityTokenIssuer Dies ist das Objekt, das in der SharePoint-Farm erstellt wird. Es enthält die Werte, die für die Kommunikation mit dem IP-STS und für den Empfang von Token vom IP-STS benötigt werden. Bei der Erstellung des SPTrustedIdentityTokenIssuer-Objekts geben Sie das zu verwendende Tokensignaturzertifikat, den ersten Bereich, den Anspruch, der den Identitätsanspruch darstellt, und alle weiteren Ansprüche an. Sie können ein Tokensignaturzertifikat von einem STS nur einem einzigen SPTrustedIdentityTokenIssuer-Objekt zuordnen. Allerdings können Sie nach der Erstellung des SPTrustedIdentityTokenIssuer-Objekts weitere Bereiche für zusätzliche Webanwendungen hinzufügen. Nachdem Sie dem SPTrustedIdentityTokenIssuer-Objekt einen Bereich hinzugefügt haben, müssen Sie ihn auch dem IP-STS als vertrauende Seite hinzufügen. Das SPTrustedIdentityTokenIssuer-Objekt wird auf alle Server in der SharePoint Server-Farm repliziert.SPTrustedIdentityTokenIssuer This is the object that is created on the SharePoint farm that includes the values necessary to communicate with and receive tokens from the IP-STS. When you create the SPTrustedIdentityTokenIssuer, you specify which token-signing certificate to use, the first realm, the claim that represents the identity claim, and any additional claims. You can only associate a token-signing certificate from an STS with one SPTrustedIdentityTokenIssuer. However, after you create the SPTrustedIdentityTokenIssuer, you can add more realms for additional web applications. After you add a realm to the SPTrustedIdentityTokenIssuer, you must also add it to the IP-STS as a relying party. The SPTrustedIdentityTokenIssuer object is replicated across servers in the SharePoint Server farm.

  • Sicherheitstokendienst einer vertrauenden Seite (Relying Party Security Token Service, RP-STS) In SharePoint Server wird jede Webanwendung, die für die Verwendung eines SAML-Anbieters konfiguriert ist, dem IP-STS-Server als ein RP-STS-Eintrag hinzugefügt. Eine SharePoint Server-Farm kann mehrere RP-STS-Einträge enthalten.Relying party security token service (RP-STS) In SharePoint Server, each web application that is configured to use a SAML provider is added to the IP-STS server as an RP-STS entry. A SharePoint Server farm can include multiple RP-STS entries.

  • Sicherheitstokendienst für Identitätsanbieter (Identity Provider Security Token Service, IP-STS) Dies ist der Sicherheitstokendienst in der Anspruchsumgebung, der SAML-Token im Namen von Benutzern ausstellt, die im zugeordneten Benutzerverzeichnis enthalten sind.Identity provider security token service (IP-STS) This is the secure token service in the claims environment that issues SAML tokens on behalf of users who are included in the associated user directory.

Das Diagramm unten illustriert eine auf SAML-Token basierende SharePoint Server-Anspruchsarchitektur.The following diagram shows the SharePoint Server SAML token claims architecture.

SAML-Token-AnspruchsarchitekturSAML token claims architecture

SharePoint-Komponenten für die Forderungsauthentifizierung

Das SPTrustedIdentityTokenIssuer-Objekt wird mit mehreren Parametern erstellt. Dazu zählen:The SPTrustedIdentityTokenIssuer object is created with several parameters, which include the following:

  • Ein einzelner Identitätsanspruch.A single identity claim.

  • Ein einzelner SignInURL-ParameterA single SignInURL parameter.

    Der Parameter SignInURL gibt die URL an, zu der eine Benutzeranforderung umgeleitet werden soll, damit die Authentifizierung beim IP-STS erfolgt.The SignInURL parameter specifies the URL to redirect a user request to in order to authenticate to the IP-STS.

  • Ein einzelner Wreply-ParameterA single Wreply parameter.

    Für manche IP-STS-Server ist der Parameter Wreply erforderlich, der auf true oder false festgelegt ist, wobei false den Standardwert darstellt. Verwenden Sie den Parameter Wreply nur, wenn er für den IP-STS erforderlich ist.Some IP-STS servers require the Wreply parameter, which is set to either true or false. False is the default. Use the Wreply parameter only if it is required by the IP-STS.

  • Mehrere Bereiche.Multiple realms.

  • Zuordnung mehrerer Ansprüche.Multiple claims mappings.

Gehen Sie wie unten beschrieben vor, um die auf SAML-Token basierende Authentifizierung in SharePoint Server zu implementieren (diese Methode erfordert eine Planung im Voraus):To implement SAML token-based authentication with SharePoint Server, use the following steps which require planning in advance:

  1. Exportieren Sie das Tokensignaturzertifikat aus dem IP-STS. Kopieren Sie das Zertifikat auf einen Server in der SharePoint Server-Farm.Export the token-signing certificate from the IP-STS. Copy the certificate to a server in the SharePoint Server farm.

  2. Definieren Sie den Anspruch, der als eindeutiger Bezeichner des Benutzers verwendet wird. Dieser wird als Identitätsanspruch bezeichnet. Der Benutzerprinzipalname (User Principal Name, UPN) oder der E-Mail-Name des Benutzers wird häufig als Benutzerbezeichner verwendet. Legen Sie in Abstimmung mit dem Administrator des IP-STS den richtigen Bezeichner fest, da nur der Besitzer des IP-STS weiß, welcher Wert in dem Token für jeden Benutzer immer eindeutig ist. Das Bestimmen des eindeutigen Bezeichners für den Benutzer ist Teil des Vorgangs der Zuordnung von Ansprüchen. Anspruchszuordnungen werden mithilfe von Microsoft PowerShell erstellt.Define the claim that will be used as the unique identifier of the user. This is known as the identity claim. The user principal name (UPN) or user e-mail name is frequently used as the user identifier. Coordinate with the administrator of the IP-STS to determine the correct identifier because only the owner of the IP-STS knows the value in the token that will always be unique per user. Identifying the unique identifier for the user is part of the claims-mapping process. You use Microsoft PowerShell to create claims mappings.

  3. Definieren Sie zusätzliche Anspruchszuordnungen. Legen Sie fest, welche zusätzlichen Ansprüche aus dem eingehenden Token von der SharePoint Server-Farm verwendet werden. Benutzerrollen sind ein Beispiel für einen Anspruch, der für die Erteilung von Berechtigungen für Ressourcen in der SharePoint Server-Farm verwendet werden kann. Alle Ansprüche aus einem eingehenden Token, die keine Zuordnung aufweisen, werden verworfen.Define additional claims mappings. Define the additional claims from the incoming token that the SharePoint Server farm will use. User roles are an example of a claim that can be used to assign permissions to resources in the SharePoint Server farm. All claims from an incoming token that do not have a mapping will be discarded.

  4. Erstellen Sie mithilfe von PowerShell einen neuen Authentifizierungsanbieter, um das Tokensignaturzertifikat zu importieren. In diesem Prozess wird das SPTrustedIdentityTokenIssuer-Objekt erstellt. Während dieses Prozesses geben Sie den Identitätsanspruch und die zusätzlichen Ansprüche an, die Sie zugeordnet haben. Sie müssen außerdem einen Bereich erstellen und angeben, der den ersten SharePoint-Webanwendungen zugeordnet ist, die Sie für die auf SAML-Token basierende Authentifizierung konfigurieren. Nachdem Sie das SPTrustedIdentityTokenIssuer-Objekt erstellt haben, können Sie weitere Bereiche für zusätzliche SharePoint-Webanwendungen erstellen und hinzufügen. Auf diese Weise können Sie konfigurieren, dass mehrere Webanwendungen ein und dasselbe SPTrustedIdentityTokenIssuer-Objekt verwenden.Use PowerShell to create a new authentication provider to import the token-signing certificate. This process creates the SPTrustedIdentityTokenIssuer. During this process, you specify the identity claim and additional claims that you have mapped. You must also create and specify a realm that is associated with the first SharePoint web applications that you are configuring for SAML token-based authentication. After you create the SPTrustedIdentityTokenIssuer, you can create and add more realms for additional SharePoint web applications. This is how you configure multiple web applications to use the same SPTrustedIdentityTokenIssuer.

  5. Für jeden Bereich, den Sie dem SPTrustedIdentityTokenIssuer-Objekt hinzufügen, müssen Sie einen RP-STS-Eintrag im IP-STS erstellen. Diesen Schritt können Sie vor der Erstellung der SharePoint-Webanwendung durchführen. Unabhängig davon müssen Sie die URL planen, bevor Sie die Webanwendungen erstellen.For each realm that you add to the SPTrustedIdentityTokenIssuer, you must create an RP-STS entry on the IP-STS. You can do this before the SharePoint web application exists. Regardless, you must plan the URL before you create the web applications.

  6. Konfigurieren Sie eine vorhandene oder neue SharePoint-Webanwendung für die Verwendung des neu erstellten Authentifizierungsanbieters. Der Authentifizierungsanbieter wird beim Erstellen einer Webanwendung in Zentraladministration als vertrauenswürdiger Identitätsanbieter angezeigt.For an existing or new SharePoint web application, configure it to use the newly created authentication provider. The authentication provider is displayed as a trusted identity provider in Central Administration when you create a web application.

Sie können mehrere Anbieter für die auf SAML-Token basierende Authentifizierung konfigurieren. Allerdings können Sie ein Tokensignaturzertifikat nur einmal in einer Farm verwenden. Alle konfigurierten Anbieter werden in der Zentraladministration als Optionen angezeigt. Ansprüche aus anderen vertrauenswürdigen STS-Umgebungen verursachen hierbei keinen Konflikt.You can configure multiple SAML token-based authentication providers. However, you can only use a token-signing certificate once in a farm. All configured providers are displayed as options in Central Administration. Claims from different trusted STS environments will not conflict.

Wenn Sie die auf SAML-Token basierende Authentifizierung mit einem Partnerunternehmen implementieren und Ihre eigene Umgebung einen IP-STS enthält, empfiehlt es sich, in Zusammenarbeit mit dem Administrator Ihrer internen Anspruchsumgebung eine unidirektionale Vertrauensstellung zwischen Ihrem internen IP-STS und dem STS des Partners einzurichten. Bei dieser Vorgehensweise ist es nicht erforderlich, Ihrer SharePoint Server-Farm einen Authentifizierungsanbieter hinzuzufügen. Außerdem können Ihre Anspruchsadministratoren so die gesamte Anspruchsumgebung verwalten.If you implement SAML token-based authentication with a partner company and your own environment includes an IP-STS, we recommend that you and the administrator of your internal claims environment establish a one-way trust relationship from your internal IP-STS to the partner STS. This approach does not require you to add an authentication provider to your SharePoint Server farm. It also enables your claims administrators to manage the whole claims environment.

Wichtig

Bei Verwendung der anspruchsbasierten Authentifizierung in SharePoint Server ist es jetzt nicht mehr erforderlich, den Netzwerklastenausgleich auf eine einzelne Affinität festzulegen.You no longer have to set network load balancing to single affinity when you are using claims-based authentication in SharePoint Server.

Hinweis

Wenn eine Webanwendung für die Verwendung der auf SAML-Token basierenden Authentifizierung konfiguriert ist, wird von der SPTrustedClaimProvider-Klasse keine Suchfunktionalität für das Personenauswahl-Steuerelement zur Verfügung gestellt. Jeder in das Personenauswahl-Steuerelement eingegebene Text wird automatisch angezeigt, als wäre er aufgelöst worden, unabhängig davon, ob es sich um einen gültigen Benutzer, eine gültige Gruppe oder einen gültigen Anspruch handelt. Falls Ihre SharePoint Server-Lösung die auf SAML-Token basierende Authentifizierung verwendet, sollten Sie die Erstellung eines benutzerdefinierten Anspruchsanbieters planen, um eine benutzerdefinierte Suche und Namensauflösung zu implementieren.When a web application is configured to use SAML token-based authentication, the SPTrustedClaimProvider class does not provide search functionality to the People Picker control. Any text entered in the People Picker control will automatically be displayed as if it resolves, regardless of whether it is a valid user, group, or claim. If your SharePoint Server solution uses SAML token-based authentication, plan to create a custom claims provider that implements custom search and name resolution.

Ausführliche Schritte zum Konfigurieren der auf SAML-Token basierenden Authentifizierung mithilfe von AD FS finden Sie unter Konfigurieren von SAML-basierter Anspruchsauthentifizierung mit ADFS in SharePoint Server.For detailed steps to configure SAML token-based authentication using AD FS, see Configure SAML-based claims authentication with AD FS in SharePoint Server.

Planen von Zonen für WebanwendungenPlanning zones for web applications

Zonen stellen verschiedene logische Pfade für den Zugriff auf die gleichen Websites in einer Webanwendung dar. Jede Webanwendung kann fünf Zonen enthalten. Wenn Sie eine Webanwendung erstellen, wird die Standardzone durch Zentraladministration erstellt. Zusätzliche Zonen werden durch Erweitern der Webanwendung und durch Auswahl einer der verbleibenden Zonennamen erstellt: "Extranet", "Internet" oder "Benutzerdefiniert".Zones represent different logical paths to gain access to the same sites in a web application. Each web application can include as many as five zones. When you create a web application, Central Administration creates the zone named default. To create additional zones, extend the web application and select one of the remaining zone names: intranet, extranet, Internet, or custom.

Ihre Planung der Zonen hängt von Folgendem ab:Your plan for zones will depend on the following:

  • Anspruchsbasierte Authentifizierung (empfohlen) - Sie können mehrere Authentifizierungsanbieter in einer einzelnen Zone implementieren. Sie können auch mehrere Zonen verwenden.Claims-based authentication (recommended) — You can implement multiple authentication providers on a single zone. You can also use multiple zones.

Implementieren mehrerer Authentifizierungstypen für eine einzige ZoneImplementing more than one type of authentication on a single zone

Wenn Sie die anspruchsbasierte Authentifizierung verwenden und mehr als eine Authentifizierungsmethode implementieren, wird die Implementierung mehrerer Authentifizierungsmethoden in der Standardzone empfohlen. Daraus ergibt sich die gleiche URL für alle Benutzer.If you use claims-based authentication and implement more than one authentication method, we recommend that you implement multiple authentication methods on the default zone. The result is the same URL for all users.

Wenn Sie mehrere Authentifizierungsmethoden für die gleiche Zone implementieren, gelten die folgenden Beschränkungen:When you implement multiple authentication methods on the same zone, the following restrictions apply:

  • Sie können nur eine Instanz der formularbasierten Authentifizierung in einer Zone implementieren.You can implement only one instance of forms-based authentication on a zone.

  • Zentraladministration ermöglicht Ihnen die gleichzeitige Verwendung einer integrierten Windows-Methode und der Standardmethode. Andernfalls können Sie nur einen Windows-Authentifizierungstyp in einer Zone implementieren.Central Administration allows you to use both an Integrated Windows method and Basic at the same time. Otherwise, you cannot implement more than one type of Windows authentication on a zone.

Werden für eine Farm mehrere Anbieter für auf SAML-Token basierende Authentifizierung konfiguriert, werden diese als Optionen angezeigt, wenn Sie eine Webanwendung oder eine neue Zone erstellen. Sie können mehrere SAML-Anbieter für die gleiche Zone konfigurieren.If multiple SAML token-based authentication providers are configured for a farm, all appear as options when you create a web application or a new zone. You can configure multiple SAML providers on the same zone.

Das folgende Diagramm zeigt die Implementierung mehrerer Authentifizierungstypen in der Standardzone für eine Website für die Partnerzusammenarbeit.The following diagram shows multiple types of authentication implemented on the default zone for a partner collaboration site.

Implementierung mehrerer Authentifizierungstypen in der StandardzoneMultiple types of authentication implemented on the default zone

Mehrere Authentifizierungstypen in einer Zone

Wie Sie in dem Diagramm sehen, greifen Benutzer aus unterschiedlichen Verzeichnisspeichern mithilfe der gleichen URL auf die Partnerwebsite zu. Der gestrichelte Rahmen um die Partnerunternehmen herum zeigt die Beziehung zwischen dem Benutzerverzeichnis und dem Authentifizierungstyp, der in der Standardzone konfiguriert ist.In the diagram, users from different directory stores use the same URL to access the partner web site. The dashed box that surrounds partner companies shows the relationship between the user directory and the authentication type that is configured in the default zone.

Planen der Durchforstung von InhaltenPlanning to crawl content

Die Durchforstungskomponente erfordert Zugriff auf Inhalte mithilfe von NTLM. Mindestens eine Zone muss für die Verwendung der NTLM-Authentifizierung konfiguriert sein. Ist die NTLM-Authentifizierung in der Standardzone nicht konfiguriert, kann die Durchforstungskomponente eine andere Zone verwenden, die für die Verwendung der NTLM-Authentifizierung konfiguriert ist.The crawl component requires NTLM to access content. At least one zone must be configured to use NTLM authentication. If NTLM authentication is not configured on the default zone, the crawl component can use a different zone that is configured to use NTLM authentication.

Implementieren von mehr als einer ZoneImplement more than one zone

Wenn Sie mehrere Zonen für Webanwendungen implementieren möchten, beachten Sie die folgenden Richtlinien:If you plan to implement more than one zone for web applications, use the following guidelines:

  • Implementieren Sie in der Standardzone die sichersten Authentifizierungseinstellungen. Wenn eine Anforderung keiner bestimmten Zone zugeordnet werden kann, werden die Authentifizierungseinstellungen und andere Sicherheitsrichtlinien der Standardzone angewendet. Die Standardzone wird bei der anfänglichen Erstellung einer Webanwendung erstellt. Die sichersten Authentifizierungseinstellungen werden in der Regel für den Endbenutzerzugriff entwickelt. Folglich werden die Endbenutzer wahrscheinlich auf die Standardzone zugreifen.Use the default zone to implement your most secure authentication settings. If a request cannot be associated with a specific zone, the authentication settings and other security policies of the default zone are applied. The default zone is the zone that is created when you create a web application. Typically, the most secure authentication settings are designed for end-user access. Consequently, end-users are likely to access the default zone.

  • Verwenden Sie die Mindestanzahl von Zonen, die für die Bereitstellung von Zugriff für Benutzer erforderlich ist. Jede Zone wird einer neuen IIS-Website und -Domäne für den Zugriff auf die Webanwendung zugeordnet. Erstellen Sie nur bei Bedarf neue Zugriffspunkte.Use the minimum number of zones that are required to provide access to users. Each zone is associated with a new IIS site and domain for accessing the web application. Only add new access points when they are required.

  • Stellen Sie sicher, dass mindestens eine Zone für die Verwendung der NTLM-Authentifizierung für die Durchforstungskomponente konfiguriert ist. Erstellen Sie keine dedizierte Zone für die Indexkomponente, es sei denn, dies ist unbedingt erforderlich.Ensure that at least one zone is configured to use NTLM authentication for the crawl component. Do not create a dedicated zone for the index component unless it is necessary.

Im folgenden Diagramm werden mehrere Zonen gezeigt, die für die Verwendung unterschiedlicher Authentifizierungstypen für eine Website für die Partnerzusammenarbeit implementiert sind.The following diagram shows multiple zones that are implemented to accommodate different authentication types for a partner collaboration site.

Eine Zone pro AuthentifizierungstypOne zone per authentication type

Eine Zone für jeden Authentifizierungstyp

In diesem Diagramm wird die Standardzone für externe Mitarbeiter verwendet. Jeder Zone ist eine andere URL zugeordnet. Die Mitarbeiter verwenden unterschiedliche Zonen, je nachdem, ob sie im Büro oder remote arbeiten.In the diagram, the default zone is used for remote employees. Each zone has a different URL associated with it. Employees use a different zone depending on whether they are working in the office or are working remotely.