Eingehende Ansprüche: Anmelden bei SharePoint

Artikel
09/24/2014

Letzte Änderung: Dienstag, 28. Juni 2011

Gilt für: SharePoint Foundation 2010

Anmelden bei SharePoint

Wenn sich ein Benutzer bei Microsoft SharePoint Foundation 2010 oder Microsoft SharePoint Server 2010 anmeldet, wird sein Token geprüft und anschließend für die Anmeldung bei SharePoint verwendet. Bei dem Token handelt es sich um ein von einem Forderungsanbieter bereitgestelltes Sicherheitstoken.

Hinweis
Informationen zur forderungsbasierten Authentifizierung für eine einzelne SharePoint-Farm sowie zur farmübergreifenden SharePoint-Forderungsauthentifizierung finden Sie im Technet unter Planen der Forderungsauthentifizierung.

Anmeldung im klassischen Windows-Modus

Die Anmeldung im klassischen Windows-Modus ähnelt der Anmeldung mit Windows-Authentifizierung in Windows SharePoint Services 3.0 und Microsoft Office SharePoint Server 2007. Bei der Anmeldung im klassischen Windows-Modus erfolgt die Anmeldung mit einer Negotiate-Abfrage der integrierten Windows-Authentifizierung (NTLM/Kerberos). Es gibt keine Forderungsaugmentation, deshalb funktionieren einige Features (z. B. die Mehrinstanzenunterstützung für Dienstanwendungen und benutzerdefinierte Forderungsanbieter) in SharePoint Foundation 2010 und SharePoint Server 2010 nicht, wenn sich ein Benutzer in diesem Modus anmeldet.

Einige Dienstanwendungen erfordern u. U. für einige Features auch den Forderungsmodus. Weitere Informationen zu den Anforderungen für Dienstanwendungen finden Sie unter Architektur des Service Application Frameworks.

Anmeldung im Windows-Forderungsmodus

Bei der Anmeldung im Windows-Forderungsmodus erfolgt die Anmeldung mit einer Negotiate-Abfrage der integrierten Windows-Authentifizierung (NTLM/Kerberos). Nach der Erstellung des WindowsIdentity-Objekts (das einen Windows-Benutzer repräsentiert) wird allerdings von SharePoint Foundation 2010 das WindowsIdentity-Objekt in ein ClaimsIdentity-Objekt konvertiert (das eine forderungsbasierte Darstellung eines Benutzers repräsentiert).

SharePoint Foundation 2010 führt dann eine Forderungsaugmentation durch und verarbeitet das resultierende Token, das von SharePoint Foundation 2010 ausgestellt wird. Das bedeutet, dass die neuen Features (z. B. die Mehrinstanzenunterstützung für Dienstanwendungen und benutzerdefinierte Forderungsanbieter) in SharePoint Foundation 2010 und SharePoint Server 2010 funktionieren, obwohl die Clients davon ausgehen, dass sich SharePoint Foundation 2010 im systemeigenen Windows-Anmeldungsmodus befindet. Die Anmeldung im Windows-Forderungsmodus ist die Werksvorgabe für SharePoint Server 2010.

Alle Forderungsanmeldungstypen nutzen die passive Anmeldung. Die passive Anmeldung erfolgt über eine Windows-Abfrage, allerdings über eine eigene Anmeldeseite, die über eine 302-Umleitung aufgerufen wird. Dieser Modus ist nützlich, wenn mehrere Anmeldemethoden aktiviert sind und der Benutzer unter mehreren unterstützten Forderungsanbietern wählen muss. Win32-Clients müssen die formularbasierte Authentifizierung in Microsoft Office-Clients unterstützen. Einige Office-Clients folgen einem anderen Protokoll.

Weitere Informationen zur passiven Anmeldung finden Sie im folgenden Abschnitt mit dem Titel Passiver SAML-Anmeldungsmodus.

Passiver SAML-Anmeldungsmodus

Bei der passiven SAML-Anmeldung (Security Assertion Markup Language) wird der Client (z. B. eine Webseite) bei der Benutzeranmeldung an den festgelegten Forderungsanbieter (z. B. den Windows Live ID-Forderungsanbieter) umgeleitet. Nach der Authentifizierung des Benutzers durch den Forderungsanbieter wird das vom Forderungsanbieter vorgelegte SAML-Token von SharePoint Foundation 2010 übernommen und verarbeitet, anschließend werden die Forderungen augmentiert.

Bei SAML-basierten Forderungsanbietern wie dem Forderungsanbieter der Active Directory-Verbunddienste und dem Windows Live ID-Forderungsanbieter wird nur die Anmeldung im passiven SAML-Anmeldungsmodus unterstützt. Die passive SAML-Anmeldung ist das Onlineidentitätsmodell von SharePoint.

Hinweis
Die passive SAML-Anmeldung beschreibt den Anmeldungsprozess. Wenn die Anmeldung für eine Webanwendung konfigurationsgemäß Token von einem vertrauenswürdigen Anmeldeanbieter akzeptiert, wird dieser Anmeldungstyp als passive SAML-Anmeldung bezeichnet. Ein vertrauenswürdiger Anmeldeanbieter ist ein externer (außerhalb von SharePoint befindlicher) Sicherheitstokendienst, der von SharePoint als vertrauenswürdig eingestuft wird.

Die passive SAML-Anmeldung beschreibt den Anmeldungsprozess. Wenn die Anmeldung für eine Webanwendung konfigurationsgemäß Token von einem vertrauenswürdigen Anmeldeanbieter akzeptiert, wird dieser Anmeldungstyp als passive SAML-Anmeldung bezeichnet. Ein vertrauenswürdiger Anmeldeanbieter ist ein externer (außerhalb von SharePoint befindlicher) Sicherheitstokendienst, der von SharePoint als vertrauenswürdig eingestuft wird.

Win32-Clients müssen die formularbasierte Authentifizierung in Office-Clients unterstützen.

Passive Anmeldung mit ASP.NET-Mitgliedschaft und -Rollen

Bei der passiven Anmeldung mit ASP.NET-Mitgliedschaft und -Rollen erfolgt die Anmeldung, indem der Client an eine Webseite umgeleitet wird, die als Host für die ASP.NET-Anmeldesteuerelemente fungiert. Nachdem das Identitätsobjekt für eine Benutzeridentität erstellt wurde, wird es von SharePoint Foundation 2010 in ein ClaimsIdentity-Objekt konvertiert (das eine forderungsbasierte Darstellung eines Benutzers repräsentiert).

SharePoint Foundation 2010 führt dann eine Forderungsaugmentation durch. Win32-Clients müssen die formularbasierte Authentifizierung in Office-Clients unterstützen.

Anonymer Zugriff

Sie können den anonymen Zugriff für eine Webanwendung aktivieren. Die Administratoren der Websites innerhalb der Webanwendung können den anonymen Zugriff gestatten. Wenn anonyme Benutzer auf geschützte Ressourcen zugreifen möchten, können sie auf eine Anmeldeschaltfläche klicken, um ihre Anmeldeinformationen zu übertragen.