Konfigurieren des Sicherheitstokendiensts (SharePoint Foundation 2010)
Gilt für: SharePoint Foundation 2010
Letztes Änderungsdatum des Themas: 2016-11-30
In diesem Artikel finden Sie Anweisungen, die Ihnen bei der Konfiguration des Microsoft SharePoint Foundation 2010-Sicherheitstokendiensts (Security Token Service, STS) helfen. Bei einem STS handelt es sich um einen speziellen Webdienst, der dazu dient, auf Sicherheitstokenanforderungen zu antworten und die Identitätsverwaltung zu unterstützen. Die Kernfunktionalität jedes STS ist identisch, die Natur der Tasks, die ein einzelner STS ausführt, hängt jedoch von der Funktion ab, die dieser STS in Bezug auf die anderen STS-Webdienste in der Umgebung wahrnimmt.
Inhalt dieses Artikels:
Funktionsweise von Webanwendungen, die einen STS verwenden
Konfigurieren einer forderungsbasierten SharePoint-Webanwendung mithilfe von Windows PowerShell
Bearbeiten von Bindungen
Konfigurieren einer Webanwendung, die einen STS verwendet
Funktionsweise von Webanwendungen, die einen STS verwenden
Webanwendungen, die einen Sicherheitstokendienst verwenden, verarbeiten Anforderungen zum Ausstellen, Verwalten und Überprüfen von Sicherheitstokens. Sicherheitstoken bestehen aus einer Sammlung von Identitätsansprüchen (z. B. der Name eines Benutzers, eine Rolle oder ein anonymer Bezeichner). Token können in verschiedenen Formaten ausgestellt werden, z. B. als SAML-Token (Security Assertion Markup Language). Sicherheitstoken können mit einem X.509-Zertifikat geschützt werden, um den Tokeninhalt während der Übertragung zu schützen und die Überprüfung vertrauenswürdiger Aussteller zu ermöglichen. Weitere Informationen zum Sicherheitstokendienst finden Sie unter Planen von Authentifizierungsmethoden (SharePoint Foundation 2010).
Eine Identitätsanbieter-STS (IP-STS) ist ein Webdienst, der Anforderungen für vertrauenswürdige Identitätsansprüche verarbeitet. Ein IP-STS verwendet eine Datenbank, einen so genannten Identitätsspeicher, um Identitäten und ihre zugeordneten Attribute zu speichern und zu verwalten. Der Identitätsspeicher für einen Identitätsanbieter kann eine einfache SQL-Datenbanktabelle sein. Ein IP-STS kann jedoch auch einen komplexeren Identitätsspeicher wie die Active Directory-Domänendienste (AD DS) oder Active Directory Lightweight Directory Services (AD LDS) verwenden.
Ein IP-STS ist für Clients verfügbar, die Identitäten erstellen und verwalten möchten, sowie für Anwendungen einer vertrauenden Seite (Relying Party, RP), die die von Clients bereitgestellten Identitäten überprüfen müssen. Jeder IP-STS verfügt über eine Verbundvertrauensstellung mit RP-STS-Webanwendungen eines Verbundpartners und stellt Sicherheitstoken für diese Anwendungen aus. Jede dieser Anwendungen wird als RP-STS bezeichnet. Clients können verwaltete Informationskarten (mithilfe einer Kartenauswahltechnologie wie CardSpace) erstellen oder bereitstellen, die beim IP-STS registrierte Identitäten darstellen. Clients interagieren mit dem IP-STS, wenn sie Sicherheitstoken anfordern, die eine im Identitätsspeicher des IP-STS enthaltene Identität darstellen. Nach der Authentifizierung stellt der IP-STS ein vertrauenswürdiges Sicherheitstoken aus, das der Client bei einer Anwendung einer vertrauenden Seite vorweisen kann. Anwendungen einer vertrauenden Seite können Vertrauensstellungen mit einem IP-STS aufbauen. Hierdurch ist es ihnen möglich, die vom IP-STS ausgestellten Sicherheitstoken zu überprüfen. Nach dem Aufbau der Vertrauensstellung können Anwendungen einer vertrauenden Seite die von den Clients vorgelegten Sicherheitstoken untersuchen und die Gültigkeit der enthaltenen Identitätsansprüche bestimmen.
Ein STS einer vertrauenden Seite (RP-STS) ist ein STS, der Sicherheitstoken vom IP-STS eines vertrauenswürdigen Verbundpartners empfängt. Im Gegenzug stellt der RP-STS neue Sicherheitstoken aus, die von einer lokalen Anwendung der vertrauenden Seite genutzt werden. Durch die kombinierte Verwendung von RP-STS-Webanwendungen mit IP-STS-Webanwendungen können Organisationen Benutzern in Partnerorganisationen die einmalige Anmeldung über das Web ermöglichen. Jede Organisation verwaltet weiterhin ihre eigenen Identitätsspeicher.
Konfigurieren einer forderungsbasierten SharePoint-Webanwendung mithilfe von Windows PowerShell
Führen Sie die folgenden Verfahren aus, um mithilfe von Windows PowerShell eine forderungsbasierte SharePoint-Webanwendung zu konfigurieren.
So konfigurieren Sie mithilfe von Windows PowerShell eine forderungsbasierte SharePoint-Webanwendung
Stellen Sie sicher, dass die folgenden Mindestanforderungen erfüllt sind: Weitere Informationen finden Sie unter Add-SPShellAdmin.
Klicken Sie im Startmenüauf Alle Programme.
Klicken Sie auf Microsoft SharePoint 2010-Produkte.
Klicken Sie auf SharePoint 2010-Verwaltungsshell.
Erstellen Sie, wie im folgenden Beispiel gezeigt, an der Windows PowerShell-Eingabeaufforderung (d. h.PS C:\>) ein x509Certificate2-Objekt:
$cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("path to cert file")
Erstellen Sie eine Forderungszuordnung zur Verwendung im vertrauenswürdigen Authentifizierungsanbieter, wie im folgenden Beispiel gezeigt:
New-SPClaimTypeMapping "https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming
Erstellen Sie, wie im folgenden Beispiel gezeigt, einen vertrauenswürdigen Anmeldeanbieter, indem Sie zuerst einen Wert für den Bereichsparameter erstellen:
$realm = "urn:" + $env:ComputerName + ":domain-int"
Erstellen Sie wie im folgenden Beispiel einen Wert für den
signinurl
-Parameter, der auf die Sicherheitstokendienst-Webanwendung verweist:$signinurl = "https://test-2/FederationPassive/"
Erstellen Sie, wie im folgenden Beispiel gezeigt, den vertrauenswürdigen Anmeldeanbieter, indem Sie den gleichen
IdentifierClaim
-Wert wie in der Forderungszuordnung ($map1.InputClaimType
) verwenden:$ap = New-SPTrustedIdentityTokenIssuer -Name "WIF" -Description "Windows® Identity Foundation" -Realm $realm -ImportTrustCertificate $cert -ClaimsMappings $map1[,$map2..] -SignInUrl $signinurl -IdentifierClaim $map1.InputClaimType
Erstellen Sie wie im folgenden Beispiel eine Webanwendung, indem Sie zuerst einen Wert für das Anwendungspoolkonto (für den aktuellen Benutzer) erstellen:
$account = "DOMAIN\" + $env:UserName
Hinweis
Das Anwendungspoolkonto muss ein verwaltetes Konto sein. Verwenden Sie zum Erstellen eines verwalteten Kontos
New-SPManagedAccount
.Erstellen Sie wie im folgenden Beispiel einen Wert für die Webanwendungs-URL (
$webappurl = "https://" + $env:ComputerName
):$wa = New-SPWebApplication -name "Claims WIF" -SecureSocketsLayer -ApplicationPool "SharePoint SSL" -ApplicationPoolAccount $account -Url $webappurl -Port 443 -AuthenticationProvider $ap
Erstellen Sie wie im folgenden Beispiel eine Website, indem Sie zuerst ein Forderungsobjekt erstellen:
$claim = New-SPClaimsPrincipal -TrustedIdentityTokenIssuerr $ap -Identity $env:UserName
Erstellen Sie wie im folgenden Beispiel eine Website:
$site = New-SPSite $webappurl -OwnerAlias $claim.ToEncodedString() -template "STS#0"
Bearbeiten von Bindungen
Nachdem Sie eine forderungsbasierte SharePoint-Webanwendung erstellt haben, bearbeiten Sie die Bindungen.
So bearbeiten Sie Bindungen
Starten Sie den IIS-Manager, indem Sie an einer Eingabeaufforderung INETMGR eingeben.
Wechseln Sie in IIS zur Website Claims Web Application.
Klicken Sie im linken Bereich mit der rechten Maustaste auf Claims Web Application, und wählen Sie Bindungen bearbeiten aus.
Wählen Sie https aus, und klicken Sie auf Bearbeiten.
Wählen Sie unter SSL-Zertifikat eines der aufgelisteten Zertifikate aus.
Konfigurieren einer Webanwendung, die einen STS verwendet
Nachdem Sie eine forderungsbasierte SharePoint Foundation 2010-Webanwendung konfiguriert, die Bindungen bearbeitet und die Datei Web.config konfiguriert haben, können Sie das Verfahren in diesem Abschnitt verwenden, um eine Sicherheitstokendienst-Webanwendung zu konfigurieren.
So konfigurieren Sie eine Webanwendung, die einen STS verwendet
Öffnen Sie die Verwaltungskonsole der Active Directory-Verbunddienste 2.0 (Active Directory Federation Services, AD FS).
Erweitern Sie im linken Bereich die Option Richtlinie, und wählen Sie Vertrauende Seiten aus.
Klicken Sie im rechten Bereich auf Vertrauende Seite hinzufügen. Dadurch wird der Konfigurations-Assistent von Active Directory-Verbunddienste (AD FS) 2.0 geöffnet.
Klicken Sie auf der ersten Seite des Assistenten auf Start.
Wählen Sie Konfiguration der vertrauenden Seite manuell eingeben aus, und klicken Sie auf Weiter.
Geben Sie den Namen einer vertrauenden Seite ein, und klicken Sie auf Weiter.
Stellen Sie sicher, dass die Option für das Serverprofil von Active Directory-Verbunddienste 2.0 ausgewählt ist, und klicken Sie auf Weiter.
Klicken Sie auf Weiter, wenn Sie nicht vorhaben, ein Verschlüsselungszertifikat zu verwenden.
Wählen Sie die Option zur Aktivierung der Unterstützung für webbrowserbasierten Identitätsverbund aus.
Geben Sie den Namen der Webanwendungs-URL ein, und fügen Sie /_trust/ an (z. B. https://servername/_trust/). Klicken Sie auf Weiter.
Geben Sie einen Bezeichner ein, und klicken Sie auf Hinzufügen. Klicken Sie anschließend auf Weiter.
Klicken Sie auf der Zusammenfassungsseite auf Weiter, und klicken Sie dann auf Schließen. Dadurch wird die Regel-Editor-Verwaltungskonsole geöffnet. Konfigurieren Sie mithilfe dieser Konsole die Zuordnung von Forderungen von einer LDAP-Webanwendung zu SharePoint.
Erweitern Sie im linken Bereich die Option Neue Regel, und wählen Sie Vordefinierte Regel aus.
Wählen Sie Forderungen aus LDAP-Attributspeicher erstellen aus.
Wählen Sie im rechten Bereich in der Dropdownliste Attributspeicher den Eintrag für Active Directory-Benutzerkontenspeicher für Unternehmen aus.
Wählen Sie unter LDAP-Attribut den Eintrag sAMAccountName aus.
Wählen Sie unter Typ des ausgehenden Anspruchs den Eintrag E-Mail-Adresse aus.
Klicken Sie im linken Bereich auf Speichern.