Anspruchsanbieter
Letzte Änderung: Mittwoch, 14. April 2010
Gilt für: SharePoint Foundation 2010
Anspruchsanbieter
Ein Anspruchsanbieter in Microsoft SharePoint 2010 gibt Ansprüche (auch als Forderungen bezeichnet) aus und packt diese in Sicherheitstoken, d. h. in das Token des Benutzers. Wenn sich ein Benutzer bei Microsoft SharePoint Foundation 2010 oder Microsoft SharePoint Server 2010 anmeldet, wird das Token des Benutzers überprüft und anschließend für die Anmeldung bei SharePoint verwendet.
Ein Anspruchsanbieter in SharePoint hat zwei Funktionen: Erweiterung und Auswahl.
.gif "Hinweis") Hinweis |
|---|
Weitere Informationen zum Erstellen eines Anspruchsanbieters finden Sie unter Gewusst wie: Erstellen eines Forderungsanbieters. |
Anspruchserweiterung
In der Erweiterungsfunktion erweitert ein Anspruchsanbieter ein Benutzertoken während der Anmeldung mit Ansprüchen. Durch die Anspruchserweiterung kann eine Anwendung zusätzliche Ansprüche in das Token des Benutzers aufnehmen. Beispielsweise kann bei der Windows-basierten Anmeldung der Active Directory-Verzeichnisdienst alle Sicherheitsgruppen eines Benutzers in das Windows-Token des Benutzers aufnehmen. Bei der anspruchsbasierten Anmeldung kann eine CRM-Anwendung (Customer Relationship Management, Kundenbeziehungsmanagement) Rollen aus einer CRM-Datenbank erweitern. Ressourcen können für diese Ansprüche autorisiert werden, indem diese Ansprüche in das Token des Benutzers eingeschlossen werden. Das heißt, mit diesen Ansprüchen wird bestimmt, ob ein bestimmter Benutzer Zugriff auf bestimmte Ressourcen hat.
Anspruchsauswahl
In der Auswahlfunktion bietet ein Anspruchsanbieter die Funktionalitäten Auflistung, Auflösung, Suche und benutzerfreundliche Anzeige von Ansprüchen bei der Personenauswahl. Durch die Anspruchsauswahl kann eine Anwendung Ansprüche in der Personenauswahl anzeigen, z. B. beim Konfigurieren der Sicherheit einer SharePoint-Website oder eines SharePoint-Diensts.
Szenarien für die Verwendung von Anspruchsanbietern
Anspruchsanbieter werden verwendet, um verschiedene Szenarien zu lösen. Im Folgenden werden einige Beispiele für die Szenarien angeführt, die Sie mit Anspruchsanbietern lösen können.
Auflisten, Auflösen und Suchen
In Microsoft SharePoint Server 2010 gibt es integrierte Anspruchsanbieter zur Aktivierung der Auflistung, Auflösung und Suche für integrierte Authentifizierungsanbieter. Beispiele für integrierte Authentifizierungsanbieter sind Windows Active Directory, formularbasierte Authentifizierung und ein vertrauenswürdiger Herausgeber von SAML-Token (Security Assertion Markup Language), d. h. ein Sicherheitstokendienst (Security Token Service, STS).
Für einen vertrauenswürdigen Herausgeber von SAML-Token bietet SharePoint Server 2010 keine Auflistung oder Suche. Wenn ein Benutzer einen Wert eingibt, wird dieser von SharePoint Server 2010 immer aufgelöst. Dies bedeutet, dass der eingegebene Wert adam@contoso.com von der Personenauswahl akzeptiert wird. Der Grund ist, dass es keinen Industriestandard gibt, der angibt, wie ein STS Anspruchswerte auflöst, deren Suche implementiert oder diese auflistet.
Benutzer können den integrierten Anspruchsanbieter zum Implementieren benutzerdefinierter Features für Suche, Namensauflösung und Auflistung überschreiben. Dies ist sehr nützlich in Szenarien wie der Verwendung eines vertrauenswürdigen Herausgebers von SAML-Token.
Authentifizierte Benutzer oder "Alle Benutzer"-Ansprüche
In SharePoint Server 2010 gibt es einige spezielle integrierte Anspruchsanbieter, die die Implementierung von Konzepten wie authentifizierte Benutzer unterstützen. Dies wird auch als Alle Benutzer-Anspruch bezeichnet. In diesem Szenario können Sie allen Benutzern Rechte von einem angegebenen Authentifizierungsanbieter gewähren.
| Hinweis |
|---|
Bei einem Authentifizierungsanbieter kann es sich um Windows Active Directory, formularbasierte Authentifizierung oder einen vertrauenswürdigen Herausgeber von SAML-Token (d. h. einen STS) handeln. |
In SharePoint Server 2010 gibt es auch einen Systemanspruchsanbieter, der von einem Taxonomiedienst verwendete interne Ansprüche hinzufügt. Beispielsweise werden das Farmidentitäts- und das Anwendungspoolkonto hinzugefügt.
Hinzufügen von Ansprüchen zu einem ursprünglichen Token
Einige der integrierten Anspruchsanbieter werden auch verwendet, um die Ansprüche aus dem ursprünglichen "Token" hinzuzufügen. Das Wort "Token" wird in Anführungszeichen gesetzt, da einige Authentifizierungsanbieter, z. B. die formularbasierte Authentifizierung (d. h. ASP.NET-Mitgliedschafts- und Rollenanbieter), kein echtes Token bereitstellen. In diesem Fall können Sie dieses Token aus einer konzeptionellen Perspektive betrachten.
Möglicherweise müssen dem ursprünglichen Anspruchstoken des Benutzers zusätzliche Ansprüche hinzugefügt werden. In diesem Szenario kann ein Anspruchsanbieter erforderlich sein. Beispielsweise kann ein Anspruchsanbieter erforderlich sein, um dem ursprünglichen Anspruchstoken des Benutzers SAP-Rollen hinzuzufügen.
Identität nicht vom ursprünglichen Token
Nehmen Sie ein Szenario an, in dem das System einige spezifische Anforderungen für die Personenauswahl und Anspruchstoken aufweist. In diesem Szenario kennen Sie die Identität des Benutzers basierend auf der Microsoft .NET Passport Unique ID (PUID) und dem ursprünglichen Benutzer. Die Informationen über den Benutzer stammen jedoch nicht aus dem ursprünglichen Benutzertoken, sondern aus Ihrem benutzerdefinierten Active Directory. Sie verwenden auch einige zusätzliche Active Directory-Gruppen, denen der Benutzer angehören kann, die nicht im ursprünglichen Benutzertoken (von Windows Live ID ausgegeben) enthalten sind. In diesem Szenario können Sie einen Anspruchsanbieter für Ihre systemspezifischen Anforderungen erstellen.