Authentifizierung, Autorisierung und Sicherheit in SharePoint
Neuerungen in SharePoint bei Authentifizierung, Autorisierung und Sicherheit
Nachfolgend sind einige der optimierten Features von SharePoint aufgeführt:
Benutzeranmeldung
SharePoint bietet weiter Unterstützung für den anspruchsbasierten und klassischen Authentifizierungsmodus. Die anspruchsbasierte Authentifizierung ist in SharePoint die Standardeinstellung. Der klassische Authentifizierungsmodus gilt als überholt und kann nur noch mithilfe von Windows PowerShell verwaltet werden. Für zahlreiche Features in SharePoint ist der anspruchsbasierte Modus erforderlich.
Die MigrateUsers-Methode in SharePoint 2010 gilt nun als überholt und eignet sich nicht mehr zum ordnungsgemäßen Migrieren von Konten. Verwenden Sie hierzu das neue Windows PowerShell-Cmdlet
Convert-SPWebApplication
. Weitere Informationen finden Sie unter Migrieren vom klassischen Modus zur anspruchsbasierten Authentifizierung in SharePoint.Anspruchsanbieter müssen nicht mehr registriert werden. Anspruchstypen müssen jedoch vorab konfiguriert werden. Sie können die Zeichen für den Anspruchstyp wählen, und für Anspruchstypen gibt es keine zwingende Reihenfolge.
SharePoint verfolgt FedAuth-Cookies im neuen verteilten Cachedienst mithilfe von Windows Server AppFabric-Cachefeatures nach.
Es erfolgt eine wesentlich umfangreichere Protokollierung, die Sie bei der Behandlung von Authentifizierungsproblemen unterstützt.
Authentifizierung von Diensten und Apps
In SharePoint können Sie nun Apps für SharePoint erstellen. Eine SharePoint-Add-In hat eine eigene Identität und ist einem Sicherheitsprinzipal zugeordnet, der als App-Prinzipal bezeichnet wird. Wie Benutzer und Gruppen verfügt ein App-Prinzipal über bestimmte Berechtigungen und Rechte.
In SharePoint stellt der Server-zu-Server-Sicherheitstokendienst (Security Token Service, STS) Zugriffstoken für die Server-zu-Server-Authentifizierung bereit. Der Server-zu-Server-STS ermöglicht temporären Zugriffstoken den Zugriff auf andere Anwendungsdienste wie Exchange Server 2013 und Microsoft Lync 2013 sowie Apps für SharePoint.
Authentifizierung und Autorisierung
Von SharePoint wird die Sicherheit für den Benutzerzugriff auf Website-, Listen, Listenordner- oder Bibliotheksordner- und Elementebene unterstützt. Die Sicherheitsverwaltung ist auf allen Ebenen rollenbasiert, sodass eine zusammenhängende Sicherheitsverwaltung in der SharePoint-Plattform mit einer konsistenten rollenbasierten Benutzeroberfläche und einem Objektmodell für das Zuweisen von Berechtigungen für Objekte bereitgestellt wird. Daher implementiert die Sicherheit auf Listenebene, Ordnerebene oder Elementebene dasselbe Benutzermodell wie die Sicherheit auf Websiteebene, sodass das Verwalten von Benutzerrechten und das Gruppieren von Rechten auf einer Website vereinfacht wird. SharePoint bietet auch Unterstützung für eindeutige Berechtigungen in den Ordnern und Elementen von Listen und Dokumentbibliotheken.
Hinweis
Informationen zur Autorisierung im Zusammenhang mit SharePoint-Add-Ins finden Sie unter Autorisierung und Authentifizierung von SharePoint-Add-Ins.
Autorisierung bezieht sich auf den Prozess, mit dem SharePoint Sicherheit für Websites, Listen, Ordner oder Elemente bereitstellt, indem bestimmt wird, welche Benutzer bestimmte Aktionen auf ein angegebenes Objekt anwenden dürfen. Der Autorisierungsprozess setzt voraus, dass der Benutzer bereits authentifiziert wurde, was sich auf den Prozess bezieht, mit dem SharePoint den aktuellen Benutzer identifiziert. SharePoint implementiert nicht sein eigenes System für die Authentifizierung oder Identitätsverwaltung, sondern vertraut stattdessen auf externe Systeme, entweder die Windows-Authentifizierung oder ein anderes System.
In SharePoint werden die folgenden Typen von Authentifizierung unterstützt:
Windows: Alle Integrationsoptionen in Microsoft-Internetinformationsdienste (Internet Information Services, IIS) und in der Windows-Authentifizierung, einschließlich Standard, Digest, Zertifikate, Windows NT LAN Manager (NTLM) und Kerberos werden unterstützt. Die Windows-Authentifizierung lässt zu, dass IIS die Authentifizierung für SharePoint durchführt.
Informationen zum Anmelden bei SharePoint mithilfe des Windows-Anspruchsmodus finden Sie unter Eingehende Ansprüche: Anmelden bei SharePoint.
Wichtig
Weitere Informationen zum Aufheben des Identitätswechsels finden Sie unter Vermeiden des Aussetzens des Identitätswechsels durch den aufrufenden Benutzer.
ASP.NET-Formulare: Ein nicht von Windows bereitgestelltes Identitätsverwaltungssystem, das das austauschbare, auf ASP.NET-Formularen basierte Authentifizierungssystem verwendet, wird unterstützt. Mit diesem Modus kann SharePoint mit einer Vielzahl von Identitätsverwaltungssystemen zusammenarbeiten, einschließlich extern definierter Gruppen oder Rollen wie Lightweight Directory Access-Protokoll (LDAP) und schlanker Datenbankidentitäts-Verwaltungssysteme. Dank der Formularauthentifizierung kann ASP.NET die Authentifizierung für SharePoint durchführen, wobei häufig eine Umleitung zu einer Anmeldeseite eingeschlossen ist. In SharePoint werden ASP.NET-Formulare nur bei der anspruchsbasierten Authentifizierung unterstützt. Ein Formularanbieter muss innerhalb einer Webanwendung registriert sein, die für Ansprüche konfiguriert ist.
Informationen zum Anmelden bei SharePoint mithilfe von ASP.NET passiven Mitgliedschafts- und Rollenanmeldung finden Sie unter Eingehende Ansprüche: Anmelden bei SharePoint.
Hinweis
SharePoint unterstützt nicht die Arbeit mit einem Mitgliedschaftsanbieter, bei dem die Groß-/Kleinschreibung beachtet wird. Es verwendet SQL-Speicher ohne Beachtung der Groß-/Kleinschreibung für alle Benutzer in der Datenbank, unabhängig vom Mitgliedschaftsanbieter.
Anspruchsbasierte Identität und Authentifizierung
Die anspruchsbasierte Identität ist ein Identitätsmodell in SharePoint. Dieses Identitätsmodell umfasst Features wie die Authentifizierung von Benutzern sowohl von Systemen, die auf Windows basieren, als auch von solchen, die nicht auf Windows basieren, mehrere Authentifizierungstypen, stärkere Authentifizierung in Echtzeit, eine größere Palette an Prinzipaltypen und die Delegierung von Benutzeridentitäten zwischen Anwendungen.
Wenn sich ein Benutzer an SharePoint anmeldet, wird das Benutzertoken überprüft und anschließend zum Anmelden an SharePoint verwendet. Das Benutzertoken ist ein von einem Anspruchsanbieter ausgegebenes Sicherheitstoken. Die folgenden Anmelde- oder Zugriffsmodi werden angeboten:
Anmeldung im Windows-Forderungsmodus (Standard)
Passiver SAML-Anmeldungsmodus
Passive Anmeldung von Mitgliedern und Rollen in ASP.NET
Anmeldung im klassischen Windows-Modus (in dieser Version veraltet)
Hinweis
Weitere Informationen zur Anmeldung bei SharePoint und zu den verschiedenen Anmeldemodi finden Sie unter Eingehende Ansprüche: Anmelden bei SharePoint.
Wenn Sie die Ansprüche unterstützende Anwendungen erstellen, bietet dem Benutzer eine Identität für Ihre Anwendung als eine Reihe von Ansprüchen aus. Ein Anspruch kann z. B. der Benutzername sein, ein anderer eine E-Mail-Adresse. Der Grundgedanke ist die Konfiguration eines externen Identitätssystems, damit die Anwendung alle benötigten Informationen erhält, um bei jeder Anfrage alles über den Benutzer zu wissen, sowie eine kryptografische Garantie dahingehend zu geben, dass die von der Anwendung empfangenen Identitätsdaten aus einer vertrauenswürdigen Quelle stammen.
Bei diesem Modell ist eine einmalige Anmeldung viel leichter durchzusetzen, und Ihre Anwendung ist nicht mehr für Folgendes zuständig:
Authentifizierung von Benutzern
Speicherung von Benutzerkonten und Kennwörtern
Aufruf von Unternehmensverzeichnissen zum Nachschlagen von Benutzeridentitätsdetails
Integration mit Identitätssystemen anderer Plattformen oder Unternehmen
Bei diesem Modell trifft die Anwendung Entscheidungen zur Identität basierend auf den vom Benutzer übermittelten Ansprüchen. Hierbei kann es sich von einer einfachen Anwendungspersonalisierung mit dem Vornamen des Benutzers bis zur Autorisierung des Benutzers für den Zugriff auf hochwertigere Features und Ressourcen in der Anwendung um alles Mögliche handeln.
Hinweis
Weitere Informationen zu anspruchsbasierten Identitäts- und Anspruchsanbietern finden Sie unter Anspruchsbasierte Identität und Konzepte in SharePoint und Anspruchsanbieter in SharePoint.
Formularbasierte Authentifizierung
Die formularbasierte Authentifizierung stellt eine benutzerdefinierte Identitätsverwaltung in SharePoint bereit, indem ein Mitgliedschaftsanbieter implementiert wird, der die Schnittstellen zum Identifizieren und Authentifizieren einzelner Benutzer definiert, und ein Rollen-Manager, der die Schnittstellen zum Gruppieren einzelner Benutzer in logische Gruppen und Rollen definiert. In SharePoint muss ein Mitgliedschaftsanbieter die erforderliche System.Web.Security.Membership.ValidateUser-Methode implementieren. Wenn ein Benutzername angegeben wird, gibt das Rollenanbietersystem eine Liste der Rollen zurück, zu denen der Benutzer gehört.
Der Mitgliedschaftsanbieter ist für die Überprüfung der Anmeldeinformationen mithilfe der System.Web.Security.Membership.ValidateUser-Methode (jetzt in SharePoint erforderlich) verantwortlich. Das tatsächliche Benutzertoken wird jedoch von einem Sicherheitstokendienst (Security Token Service, STS) erstellt. Der STS erstellt das Benutzertoken aus dem vom Mitgliedschaftsanbieter überprüften Benutzernamen und aus der Menge der dem Benutzernamen zugeordneten Gruppenmitgliedschaften, die vom Mitgliedschaftsanbieter bereitgestellt werden.
Hinweis
Weitere Informationen zu STS finden Sie unter Anspruchsbasierte Identität und Konzepte in SharePoint.
Der Rollen-Manager ist optional. Falls ein benutzerdefiniertes Authentifizierungssystem Gruppen nicht unterstützt, ist auch kein Rollen-Manager erforderlich. SharePoint unterstützt einen Mitgliedschaftsanbieter und einen Rollen-Manager pro URL-Zone ( SPUrlZone ). Den ASP.NET-Formularrollen sind keine inhärenten Rechte zugeordnet. Stattdessen weist SharePoint den Formularrollen Rechte über seine Richtlinien und Autorisierung zu. In SharePoint ist die formularbasierte Authentifizierung in das anspruchsbasierte Identitätsmodell integriert. Falls Sie eine zusätzliche Erweiterung benötigen, um die Grenze von einem Rollenanbieter pro URL-Zone zu umgehen, können Sie auf Anspruchsanbieter vertrauen.
Hinweis
Weitere Informationen zu anspruchsbasierten Identitäts- und Anspruchsanbietern finden Sie unter Anspruchsbasierte Identität und Konzepte in SharePoint und Anspruchsanbieter in SharePoint.
Bei der passiven Anmeldung von Mitgliedern und Rollen in ASP.NET erfolgt die Anmeldung durch das Umleiten des Clients an eine Webseite, auf der die ASP.NET-Anmeldesteuerelemente gehostet sind. Nachdem das Identitätsobjekt, das eine Benutzeridentität darstellt, erstellt wurde, konvertiert SharePoint es in ein ClaimsIdentity-Objekt (das eine anspruchsbasierte Darstellung eines Benutzers darstellt).
Hinweis
Weitere Informationen zum Anmelden bei SharePoint finden Sie unter Eingehende Ansprüche: Anmelden bei SharePoint.
SharePoint verwendet die standardmäßige ASP.NET-Rollenanbieterschnittstelle zum Sammeln von Gruppeninformationen zum aktuellen Benutzer. Zum Zweck der Authentifizierung sind Rollen und Gruppen dasselbe: eine Möglichkeit zum Gruppieren von Benutzern in logische Gruppen für die Autorisierung. Jede ASP.NET-Rolle wird als Domänengruppe von SharePoint behandelt.
Informationen zum austauschbaren Authentifizierungsframework von ASP.NET finden Sie in der ASP.NET-Entwicklerdokumentation.
Hinweis
Weitere Informationen zur formularbasierten Authentifizierung finden Sie unter Formularbasierte Authentifizierung in SharePoint-Produkten und -Technologien (Teil 1): Einführung.