Verfügbare Authentifizierungsmodi
Letzte Änderung: Freitag, 16. April 2010
Gilt für: SharePoint Server 2010
Inhalt dieses Artikels
Pass-Through-Authentifizierung
RevertToSelf-Authentifizierung
WindowsCredentials-Authentifizierung
Credentials-Authentifizierung
DigestCredentials-Authentifizierung
Wichtig
Die folgenden Authentifizierungsmodi sind verfügbar, wenn Sie mit Microsoft Business Connectivity Services (BCS) eine Verbindung mit einem Webdienst oder WCF-Dienst herstellen.
Pass-Through-Authentifizierung
Pass-Through-Authentifizierung bezieht sich auf die Möglichkeit des Betriebssystems, die Authentifizierungsinformationen eines Clients an das externe System zu übergeben. BCS unterstützt die Pass-Through-Authentifizierung für Datenbankverbindungen und Web/WCF-Dienstverbindungen. Bei Verwendung der Pass-Through-Authentifizierung authentifizieren Sie sich mit der Identität des Endbenutzers.
Wenn Sie über eine Webseite auf BDC zugreifen, wird die Anwendung im Arbeitsprozess von Microsoft Internetinformationsdienste (Internet Information Services, IIS), w3wp.exe, ausgeführt. Die Identität dieses Prozesses ist das IIS-Anwendungspoolkonto, das die Identität des angemeldeten Benutzers annimmt. Sie müssen die Kerberos-Delegierung zwischen dem Server mit IIS und dem anderen Computer aktivieren, um zu vermeiden, dass die Identität des angemeldeten Benutzers verloren geht, wenn sich BDC beim Back-End-Server authentifiziert. Mit der Kerberos-Delegierung kann ein empfangender Server die Authentifizierungsanforderung an den entsprechenden Speicherort senden.
Wenn Sie BDC zum Durchforsten verwenden, wird die Anwendung im Filterdaemonprozess, mssdmn.exe, ausgeführt. Für den Zugriff auf die Back-End-Inhaltsquelle nehmen die Threads im Filterdaemonprozess die Identität des Inhaltszugriffskontos an, das dieser Back-End-Inhaltsquelle zugeordnet ist.
Ein Nachteil der Pass-Through-Authentifizierung ist, dass vom Betriebssystem nur der Benutzername und das Kennwort verfügbar gemacht werden. Wenn deshalb ein Unternehmen die zweistufige Authentifizierung verwendet (falls Benutzer neben einem Benutzernamen und einem Kennwort spezifische – private – Informationen benötigen), können Sie die Pass-Through-Authentifizierung nicht verwenden.
Aufgrund der einfachen Handhabung ist die Pass-Through-Authentifizierung gut geeignet für Testumgebungen. Die Pass-Through-Authentifizierung können Sie auch benutzen, wenn der Webdienst oder der Zielserver die anonyme Authentifizierung oder SSL-Verbindungen verwendet.
RevertToSelf-Authentifizierung
Wenn sich ein Benutzer mit der Windows-Authentifizierung anmeldet, nimmt IIS die Identität dieses speziellen Kontos an. Während IIS mit der Anwendungspoolidentität ausgeführt wird, wird die Identität des angemeldeten Benutzers angenommen, und die Anforderung wird mit der Identität des Benutzers ausgeführt, bevor sie weitergeleitet wird.
Mithilfe der RevertToSelf-Authentifizierung können Sie diesen Identitätswechsel rückgängig machen und sich mit dem zugrunde liegenden Konto authentifizieren, das für den IIS-Anwendungspool konfiguriert ist.
.gif "Vorsicht") Vorsicht |
|---|
Falls in benutzerdefiniertem Code RevertToSelf für die Authentifizierung verwendet wird, können Benutzern auf den Back-End-Servern Rechte auf Systemebene erteilt werden, indem der Anwendungspoolidentität Rechte erteilt werden. Sie müssen benutzerdefinierten Code gründlich testen, bevor Sie ihn auf einem Produktionssystem ausführen. |
WindowsCredentials-Authentifizierung
Microsoft SharePoint Server 2010 authentifiziert mithilfe von Windows-Anmeldeinformationen des bereitgestellten Anbieters für einmaliges Anmelden. Verwenden Sie diesen Modus, wenn Ihr Webdienst oder WCF-Dienst die Windows-Authentifizierung verwendet. Sie müssen Einmaliges Anmelden einrichten, bevor Sie diesen Modus verwenden können. Bei Verwendung von Windows-Anmeldeinformationen versucht BDC, das von Einmaliges Anmelden zurückgegebene Feld für den Benutzernamen in Domäne\Benutzer aufzuteilen. Anschließend wird mit der Domäne, dem Benutzernamen und dem Kennwort die Authentifizierung vorgenommen.
Credentials-Authentifizierung
Microsoft SharePoint Server 2010 authentifiziert Web/WCF-Dienstsysteme mithilfe von anderen als den Windows-Anmeldeinformationen des bereitgestellten Anbieters für einmaliges Anmelden. Diese Anmeldeinformationen werden in Abhängigkeit von der Konfiguration des Webdiensteservers für die Standard- oder Digestauthentifizierung verwendet. Da bei der Standard- und Digestauthentifizierung Anmeldeinformationen nicht ausreichend geschützt sind, sollten Sie SSL und/oder IPSec für die sichere Kommunikation zwischen dem Webdiensteserver und dem Server mit BDC verwenden.
Verwenden Sie diesen Modus, wenn Ihr Webdienst andere als Windows-Anmeldeinformationen verwendet. Sie müssen Einmaliges Anmelden einrichten, bevor Sie diesen Modus verwenden. Bei Verwendung von Anmeldeinformationen versucht BDC nicht, das von Einmaliges Anmelden zurückgegebene Feld für den Benutzernamen in Domäne\Benutzer aufzuteilen, wie dies beim WindowsCredentials-Modus der Fall ist. Vielmehr werden der Benutzername und das Kennwort direkt zum Authentifizieren verwendet.
DigestCredentials-Authentifizierung
Microsoft SharePoint Server 2010 kann auch WCF-Dienstsysteme mithilfe der HTTP-Digestanmeldeinformationen authentifizieren. Weitere Informationen finden Sie unter ClientCredentials.HttpDigest-Eigenschaft.
Wichtig
Für den Fall, das beim Import der Anwendungsdefinition eine Fehlermeldung angezeigt wird, dass BDC keine Verbindung mit WSDL herstellen kann, ist die WSDL möglicherweise nicht öffentlich. In diesem Fall müssen Sie die Authentifizierung einrichten, indem Sie einen der in diesem Thema behandelten Modi verwenden oder die WSDL manuell in das lokale System kopieren und "WSDLFetchURL" auf die Datei-URL verweisen.