Freigeben über


Planen der Server-zu-Server-Authentifizierung in SharePoint Server

GILT FÜR:yes-img-132013 yes-img-162016 yes-img-192019 yes-img-seSubscription Edition no-img-sopSharePoint in Microsoft 365

Die Server-zu-Server-Authentifizierung ermöglicht Servern, die zur Server-zu-Server-Authentifizierung fähig sind, das gegenseitige Zugreifen auf und Anfordern von Ressourcen im Namen von Benutzern. Auf Servern, die zur Server-zu-Server-Authentifizierung fähig sind, wird SharePoint Server, Exchange Server 2016, Skype for Business Server 2015, Azure Workflow Service oder andere Software ausgeführt, die das Server-zu-Server-Protokoll von Microsoft unterstützt. Die Server-zu-Server-Authentifizierung ermöglicht eine Reihe von neuen Funktionen und Szenarien, die durch serverübergreifende Ressourcenfreigabe und serverübergreifenden Zugriff erzielt werden.

Zum Bereitstellen der angeforderten Ressourcen von einem anderen Server, der die Server-zu-Server-Authentifizierung durchführen kann, müssen auf dem Server, auf dem SharePoint Server ausgeführt wird, die folgenden Aktionen ausgeführt werden:

  • Überprüfen Sie die Vertrauenswürdigkeit des anfordernden Servers. Zum Authentifizieren des anfordernden Servers müssen Sie den Server, auf dem SharePoint Server ausgeführt wird, so konfigurieren, dass er dem Server vertraut, der ihm Anforderungen sendet. Dies ist eine unidirektionale Vertrauensstellung.

  • Überprüfen Sie, dass der vom Server angeforderte Zugriffstyp autorisiert ist. Zum Autorisieren des Zugriffs müssen Sie den Server, auf dem SharePoint Server ausgeführt wird, für die geeigneten Berechtigungen für die angeforderten Ressourcen konfigurieren.

Beachten Sie, dass das Protokoll für die Server-zu-Server-Authentifizierung in SharePoint Server nichts mit der Benutzerauthentifizierung zu tun hat und von SharePoint-Benutzern nicht als Authentifizierungsprotokoll für die Anmeldung verwendet wird. The server-to-server authentication protocol, which uses the Open Authorization (OAuth) 2.0 protocol, does not add to the set of user sign-on protocols, such as WS-Federation. In SharePoint Server werden keine neuen Protokolle für die Benutzerauthentifizierung eingeführt. Das Protokoll für die Server-zu-Server-Authentifizierung ist nicht in der Liste der Identitätsanbieter enthalten.

Informationen zum Planen der Server-zu-Server-Authentifizierung für die Benutzerprofildienst-Anwendung finden Sie unter Server-zu-Server-Authentifizierung und Benutzerprofile in SharePoint Server.

Einführung

Die Planung der Server-zu-Server-Authentifizierung umfasst folgende Aufgaben:

Wichtig

Die Webanwendungen, die Server-zu-Server-Authentifizierungsendpunkte (für eingehende Server-zu-Server-Anforderungen) enthalten oder ausgehende Server-zu-Server-Anforderungen an andere Server stellen, müssen zur Verwendung von SSL (Secure Sockets Layer) konfiguriert werden.

Hinweis

Sie müssen die Server-zu-Server-Authentifizierung auf einem Server mit SharePoint Server nur dann planen, wenn Sie mindestens ein Server-zu-Server-Szenario konfigurieren, das deren Verwendung erfordert.

Identifizieren des Vertrauensstellungssatzes

Aus der Perspektive eines Servers mit SharePoint Server umfasst eine Vertrauensstellung mit einem anderen Server, der die Server-zu-Server-Authentifizierung durchführen kann, Folgendes:

  • Der Server mit SharePoint Server vertraut Anforderungen von einem Server, der Server-zu-Server-Authentifizierung durchführen kann (auf dem Server mit SharePoint Server eingehende Anforderungen).

    Dies erfordert eine Konfiguration auf dem Server mit SharePoint Server, damit dieser dem anfordernden Server vertraut.

  • Der Server, der die Server-zu-Server-Authentifizierung durchführen kann, vertraut Anforderungen von einem Server, auf dem SharePoint Server ausgeführt wird (von dem Server mit SharePoint Server ausgehende Anforderungen).

    Dies erfordert eine Konfiguration auf dem Server, der Server-zu-Server-Authentifizierung durchführen kann, damit dieser dem anfordernden Server vertraut, auf dem SharePoint Server ausgeführt wird.

Erstellen Sie für jede Farm mit SharePoint Server eine Liste der Server, die Server-zu-Server-Authentifizierung durchführen können und basierend auf den Server-zu-Server-Szenarien, die die Farm betreffen, eingehende Anforderungen erhalten werden. Zwei Fälle von Server-zu-Server-Authentifizierungsbeziehungen müssen untersucht werden.

Fall 1: Die Farmen befinden sich in der lokalen Umgebung

Wenn sich die Farm, von der die Server-zu-Server-Authentifizierung ausgeführt werden kann, in der lokalen Umgebung befindet, müssen Sie die Farm konfigurieren, auf der SharePoint Server ausgeführt wird. Verwenden Sie das New-SPTrustedSecurityTokenIssuer PowerShell-Cmdlet, um dem Server, auf dem SharePoint Server ausgeführt wird, einen JSON (JavaScript Object Notation)-Metadatenendpunkt des Servers hinzuzufügen, von dem die Server-zu-Server-Authentifizierung ausgeführt werden kann. Wenn der Server, der die Server-zu-Server-Authentifizierung durchführen kann, ein anderer Server ist, auf dem SharePoint Server ausgeführt wird, hat der JSON-Metadatenendpunkt das folgende Format: https://< HostName>/_layouts/15/metadata/json/1.

Fall 2: Farmen sind Teil eines Microsoft 365-Mandanten

Wenn die Farm mit SharePoint Server und der andere Server, der eine Server-zu-Server-Authentifizierung durchführen kann, beide Teil einer Microsoft 365-Organisation sind, ist für die Server-zu-Server-Authentifizierung keine weitere Konfiguration erforderlich.

Nachdem Sie die Server ermittelt haben, die Server-zu-Server-Authentifizierung erfordern, konfigurieren Sie die Server-zu-Server-Vertrauensstellungen gemäß den Anleitungen in Configure server-to-server authentication in SharePoint Server.

Siehe auch

Konzepte

Authentifizierungsübersicht für SharePoint Server

Server-zu-Server-Authentifizierung und Benutzerprofile in SharePoint Server