Verwalten der Authentifizierung für den Geschäftsdatenkatalog

Artikel
06/12/2012

Der Geschäftsdatenkatalog für Microsoft Office SharePoint Server 2007 unterstützt zwei Authentifizierungsmodelle und drei Authentifizierungsmodi, die Benutzeranmeldeinformationen mithilfe von einmaligem Anmelden (Single Sign-On, SSO) speichern.

Inhalt dieses Artikels:

Auswählen des bevorzugten Authentifizierungsmodells und Authentifizierungsmodus
Konfigurieren von Konten für die Back-End-Anwendung
Aktivieren und Konfigurieren des Diensts für einmaliges Anmelden
Erstellen und Konfigurieren von Enterpriseanwendungsdefinitionen
Ändern und Importieren der Anwendungsdefinition für die Anwendung
Erforderliche Aufgaben

Zur Verwaltung der Authentifizierung für den Geschäftsdatenkatalog mithilfe von einmaligem Anmelden führen Sie die Schritte in diesem Dokument für jede Datenbank und jeden Webdienst aus, die Sie in die Bereitstellung integrieren.

Auswählen des bevorzugten Authentifizierungsmodells und Authentifizierungsmodus

Die Anwendungen im Geschäftsdatenkatalog können mehrere verschiedene Authentifizierungsmodi verwenden, die eine von zwei unterschiedlichen Authentifizierungsmodellen nutzen können.

Auswählen eines Authentifizierungsmodells

Die Authentifizierungsmodelle, die vom Geschäftsdatenkatalog verwendet werden, sind konzeptionell und entsprechen keiner spezifischen XML- oder anderen Konfigurationseinstellung. Sie implementieren ein Authentifizierungsmodell, indem Sie die XML-Datei der Anwendungsdefinition so konfigurieren, dass zum Herstellen der Verbindung mit dem Back-End-Server ein bestimmtes Konto verwendet wird.

Der Geschäftsdatenkatalog unterstützt die folgenden Authentifizierungsmodelle:

Vertrauenswürdiges Subsystem
Identitätswechsel und Delegierung

Beim Modell des vertrauenswürdigen Subsystems authentifiziert die mittlere Ebene (normalerweise der Webserver) sich beim Back-End-Server als feste Identität. Beim Modell mit Identitätswechsel und Delegierung delegiert der Client die Authentifizierung an die mittlere Ebene, die die Identität des Clients annimmt und sich im Auftrag des Clients beim Back-End authentifiziert. Jedes Modell unterstützt mehrere Authentifizierungsmodi für verschiedene Integrationsszenarien.

Das Modell des vertrauenswürdigen Subsystems bietet folgende Vorteile:

Datenbankverbindungspooling
Weniger komplexe Verwaltung
Administratoren des Back-End-Servers für die Anwendung müssen nur die Berechtigungen für ein einziges Konto verwalten.

Das vertrauenswürdige Subsystem ist eine gute Wahl für neue Bereitstellungen. Anwendungsadministratoren müssen auf dem Back-End-Server keine Autorisierungsberechtigungen für eine große Anzahl von Benutzern konfigurieren. Stattdessen können sie ein einziges Konto für jede Anwendung konfigurieren und anschließend die Autorisierung in Office SharePoint Server konfigurieren.

Das Modell des vertrauenswürdigen Subsystems verwendet ein Dienstkonto oder ein Datenbankkonto, das einem Gruppenkonto in der Enterpriseanwendungsdefinition zugeordnet ist.

Das Modell mit Identitätswechsel und Delegierung bietet folgende Vorteile:

Überwachung auf dem Back-End-Server
Autorisierung pro Benutzer auf dem Back-End-Server ohne zusätzliche Konfiguration

Identitätswechsel und Delegierung können eine gute Wahl für eine vorhandene Anwendung sein, für die die Autorisierung pro Benutzer konfiguriert ist. Nachdem das Modell mit Identitätswechsel und Delegierung konfiguriert wurde, wird jeder Benutzer weiterhin unter Verwendung der Konfiguration in der Back-End-Anwendung authentifiziert. Für Organisationen, bei denen mehrere Branchenanwendungen in eine Bereitstellung von Office SharePoint Server integriert sind, für die laufend jeweils eigene Autorisierungseinstellungen verwaltet werden müssen, kann dies äußerst mühsam sein. Sofern keine Überwachung auf dem Back-End-Server erforderlich ist, hat es sich bewährt, das Modell mit Identitätswechsel und Delegierung nur während der ersten Bereitstellung zu verwenden, bis ein Modell mit vertrauenswürdigem Subsystem konfiguriert werden kann.

Das Modell mit Identitätswechsel und Delegierung verwendet ein einzelnes Windows-Benutzerkonto und entweder ein Datenbankbenutzerkonto (nur für Datenbanken) oder einen Benutzer mit formularbasierter Authentifizierung (nur für Webdienste), das bzw. der einem individuellen Konto zugeordnet ist.

Auswählen und Konfigurieren eines Authentifizierungsmodus

In der folgenden Tabelle werden die vom Geschäftsdatenkatalog unterstützten Authentifizierungsmodi beschrieben. Außerdem wird angegeben, ob der Modus einmaliges Anmelden (Single Sign-On, SSO) verwendet.

Authentifizierungsmodus	Beschreibung	Verwendet SSO
PassThrough	Verwendet die Anmeldeinformationen des angemeldeten Benutzers zur Authentifizierung bei der Anwendung auf dem Back-End-Server. Dieser Modus ist nur für das Authentifizierungsmodell mit Identitätswechsel und Delegierung verfügbar. Die PassThrough-Authentifizierung setzt voraus, dass die Kerberos-Delegierung aktiviert ist.	Nein
RevertToSelf	Verwendet das Konto der Anwendungspoolidentität, um Benutzer beim Back-End-Server zu authentifizieren. Da immer ein Dienstkonto anstelle eines einzelnen Kontos verwendet wird, verwendet RevertToSelf das Authentifizierungsmodell mit vertrauenswürdigem Subsystem.	Nein
WindowsCredentials	Wird für Webdienste und Datenbanken gleichermaßen verwendet. Der Geschäftsdatenkatalog nimmt die Identität eines Windows-Benutzerkontos mit Anmeldeinformationen aus einer Enterpriseanwendungsdefinition an und führt die Windows-Authentifizierung aus.	Ja
Credentials	Wird für Webdienste verwendet, die entweder die Standard- oder die Digestauthentifizierung anstelle der Windows-Authentifizierung verwenden. Zur Wahrung der Sicherheit wird bei Verwendung des Authentifizierungsmodus mit Anmeldeinformationen dringend empfohlen, den Kanal zwischen dem Geschäftsdatenkatalog und dem Back-End-Server mithilfe von SSL (Secure Sockets Layer) oder IPSec (Internetprotokollsicherheit) zu schützen.	Ja
RdbCredentials	Wird nur für Back-End-Datenbanken verwendet. Der Geschäftsdatenkatalog verwendet Anmeldeinformationen aus einer Enterpriseanwendungsdefinition für die Authentifizierung.	Ja

Die meisten dieser Modi verwenden SSO zum Speichern von Anmeldeinformationen für die Anwendung, entweder mithilfe einer Einzel- oder einer Gruppenidentität, die als Enterpriseanwendungsdefinition konfiguriert ist. Der PassThrough-Modus verwendet die Anmeldeinformationen des angemeldeten Benutzers, und der RevertToSelf-Modus verwendet das Konto der Anwendungspoolidentität zum Authentifizieren von Benutzern.

Bei allen SSO-Authentifizierungsmodi verwendet die Enterpriseanwendungsdefinition ein Gruppenkonto für das Modell des vertrauenswürdigen Subsystems und ein einzelnes Konto für das Modell mit Identitätswechsel und Delegierung. Weitere Informationen zur Enterpriseanwendungsdefinition finden Sie im Abschnitt "Erstellen und Konfigurieren von Enterpriseanwendungsdefinitionen" in diesem Dokument.

Der ausgewählte Authentifizierungsmodus hat Auswirkungen auf die Konten oder Anmeldeinformationen, die Sie auf dem Back-End-Server konfigurieren, und auf die Einstellungen für SSO. Die Eigenschaften, die Sie für die XML-Datei mit der Anwendungsdefinition konfigurieren müssen, sind im Abschnitt "Ändern und Importieren der Anwendungsdefinition für die Anwendung" weiter unten in diesem Dokument beschrieben.

Weitere Informationen zu Authentifizierungsmodellen und -modi finden Sie unter Authentifizierung im Geschäftsdatenkatalog (in englischer Sprache) (https://go.microsoft.com/fwlink/?linkid=100498&clcid=0x407).

Konfigurieren von Konten für die Anwendung

Bevor Sie SSO oder die XML-Datei mit der Anwendungsdefinition für die Anwendung konfigurieren, konfigurieren Sie die Autorisierungsberechtigungen für mindestens einen Satz von Anmeldeinformationen für den Back-End-Server:

Wenn Sie das Authentifizierungsmodell des vertrauenswürdigen Subsystems verwenden, müssen Sie nur ein einziges Konto oder eine einzige Gruppe von Anmeldeinformationen für die Anwendung konfigurieren.
Wenn Sie das Authentifizierungsmodell mit Identitätswechsel und Delegierung verwenden, müssen Sie die Autorisierung für jeden Satz von Anmeldeinformationen konfigurieren, dessen Identität der Geschäftsdatenkatalog von einem SSO-Gruppenkonto annimmt. Wenn eine Anwendung bereits von Ihrer Organisation verwendet wird, wurden die notwendigen Anmeldeinformationen möglicherweise bereits konfiguriert, und Sie können diesen Schritt überspringen.

Benutzerkonten werden in der Datenbank oder im Webdienst konfiguriert, und die Konfigurationsdetails hängen von den spezifischen Berechtigungen der Anwendung ab.

Aktivieren und Konfigurieren des Diensts für einmaliges Anmelden

Falls Sie für den Geschäftsdatenkatalog einen Authentifizierungsmodus mit SSO ausgewählt haben, müssen Sie den Microsoft-Dienst für einmaliges Anmelden (SSOSrv) auf allen Front-End-Webservern in der Farm aktivieren und konfigurieren. Wenn Sie auch die Suche für den Geschäftsdatenkatalog verwenden, müssen Sie SSOrv auf dem Indexserver aktivieren.

Das Anmeldekonto für den Dienst muss die folgenden Voraussetzungen erfüllen:

Es muss sich um ein Domänenbenutzerkonto handeln. Es darf kein Gruppenkonto sein.
Es muss ein Office SharePoint Server-Farmkonto sein.
Es muss Mitglied der lokalen Gruppe Administratoren auf dem Server für den Verschlüsselungsschlüssel sein. (Der Server für den Verschlüsselungsschlüssel ist der erste Server, auf dem Sie SSOSrv starten.)
Es muss Mitglied der Rollen Sicherheitsadministratoren und dbcreator auf dem Computer mit Microsoft SQL Server sein.
Es muss entweder das gleiche Konto wie das SSO-Administratorkonto oder Mitglied des Gruppenkontos sein, bei dem es sich um das SSO-Administratorkonto handelt.

Nachdem Sie den SSO-Dienst konfiguriert haben, konfigurieren Sie zusätzliche Einstellungen auf der Seite für die Zentraladministration. Servereinstellungen für SSO umfassen Kontoinformationen für ein separates SSO-Administratorkonto, den SSO-Datenbankserver und den Servernamen sowie Timeout- und Überwachungsprotokolleinstellungen.

Der Benutzer oder die Gruppe, die Sie als SSO-Administratorkonto angeben, muss die folgenden Voraussetzungen erfüllen:

Es muss sich entweder um eine globale Windows-Gruppe oder um ein einzelnes Benutzerkonto handeln. Dieses Konto darf kein Konto einer lokalen Gruppe der Domäne und keine Verteilerliste sein.
Es muss dasselbe Konto wie das SSO-Dienstkonto sein, wenn ein Benutzer angegeben ist. Wenn eine Gruppe angegeben ist, muss das SSO-Dienstkonto Mitglied dieser Gruppe sein.
Es muss dasselbe Konto wie das SSO-Konfigurationskonto sein, wenn ein Benutzer angegeben ist. Wenn eine Gruppe angegeben ist, muss das SSO-Konfigurationskonto Mitglied dieser Gruppe sein.
Es muss Mitglied der SharePoint-Gruppe Farmadministratoren sein.

Weitere Informationen zum Aktivieren des Diensts für einmaliges Anmelden finden Sie unter Konfigurieren und Starten des Microsoft-Diensts für einmaliges Anmelden. Weitere Informationen zum Konfigurieren des Diensts für einmaliges Anmelden finden Sie unter Konfigurieren von einmaligem Anmelden (Office SharePoint Server).

Erstellen und Konfigurieren von Enterpriseanwendungsdefinitionen

Nachdem Sie den Dienst für einmaliges Anmelden konfiguriert haben, müssen Sie Enterpriseanwendungsdefinitionen für Ihre Branchenanwendungen erstellen und konfigurieren. Sie erstellen eine Enterpriseanwendungsdefinition für jeden gespeicherten Satz von Anmeldeinformationen, der von Ihren Branchenanwendungen, Datenbanken und Webdiensten verwendet wird. Normalerweise erstellen Sie eine Enterpriseanwendungsdefinition für jede Anwendung oder jeden Dienst. Wenn allerdings mehrere Anwendungen denselben Satz von Anmeldeinformationen verwenden, benötigen Sie nur eine Enterpriseanwendungsdefinition, die zum Verbinden aller Anwendungen mit diesen Anmeldeinformationen verwendet werden kann.

Hinweis

Eine Enterpriseanwendungsdefinition für SSO ist nicht mit der XML-Anwendungsdefinitionsdatei identisch, die für jede Anwendung oder jeden Dienst in den Geschäftsdatenkatalog importiert wird. Sie müssen eine Enterpriseanwendungsdefinition erstellen und separat auf diese Enterpriseanwendungsdefinition in der XML-Anwendungsdefinitionsdatei verweisen.

Nachdem Sie eine Enterpriseanwendungsdefinition erstellt haben, müssen Sie Kontoinformationen für die Enterpriseanwendungsdefinitionen konfigurieren. Sie müssen als lokaler Administrator am Server angemeldet sein, um dieses Verfahren abschließen zu können.

Weitere Informationen zum Erstellen von Enterpriseanwendungsdefinitionen finden Sie unter Erstellen einer Enterpriseanwendungsdefinition für den Geschäftsdatenkatalog. Weitere Informationen zum Konfigurieren von Enterpriseanwendungsdefinitionen finden Sie unter Konfigurieren der Enterpriseanwendungsdefinition für den Geschäftsdatenkatalog.

Ändern und Importieren der Anwendungsdefinition für die Anwendung

Nachdem Sie SSO konfiguriert und Enterpriseanwendungsdefinitionen erstellt und konfiguriert haben, müssen Sie die Anwendungsdefinition ändern und den Authentifizierungsmodus für die Anwendung, die von der Anwendung verwendete Implementierung der ISsoProvider-Schnittstelle und die Enterpriseanwendungs-ID für die Anwendung hinzufügen. Diese Eigenschaften werden im LOBSystemInstance-Objekt in der XML-Datei für die Anwendungsdefinition konfiguriert.

Sie können auch andere Eigenschaften für die Anwendung ändern. Eine Tabelle mit sämtlichen Eigenschaften, die zum Konfigurieren der Authentifizierung von Datenbanken und Webdiensten zur Verfügung stehen, finden Sie unter LOBSystemInstance (in englischer Sprache) (https://go.microsoft.com/fwlink/?linkid=124545&clcid=0x407). Hier finden Sie auch Beispiele.

Bevor Sie die Authentifizierungseinstellungen für den Geschäftsdatenkatalog verwenden können, müssen Sie die XML-Datei für die Anwendungsdefinition in den Geschäftsdatenkatalog importieren.

Weitere Informationen zum Erstellen, Ändern und Importieren von Enterpriseanwendungsdefinitionen für den Geschäftsdatenkatalog finden Sie unter Verwalten von Anwendungsdefinitionen.

Allgemeine Dokumenterstellungsaufgaben für XML-Dateien für die Anwendungsdefinition werden in den folgenden Unterabschnitten beschrieben:

Konfigurieren der SSO-Authentifizierung für eine Datenbank
Konfigurieren der SSO-Authentifizierung für einen Webdienst
Konfigurieren des SSO-Anbieters für die Anwendung
Konfigurieren der RevertToSelf-Authentifizierung
Konfigurieren der PassThrough-Authentifizierung
Konfigurieren der Authentifizierung auf Anwendungsebene für die Anwendung

Konfigurieren der SSO-Authentifizierung für eine Datenbank

Damit SSO mit Datenbanksystemen verwendet werden kann, sind die folgenden Eigenschaften erforderlich:

AuthenticationMode für das LOBSystemInstance-Objekt muss auf WindowsCredentials oder RdbCredentials festgelegt sein.
SsoProviderImplementation muss auf den vollqualifizierten Namen der ISsoProvider-Schnittstelle festgelegt sein.

Hinweis

Wenn eine ISsoProvider-Schnittstelle eines Fremdanbieters anstelle der ISsoProvider-Schnittstelle von Office SharePoint Server verwendet wird, müssen Sie den vollqualifizierten Namen für den Anbieter einbinden.
SsoApplicationId ist auf den Wert der Enterpriseanwendungs-ID für die Anwendung festgelegt. Sie haben den Namen für die Enterpriseanwendungsdefinition beim Erstellen bereitgestellt.

Konfigurieren der SSO-Authentifizierung für einen Webdienst

Damit SSO mit Webdienstsystemen verwendet werden kann, sind die folgenden Eigenschaften erforderlich:

WebServiceAuthenticationMode für das LOBSystemInstance-Objekt muss auf WindowsCredentials oder Credentials festgelegt sein.
SsoProviderImplementation muss auf den vollqualifizierten Namen der ISsoProvider-Schnittstelle festgelegt sein.

Hinweis

Wenn eine ISsoProvider-Schnittstelle eines Fremdanbieters anstelle der ISsoProvider-Schnittstelle von Office SharePoint Server verwendet wird, müssen Sie den vollqualifizierten Namen für den Anbieter einbinden.
WebServiceSsoApplicationId ist auf den Wert der Enterpriseanwendungs-ID für die Anwendung festgelegt.

Konfigurieren des SSO-Anbieters für die Anwendung

In Branchenanwendungen, die SSO für die Benutzerauthentifizierung verwenden, können die SsoProviderImplementation-Eigenschaft und die ISsoProvider-Schnittstelle auf die Verwendung eines beliebigen SSO-Drittanbieters festgelegt werden. Wenn ein anderer SSO-Anbieter verwendet soll als der, der in Office SharePoint Server enthalten ist, müssen Sie diesen Anbieter konfigurieren und den vollqualifizierten Namen des Anbieters in die Anwendungsdefinition für diese Eigenschaft einfügen. Weitere Informationen finden Sie unter ISsoProvider Members (in englischer Sprache) (https://go.microsoft.com/fwlink/?linkid=124546&clcid=0x407).

Konfigurieren der RevertToSelf-Authentifizierung für die Anwendung

Sie können den RevertToSelf-Authentifizierungsmodus anstelle von SSO verwenden, um die Anwendung mit dem Konto der Anwendungspoolidentität ausführen zu lassen und für die Authentifizierung die einzelnen Berechtigungen der jeweiligen Benutzer der Anwendung zu verwenden. Wenn Sie den RevertToSelf-Authentifizierungsmodus verwenden möchten, legen Sie die Authentifizierungseigenschaft wie folgt fest:

Legen Sie für die Authentifizierung bei einer Datenbank die AuthenticationMode-Eigenschaft für das LOBSystemInstance-Objekt auf RevertToSelf fest.
Legen Sie für die Authentifizierung bei einem Webdienst die WebServiceAuthenticationMode-Eigenschaft für das LOBSystemInstance-Objekt auf RevertToSelf fest.

Konfigurieren der PassThrough-Authentifizierung für die Anwendung

Die PassThrough-Authentifizierung erfordert ebenfalls kein SSO zum Speichern von Konten und authentifiziert stattdessen jeden Benutzer direkt mit den Berechtigungen des jeweiligen Kontos bei der Back-End-Anwendung. Wenn Sie den PassThrough-Authentifizierungsmodus verwenden möchten, legen Sie die Authentifizierungseigenschaft wie folgt fest:

Legen Sie für die Authentifizierung bei einer Datenbank die AuthenticationMode-Eigenschaft für das LOBSystemInstance-Objekt auf PassThrough fest.
Legen Sie für die Authentifizierung bei einem Webdienst die WebServiceAuthenticationMode-Eigenschaft für das LOBSystemInstance-Objekt auf PassThrough fest.

Konfigurieren der Authentifizierung auf Anwendungsebene für die Anwendung

Der Geschäftsdatenkatalog unterstützt auch eine sekundäre Authentifizierung auf Anwendungsebene. Diese Authentifizierung wird zusätzlich zur primären Authentifizierung verwendet, die für das System konfiguriert ist. Sie ist besonders nützlich in Situationen, in denen beispielsweise eine Back-End-Anwendung erfordert, dass Sicherheitsanmeldeinformationen in den Methodenaufrufen für das Autorisieren von Benutzern übergeben werden. Zum Aktivieren der Authentifizierung auf Anwendungsebene führen Sie die folgenden Schritte aus:

Geben Sie in der SecondarySsoApplicationId-Eigenschaft des LobSystemInstance-Objekts die SSO-Anwendung an, die die Anmeldeinformationen enthält.
Definieren Sie die UsernameCredentialFilter-Eigenschaft und die PasswordCredentialFilter-Eigenschaft, und ordnen Sie jeder einen Eingabeparameter zu.

Konfigurieren des anonymen Zugriffs

Mit 2007 Microsoft Office Server Service Pack 1 wird die neue AllowAnonymousExecute-Eigenschaft für die Anwendungsdefinition hinzugefügt, um den anonymen Zugriff auf Geschäftsdaten in Geschäftsdatenwebparts zu ermöglichen. Legen Sie den Wert dieser Eigenschaft auf true fest, um den anonymen Zugriff zu ermöglichen. Nachfolgend ist der XML-Code für die Eigenschaft aufgeführt:

<Properties>

<Property Name="AllowAnonymousExecute" Type="System.Boolean">true</Property>

</Properties>

Fügen Sie diese Eigenschaft der vom Webpart verwendeten Methodeninstanz hinzu, um den anonymen Zugriff auf Daten in einem Webpart für eine Geschäftsdatenliste oder ein Geschäftsdatenelement zu aktivieren.

So ermöglichen Sie beispielsweise anonymen Benutzern das Ausführen der ArtistRead-Methodeninstanz für ein Geschäftsdatenelement-Webpart, das Informationen über einen Musiker anzeigt:

<MethodInstance Type="SpecificFinder" ReturnParameterName="ArtistRead" Name="ArtistRead">