Autorisierung und Authentifizierung
Letzte Änderung: Dienstag, 20. April 2010
Gilt für: SharePoint Foundation 2010
Von Microsoft SharePoint Foundation wird die Sicherheit für den Benutzerzugriff auf Website-, Listen, Listenordner- oder Bibliotheksordner- und Elementebene unterstützt. Die Sicherheitsverwaltung ist auf allen Ebenen rollenbasiert, sodass eine zusammenhängende Sicherheitsverwaltung in der SharePoint Foundation-Plattform mit einer konsistenten rollenbasierten Benutzeroberfläche und einem Objektmodell für das Zuweisen von Berechtigungen für Objekte bereitgestellt wird. Daher implementiert die Sicherheit auf Listenebene, Ordnerebene oder Elementebene dasselbe Benutzermodell wie die Sicherheit auf Websiteebene, sodass das Verwalten von Benutzerrechten und das Gruppieren von Rechten auf einer Website vereinfacht wird. SharePoint Foundation bietet auch Unterstützung für eindeutige Berechtigungen in den Ordnern und Elementen von Listen und Dokumentbibliotheken.
Autorisierung bezieht sich auf den Prozess, mit dem SharePoint Foundation Sicherheit für Websites, Listen, Ordner oder Elemente bereitstellt, indem bestimmt wird, welche Benutzer bestimmte Aktionen in einem angegebenen Objekt ausführen dürfen. Der Autorisierungsprozess setzt voraus, dass der Benutzer bereits authentifiziert wurde, was sich auf den Prozess bezieht, mit dem SharePoint Foundation den aktuellen Benutzer identifiziert. SharePoint Foundation implementiert nicht sein eigenes System für die Authentifizierung oder Identitätsverwaltung, sondern vertraut stattdessen nur auf externe Systeme, ob Windows-Authentifizierung oder ein anderes System.
In SharePoint Foundation werden die folgenden Typen von Authentifizierung unterstützt:
Windows: Alle Integrationsoptionen in Microsoft-Internetinformationsdienste (Internet Information Services, IIS) und in der Windows-Authentifizierung, einschließlich Standard, Digest, Zertifikate, Windows NT LAN Manager (NTLM) und Kerberos. Die Windows-Authentifizierung lässt zu, dass IIS die Authentifizierung für SharePoint Foundation durchführt.
Informationen zum Anmelden an SharePoint mithilfe des Windows-Forderungsmodus finden Sie unter Eingehende Ansprüche: Anmelden bei SharePoint.
.gif "Wichtiger Hinweis")
WichtigInformationen zum Anhalten des Identitätswechsels finden Sie unter Vermeiden des Aussetzens des Identitätswechsels durch den aufrufenden Benutzer.
ASP.NET-Formulare: Ein nicht von Windows bereitgestelltes Identitätsverwaltungssystem, das das austauschbare, auf Microsoft ASP.NET-Formularen basierte Authentifizierungssystem verwendet. Mit diesem Modus kann SharePoint Foundation mit einer Vielzahl von Identitätsverwaltungssystemen zusammenarbeiten, einschließlich extern definierter Gruppen oder Rollen wie Lightweight Directory Access Protocol (LDAP) und schlanker Datenbankidentitäts-Verwaltungssysteme. Dank der Formularauthentifizierung kann ASP.NET die Authentifizierung für SharePoint Foundation durchführen, wobei häufig eine Umleitung zu einer Anmeldeseite eingeschlossen ist. In SharePoint Foundation werden ASP.NET-Formulare nur unter der Forderungsauthentifizierung unterstützt. Ein Formularanbieter muss innerhalb einer Webanwendung registriert sein, die für Forderungen konfiguriert ist. Informationen zum Anmelden an SharePoint mithilfe der ASP.NET-Mitgliedschaft und zur passiven Anmeldung mit Rollen finden Sie unter Eingehende Ansprüche: Anmelden bei SharePoint.
.gif "Hinweis") Hinweis |
|---|
SharePoint Foundation bietet keine Unterstützung für die Verwendung eines Mitgliedschaftsanbieters, bei dem die Groß- und Kleinschreibung berücksichtigt wird. Für alle Benutzer in der Datenbank wird unabhängig vom Mitgliedschaftsanbieter die SQL-Speicherung verwendet, bei der die Groß- und Kleinschreibung nicht berücksichtigt wird. |
Anspruchsbasierte Identität und Authentifizierung
Die anspruchsbasierte Identität ist ein Identitätsmodell für SharePoint Foundation und Microsoft SharePoint Server 2010. Dieses Identitätsmodell umfasst Features wie die Authentifizierung von Benutzern von Systemen, die auf Windows basieren oder nicht auf Windows basieren, mehrere Authentifizierungstypen, stärkere Authentifizierung in Echtzeit, eine größere Palette an Prinzipaltypen und die Delegierung von Benutzeridentitäten zwischen Anwendungen.
Wenn sich ein Benutzer an SharePoint Foundation und SharePoint Server 2010 anmeldet, wird das Benutzertoken überprüft und anschließend zum Anmelden an SharePoint verwendet. Das Benutzertoken ist ein von einem Forderungsanbieter ausgegebenes Sicherheitstoken. Es gibt fünf unterstützte Anmelde- oder Zugriffsmodi in SharePoint Foundation und SharePoint Server 2010:
Anmeldung im klassischen Windows-Modus
Anmeldung im Windows-Forderungsmodus
Passiver SAML-Anmeldemodus
Passive Anmeldung von Mitgliedern und Rollen in ASP.NET
Anonymer Zugriff
| Hinweis |
|---|
Weitere Informationen zum Anmelden an SharePoint und zu den verschiedenen Anmeldemodi finden Sie unter Eingehende Ansprüche: Anmelden bei SharePoint. |
Wenn Sie Ansprüche unterstützende Anwendungen erstellen, legt der Benutzer der Anwendung eine Identität als eine Gruppe von Ansprüchen vor. Ein Anspruch könnte zum Beispiel der Benutzername sein, ein anderer eine E-Mail-Adresse. Der Grundgedanke ist die Konfiguration eines externen Identitätssystems, damit die Anwendung alle benötigten Informationen erhält, um bei jeder Anfrage alles über den Benutzer zu wissen, sowie eine kryptografische Garantie dahingehend zu geben, dass die von der Anwendung empfangenen Identitätsdaten von einer vertrauenswürdigen Quelle stammen.
Bei diesem Modell ist eine einmalige Anmeldung viel leichter durchzusetzen, und die Anwendung ist nicht mehr für Folgendes verantwortlich:
Authentifizieren von Benutzern
Speichern von Benutzerkonten und Kennwörtern
Aufrufen von Unternehmensverzeichnissen zum Nachschlagen von Details zur Benutzeridentität
Integrieren in die Identitätssysteme anderer Plattformen oder Unternehmen
Bei diesem Modell trifft die Anwendung Entscheidungen zur Identität basierend auf den vom Benutzer übermittelten Ansprüchen. Hierbei kann es sich von einer einfachen Anwendungspersonalisierung mit dem Vornamen des Benutzers bis zur Autorisierung des Benutzers für den Zugriff auf hochwertigere Features und Ressourcen in der Anwendung um alles Mögliche handeln.
| Hinweis |
|---|
Weitere Informationen zur anspruchsbasierten Identität und zu Forderungsanbietern finden Sie unter Anspruchsbasierte Identität – Übersicht und Konzepte und Anspruchsanbieter. |
Formularbasierte Authentifizierung
Die formularbasierte Authentifizierung stellt eine benutzerdefinierte Identitätsverwaltung in SharePoint Foundation bereit, indem ein Mitgliedschaftsanbieter implementiert wird, der die Schnittstellen zum Identifizieren und Authentifizieren einzelner Benutzer definiert, und ein Rollen-Manager, der die Schnittstellen zum Gruppieren einzelner Benutzer in logische Gruppen und Rollen definiert. In SharePoint Foundation muss ein Mitgliedschaftsanbieter die erforderliche System.Web.Security.Membership.ValidateUser-Methode implementieren. Wenn ein Benutzername angegeben wird, gibt das Rollenanbietersystem eine Liste der Rollen zurück, zu denen der Benutzer gehört.
Der Mitgliedschaftsanbieter ist für die Überprüfung der Anmeldeinformationen mithilfe der System.Web.Security.Membership.ValidateUser-Methode (nun in SharePoint Foundation erforderlich) verantwortlich. Das tatsächliche Benutzertoken wird jedoch von einem Sicherheitstokendienst (Security Token Service, STS) erstellt. Der STS erstellt das Benutzertoken aus dem vom Mitgliedschaftsanbieter überprüften Benutzernamen und aus der Menge der dem Benutzernamen zugeordneten Gruppenmitgliedschaften, die vom Mitgliedschaftsanbieter bereitgestellt werden.
| Hinweis |
|---|
Weitere Informationen zu STS finden Sie unter Anspruchsbasierte Identität – Übersicht und Konzepte. |
Der Rollen-Manager ist optional. Falls ein benutzerdefiniertes Authentifizierungssystem Gruppen nicht unterstützt, ist auch kein Rollen-Manager erforderlich. SharePoint Foundation unterstützt einen Mitgliedschaftsanbieter und einen Rollen-Manager pro URL-Zone (SPUrlZone). Den ASP.NET-Formularrollen sind keine inhärenten Rechte zugeordnet. Stattdessen weist SharePoint Foundation den Formularrollen Rechte über seine Richtlinien und Autorisierung zu. In SharePoint Foundation ist die formularbasierte Authentifizierung in das anspruchsbasierte Identitätsmodell integriert. Falls Sie eine zusätzliche Erweiterung benötigen, um die Grenze von einem Rollenanbieter pro URL-Zone zu umgehen, können Sie auf Forderungsanbieter vertrauen.
| Hinweis |
|---|
Weitere Informationen zur anspruchsbasierten Identität und zu Forderungsanbietern finden Sie unter Anspruchsbasierte Identität – Übersicht und Konzepte und Anspruchsanbieter. |
Bei der passiven Anmeldung von Mitgliedern und Rollen in ASP.NET erfolgt die Anmeldung durch das Umleiten des Clients an eine Webseite, auf der die ASP.NET-Anmeldesteuerelemente gehostet sind. Nachdem das Identitätsobjekt, das eine Benutzeridentität darstellt, erstellt wurde, konvertiert SharePoint Foundation 2010 dies in ein ClaimsIdentity-Objekt (das eine forderungsbasierte Darstellung eines Benutzers ist).
| Hinweis |
|---|
Weitere Informationen zum Anmelden an SharePoint finden Sie unter Eingehende Ansprüche: Anmelden bei SharePoint. |
SharePoint Foundation verwendet die standardmäßige ASP.NET 2.0-Rollenanbieterschnittstelle zum Sammeln von Gruppeninformationen zum aktuellen Benutzer. Zum Zwecke der Authentifizierung sind Rollen und Gruppen dasselbe: eine Möglichkeit zum Gruppieren von Benutzern in logische Gruppen für die Autorisierung. Jede ASP.NET-Rolle wird als Domänengruppe von SharePoint Foundation behandelt.
Informationen zum austauschbaren Authentifizierungsframework von ASP.NET finden Sie unter New Security Features in ASP.NET 2.0.
| Hinweis |
|---|
Weitere Informationen zur formularbasierten Authentifizierung finden Sie unter Forms Authentication in SharePoint Products and Technologies (Part 1): Introduction. |