Planen der Server-zu-Server-Authentifizierung in SharePoint ServerPlan for server-to-server authentication in SharePoint Server

Gilt für: ja2013 ja2016 ja2019 NeinSharePoint OnlineAPPLIES TO: yes2013 yes2016 yes2019 noSharePoint Online

Die Server-zu-Server-Authentifizierung ermöglicht Servern, die zur Server-zu-Server-Authentifizierung fähig sind, das gegenseitige Zugreifen auf und Anfordern von Ressourcen im Namen von Benutzern. Auf Servern, die zur Server-zu-Server-Authentifizierung fähig sind, wird SharePoint Server, Exchange Server 2016, Skype for Business Server 2015, Azure Workflow Service oder andere Software ausgeführt, die das Server-zu-Server-Protokoll von Microsoft unterstützt. Die Server-zu-Server-Authentifizierung ermöglicht eine Reihe von neuen Funktionen und Szenarien, die durch serverübergreifende Ressourcenfreigabe und serverübergreifenden Zugriff erzielt werden.Server-to-server authentication enables servers that are capable of server-to-server authentication to access and request resources from one another on behalf of users. Servers that are capable of server-to-server authentication run SharePoint Server, Exchange Server 2016, Skype for Business Server 2015, Azure Workflow Service, or other software that supports the Microsoft server-to-server protocol. Server-to-server authentication enables a new set of functionality and scenarios that can be achieved through cross-server resource sharing and access.

Zum Bereitstellen der angeforderten Ressourcen von einem anderen Server, der die Server-zu-Server-Authentifizierung durchführen kann, müssen auf dem Server, auf dem SharePoint Server ausgeführt wird, die folgenden Aktionen ausgeführt werden:To provide the requested resources from another server that can perform server-to-server authentication, the server that runs SharePoint Server must do the following:

  • Überprüfen Sie die Vertrauenswürdigkeit des anfordernden Servers. Zum Authentifizieren des anfordernden Servers müssen Sie den Server, auf dem SharePoint Server ausgeführt wird, so konfigurieren, dass er dem Server vertraut, der ihm Anforderungen sendet. Dies ist eine unidirektionale Vertrauensstellung.Verify that the requesting server is trusted. To authenticate the requesting server, you must configure the server that runs SharePoint Server to trust the server that is sending it requests. This is a one-way trust relationship.

  • Überprüfen Sie, dass der vom Server angeforderte Zugriffstyp autorisiert ist. Zum Autorisieren des Zugriffs müssen Sie den Server, auf dem SharePoint Server ausgeführt wird, für die geeigneten Berechtigungen für die angeforderten Ressourcen konfigurieren.Verify that the type of access that the server is requesting is authorized. To authorize the access, you must configure the server that runs SharePoint Server for the appropriate set of permissions for the requested resources.

Beachten Sie, dass das Protokoll für die Server-zu-Server-Authentifizierung in SharePoint Server nichts mit der Benutzerauthentifizierung zu tun hat und von SharePoint-Benutzern nicht als Authentifizierungsprotokoll für die Anmeldung verwendet wird. Das Protokoll für die Server-zu-Server-Authentifizierung verwendet das Open Authorization (OAuth) 2.0-Protokoll und gehört nicht zu den Benutzeranmeldeprotokollen wie z. B. WS-Federation. In SharePoint Server werden keine neuen Protokolle für die Benutzerauthentifizierung eingeführt. Das Protokoll für die Server-zu-Server-Authentifizierung ist nicht in der Liste der Identitätsanbieter enthalten.Note that the server-to-server authentication protocol in SharePoint Server is separate from user authentication and is not used as a sign-in authentication protocol by SharePoint users. The server-to-server authentication protocol, which uses the Open Authorization (OAuth) 2.0 protocol, does not add to the set of user sign-on protocols, such as WS-Federation. There are no new user authentication protocols in SharePoint Server. The server-to-server authentication protocol does not appear in the list of identity providers.

Informationen zum Planen der Server-zu-Server-Authentifizierung für die Benutzerprofildienst-Anwendung finden Sie unter Server-zu-Server-Authentifizierung und Benutzerprofile in SharePoint Server.For information about how to plan for the User Profile application service for server-to-server authentication, see Server-to-server authentication and user profiles in SharePoint Server.

EinführungIntroduction

Die Planung der Server-zu-Server-Authentifizierung umfasst folgende Aufgaben:Planning for server-to-server authentication consists of the following tasks:

Wichtig

Die Webanwendungen, die Server-zu-Server-Authentifizierungsendpunkte (für eingehende Server-zu-Server-Anforderungen) enthalten oder ausgehende Server-zu-Server-Anforderungen an andere Server stellen, müssen zur Verwendung von SSL (Secure Sockets Layer) konfiguriert werden.The web applications that include server-to-server authentication endpoints (for incoming server-to-server requests) or that make outgoing server-to-server requests to other servers must be configured to use Secure Sockets Layer (SSL).

Hinweis

Sie müssen die Server-zu-Server-Authentifizierung auf einem Server mit SharePoint Server nur dann planen, wenn Sie mindestens ein Server-zu-Server-Szenario konfigurieren, das deren Verwendung erfordert.You only have to plan for server-to-server authentication on a server that runs SharePoint Server if you are configuring one or more server-to-server scenarios that require its use.

Identifizieren des VertrauensstellungssatzesIdentify the set of trust relationships

Aus der Perspektive eines Servers mit SharePoint Server umfasst eine Vertrauensstellung mit einem anderen Server, der die Server-zu-Server-Authentifizierung durchführen kann, Folgendes:From the perspective of a server that runs SharePoint Server, a trust relationship with another server that can perform server-to-server authentication consists of the following:

  • Der Server mit SharePoint Server vertraut Anforderungen von einem Server, der Server-zu-Server-Authentifizierung durchführen kann (auf dem Server mit SharePoint Server eingehende Anforderungen).The server that runs SharePoint Server trusts requests from a server that can perform server-to-server authentication (incoming to the server that runs SharePoint Server).

    Dies erfordert eine Konfiguration auf dem Server mit SharePoint Server, damit dieser dem anfordernden Server vertraut.This requires configuration on the server that runs SharePoint Server so that it trusts the requesting server.

  • Der Server, der die Server-zu-Server-Authentifizierung durchführen kann, vertraut Anforderungen von einem Server, auf dem SharePoint Server ausgeführt wird (von dem Server mit SharePoint Server ausgehende Anforderungen).The server that can perform server-to-server authentication trusts requests from a server that runs SharePoint Server (outgoing from the server that runs SharePoint Server).

    Dies erfordert eine Konfiguration auf dem Server, der Server-zu-Server-Authentifizierung durchführen kann, damit dieser dem anfordernden Server vertraut, auf dem SharePoint Server ausgeführt wird.This requires configuration on the server that can perform server-to-server authentication so that it trusts the requesting server that runs SharePoint Server.

Erstellen Sie für jede Farm mit SharePoint Server eine Liste der Server, die Server-zu-Server-Authentifizierung durchführen können und basierend auf den Server-zu-Server-Szenarien, die die Farm betreffen, eingehende Anforderungen erhalten werden. Zwei Fälle von Server-zu-Server-Authentifizierungsbeziehungen müssen untersucht werden.For each farm that runs SharePoint Server, make a list of servers that are capable server-to-server authentication and that will be receiving incoming requests based on the server-to-server scenarios that involve the farm. There are two cases of server-to-server authentication relationships to examine.

Fall 1: Die Farmen befinden sich in der lokalen UmgebungCase 1: Farms are on-premises

Wenn sich die Farm, von der die Server-zu-Server-Authentifizierung ausgeführt werden kann, in der lokalen Umgebung befindet, müssen Sie die Farm konfigurieren, auf der SharePoint Server ausgeführt wird. Verwenden Sie das New-SPTrustedSecurityTokenIssuer PowerShell-Cmdlet, um dem Server, auf dem SharePoint Server ausgeführt wird, einen JSON (JavaScript Object Notation)-Metadatenendpunkt des Servers hinzuzufügen, von dem die Server-zu-Server-Authentifizierung ausgeführt werden kann. Wenn der Server, von dem die Server-zu-Server-Authentifizierung ausgeführt werden kann, ein weiterer Server mit SharePoint Server ist, hat der JSON-Metadatenendpunkt das folgende Format: „https:///_layouts/15/metadata/json/1".If the farm that can perform server-to-server authentication is on-premises, you must configure the farm that runs SharePoint Server. Use the New-SPTrustedSecurityTokenIssuer PowerShell cmdlet to add a JavaScript Object Notation (JSON) metadata endpoint of the server that can perform server-to-server authentication to the server that runs SharePoint Server. If the server that can perform server-to-server authentication is another server that runs SharePoint Server, the JSON metadata endpoint is in the format: https:///_layouts/15/metadata/json/1.

Fall 2: Die Farmen sind Teil einer Office 365-InstanzCase 2: Farms are part of an Office 365 tenancy

Wenn die Farm mit SharePoint Server und der andere Server, der eine Server-zu-Server-Authentifizierung durchführen kann, beide Teil einer Office 365-Instanz sind, ist für die Server-zu-Server-Authentifizierung keine weitere Konfiguration erforderlich.If the farm that runs SharePoint Server and the other server that can perform server-to-server authentication are both part of an Office 365 tenancy, no additional configuration for server-to-server authentication is needed.

Nachdem Sie die Server ermittelt haben, die Server-zu-Server-Authentifizierung erfordern, konfigurieren Sie die Server-zu-Server-Vertrauensstellungen gemäß den Anleitungen in Configure server-to-server authentication in SharePoint Server.After you determine the set of servers that require server-to-server authentication, see Configure server-to-server authentication in SharePoint Server to configure the server-to-server trust relationships.

Siehe auchSee also

KonzepteConcepts

Authentifizierungsübersicht für SharePoint ServerAuthentication overview for SharePoint Server

Server-zu-Server-Authentifizierung und Benutzerprofile in SharePoint ServerServer-to-server authentication and user profiles in SharePoint Server