Autorisierungsobjektbeziehungen
Letzte Änderung: Mittwoch, 14. April 2010
Gilt für: SharePoint Foundation 2010
Inhalt dieses Artikels
Benutzer, Gruppen und Prinzipale
Übersicht über Objektbeziehungen
Benutzertoken und Zugriffssteuerungslisten
Ein einzelner Benutzer (SPUser) erhält Zugriff auf ein Microsoft SharePoint Foundation-Objekt direkt über eine individuelle Rollenzuweisung oder indirekt über die Mitgliedschaft in einer Domänengruppe oder einer SharePoint-Gruppe (SPGroup), die eine Rollenzuweisung besitzt. In einer direkten Rollenzuweisung ist der Benutzer der Prinzipal (SPPrincipal). In der Rollenzuweisung einer Domänengruppe oder SharePoint-Gruppe ist die Domänengruppe oder SharePoint-Gruppe der Prinzipal.
Benutzer, Gruppen und Prinzipale
SharePoint Foundation unterstützt Windows-Benutzer (wie DOMÄNE\Benutzeralias) und externe Benutzer (über austauschbare Authentifizierung). Die Benutzeridentität wird durch das Identitätsverwaltungssystem (z. B. dem Active Directory-Verzeichnisdienst) beibehalten. Das Benutzerprofil (das den Anzeigenamen, die E-Mail-Adresse und andere Informationen des Benutzers enthält) ist im Bereich der Websitesammlungsebene gültig. Bei Änderung eines Anzeigenamens ist die gesamte Websitesammlung betroffen.
Eine Gruppe ist eine Auflistung von Benutzern, über die SharePoint Foundation die Sicherheit verwaltet. Die benutzerbasierte Verwaltung ist für einfache Websites übersichtlich, sie wird jedoch komplexer, wenn die Anzahl der eindeutig gesicherten Ressourcen steigt. Ein Benutzer besitzt beispielsweise die Contribute-Rolle für Liste 1, die Read-Rolle für Liste 2 und die Design-Rolle für Liste 3. Dieses Modell kann nicht optimal skaliert werden, wenn z. B. 50.000 Benutzer vorhanden sind. Dies würde zu Zugriffssteuerungslisten (Access Control Lists, ACLs) mit 50.000 Zugriffssteuerungseinträgen (Access Control Entries, ACEs) für jedes eindeutig gesicherte Objekt führen.
Gruppen geben eine Antwort auf die Frage der Verwaltbarkeit und der Skalierungsprobleme der benutzerbasierten Berechtigungsverwaltung. Die gruppenbasierte Verwaltung kann abstrakter oder schwieriger umzusetzen sein, sie ermöglicht jedoch eine einfachere Verwaltung von komplexen Websites mit zahlreichen eindeutig gesicherten Objekten. Dies ist z. B. der Fall, wenn ein Benutzer einer Gruppe hinzugefügt wird, der bereits die entsprechende Rolle für verschiedene Objekte im System zugewiesen wurde. Die Berechtigungsüberprüfung für Gruppe kann besser skaliert werden, da viel weniger Gruppen-ACEs gespeichert werden müssen.
SharePoint Foundation unterstützt zwei Arten von Gruppen: Domänengruppen und SharePoint-Gruppen. Domänengruppen verbleiben außerhalb der SharePoint Foundation-Steuerung. Benutzer können SharePoint Foundation nicht zum Definieren, Durchsuchen oder Ändern der Domänengruppenmitgliedschaft verwenden. SharePoint-Gruppen sind im Bereich der Websitesammlungsebene gültig, und sie können nur innerhalb der Websitesammlung verwendet werden. Domänengruppen können im Bereich des Active Directory-Verzeichnisdienstes überall verwendet werden.
Ein Prinzipal ist ein Benutzer oder eine Gruppe, der bzw. die zum Steuern der Sicherheit verwendet wird. Wenn Sie einer Website einen Benutzer hinzufügen, ist der Benutzer der Prinzipal. Wenn Sie der Website jedoch eine Gruppe hinzufügen, ist die Gruppe der Prinzipal. Der Schlüssel zur Skalierung der Sicherheit in SharePoint Foundation liegt darin, die Anzahl von Prinzipalen pro Bereich übersichtlich zu halten. Durch die Verwendung von Gruppen kann eine kleinere Anzahl von Prinzipalen zum Erteilen des Zugriffs für eine viel größere Anzahl von Benutzern verwendet werden.
Übersicht über Objektbeziehungen
Abbildung 1 zeigt eine Übersicht über das SharePoint Foundation-Sicherheitsverwaltungssystem in einem logischen Datenbankdiagramm. Jedes Feld stellt ein Sicherheitsobjekt im System dar. Die Linien stellen Beziehungen zwischen den Objekten dar. Die Notation 1 und N stellt den Typ von Beziehung dar. In der Abbildung ist dargestellt, wie Berechtigungsdaten in ein Benutzertoken und eine ACL strukturiert werden.
Abbildung 1. Beziehungen zwischen Autorisierungsobjekten
.gif "Autorisierungsobjektbeziehungen")
Ein Bereich stellt ein eindeutig gesichertes Objekt oder eine Gruppe von Objekten dar. Der Bereich kann auf Website-, Listen-, Ordner- oder Elementebene festgelegt sein.
Benutzer und Gruppen besitzen n:n-Beziehungen. Jeder Benutzer (SPUser) kann Mitglied von mehreren Gruppen sein, und jede Gruppe (SPGroup) kann mehrere Benutzer enthalten.
Rechte und Rollendefinitionen besitzen ebenfalls n:n-Beziehungen. Jedes Recht (SPBasePermissions) kann Teil mehrerer Rollendefinitionen sein. Das Recht Insert List Items ist beispielweise in den Rollendefinitionen Contributor, Designer und Administrator enthalten. Jede Rollendefinition (SPRoleDefinition) kann auch mehrere Rechte enthalten. Contributor enthält beispielsweise Rechte für das Einfügen, Aktualisieren und Löschen von Listenelementen.
Rollendefinitionen und Rollenzuweisungen (SPRoleAssignment) besitzen eine 1:n-Beziehung. Jede Rollendefinition wird in mehreren Rollenzuweisungen verwendet. Die Leser in Liste 1 und die Leser in Liste 2 können verschieden sein, ihre Rollenzuweisungen können jedoch eine einzelne Rollendefinition gemeinsam verwenden: Reader.
Benutzer oder Gruppen und Rollenzuweisungen besitzen n:n-Beziehungen. Jeder Benutzer oder jede Gruppe kann Mitglied mehrerer Rollenzuweisungen in einem bestimmten Objekt sein. Ein Benutzer kann sowohl Mitglied der Designer-Rolle als auch der Administrator-Rolle für dasselbe Objekt sein.
Bereiche und Rollenzuweisungen besitzen eine 1:n-Beziehung. Jeder Bereich besitzt mehrere Rollenzuweisungen, jede Rollenzuweisung besitzt jedoch nur einen Bereich. Ein Benutzer kann z. B, ein Leser der Ereignisliste sein, und ein anderer Benutzer kann ein Teilnehmer an der Ereignisliste sein. Keine dieser Rollenzuweisungen wird jedoch auf die Ankündigungsliste angewendet. Zwei Listen können nur dann dieselbe Rollenzuweisung verwenden, wenn sie ihre Berechtigungen aus dem übergeordneten Container erben, wobei in diesem Fall der Sicherheitsbereich der Container ist, und nicht die beiden Listen.
Benutzertoken und Zugriffssteuerungslisten
Zur Beschleunigung der Berechtigungsüberprüfung werden Benutzertoken und Zugriffssteuerungslisten von SharePoint Foundation im Sicherheitsmodell implementiert. Das Benutzertoken identifiziert den auf einen Benutzer angewendeten Authentifizierungsprozess. Ein Windows-Benutzer besitzt ein komplexes Token: eine eindeutige Zeichenfolge für den Benutzer (SID) und eine Liste aller Windows-Domänengruppen für den Benutzer. Ein Beispiel: DOMÄNE\Department 15688. Ein Benutzer ohne Windows-Authentifizierung kann ein sehr einfaches Token mit einer eindeutigen Zeichenfolge für den Benutzernamen besitzen oder ein komplexes Token mit Gruppen-/Rollenmitgliedschaft, so wie es in der Windows-Authentifizierung ausgedrückt ist. Die SharePoint-Gruppenmitgliedschaft für jeden Benutzer wird über ein Benutzertoken ausgedrückt, sodass durch Lesen des Benutzertokens alle Gruppen des aktuellen Benutzers von SharePoint Foundation identifiziert werden.
Eine ACL ist ein Binärobjekt, das die Rechte bestimmt, die Benutzer und Gruppen für ein bestimmtes Objekts besitzen. Eine ACL besteht aus mehreren ACEs, wobei jeder Sicherheitsprinzipal (Benutzer oder Gruppe) ein ACE in der ACL ist. Rechte, Rollendefinitionen und Rollenzuweisungen sind in einer ACL für jeden Bereich strukturiert, sodass SharePoint Foundation bekannt ist, welche Berechtigungen jeder Benutzer oder jede Gruppe innerhalb des angegebenen Bereichs besitzt.