Konfigurieren der Authentifizierung (Office SharePoint Server)

Inhalt dieses Kapitels:

• Konfigurieren des anonymen Zugriffs (Office SharePoint Server)

• Konfigurieren der Digestauthentifizierung (Office SharePoint Server)

• Konfigurieren der formularbasierten Authentifizierung (Office SharePoint Server)

• Konfigurieren der Web-SSO-Authentifizierung mithilfe von ADFS (Office SharePoint Server)

• Konfigurieren der Kerberos-Authentifizierung (Office SharePoint Server)

Mit Authentifizierung wird der Prozess der Überprüfung einer Clientidentität bezeichnet, die normalerweise mithilfe einer festgelegten Instanz durchgeführt wird. Mithilfe der Websiteauthentifizierung kann ein Benutzer, der auf Websiteressourcen zugreifen möchte, als authentifizierte Entität ermittelt werden. Eine Authentifizierungsanwendung erhält die Anmeldeinformationen eines Benutzers, der auf eine Website zugreift. Die Anmeldeinformationen können in verschiedenen Identifizierungsformen vorliegen, dazu zählen z. B. Benutzername und Kennwort. Mithilfe der Authentifizierungsanwendung werden die Anmeldeinformationen mit den Angaben der Authentifizierungsstelle verglichen. Handelt es sich um gültige Anmeldeinformationen, wird der Benutzer anhand seiner Anmeldedaten als authentifizierte Identität erkannt.

Office SharePoint Server-Authentifizierung

Um den geeignetsten Office SharePoint Server-Authentifizierungsmechanismus zu verwenden, berücksichtigen Sie die folgenden Punkte:

• Um einen Windows-Authentifizierungsmechanismus zu verwenden, müssen Sie eine Umgebung mit der Unterstützung von Benutzerkonten verwenden, die von einer vertrauenswürdigen Zertifizierungsstelle authentifiziert werden können.

• Wenn Sie einen Windows-Authentifizierungsmechanismus verwenden, werden vom Betriebssystem die Verwaltungsaufgaben für die Benutzeranmeldeinformationen übernommen. Falls Sie einen anderen Authentifizierungsanbieter als Windows verwenden, z. B. die Formularauthentifizierung, müssen Sie ein Verwaltungssystem für Anmeldeinformationen planen und implementieren. Zudem müssen Sie auch einen Speicherort für die Benutzeranmeldeinformationen festgelegen.

• Sie müssen möglicherweise ein Modell für Identitätswechsel/Delegierung implementieren, mit dem die Kontextinformationen des Benutzers in Bezug auf die Sicherheit auf Betriebssystemebene über die verschiedenen Ebenen übergeben werden können. Dadurch wird es dem Betriebssystem ermöglicht, für den Benutzer einen Identitätswechsel durchzuführen und die Sicherheitskontextinformationen des Benutzers an das nächste Subsystem zu downstreamen.

Bei Microsoft Office SharePoint Server handelt es sich um eine verteilte Anwendung, die in drei logische Ebenen unterteilt ist: die Front-End-Webserverebene, die Anwendungsserverebene und die Back-End-Datenbankebene. Bei jeder Ebene handelt es sich um ein vertrauenswürdiges Subsystem. Die Authentifizierung kann für den Zugriff auf jede Ebene erforderlich sein. Die Überprüfung der Anmeldeinformationen erfordert einen Authentifizierungsanbieter. Bei den Authentifizierungsanbietern handelt es sich um Softwarekomponenten, die einen bestimmten Authentifizierungsmechanismus unterstützen. Die Authentifizierung für Microsoft Office SharePoint Server 2007 basiert auf dem ASP.NET-Authentifizierungsmodell und beinhaltet drei Authentifizierungsanbieter:

• Windows-Authentifizierungsanbieter

• Anbieter für die Formularauthentifizierung

• Web-SSO-Authentifizierungsanbieter

Sie können für die Authentifizierung den Active Directory-Verzeichnisdienst verwenden oder eine Umgebung entwerfen, in der die Benutzeranmeldeinformationen überprüft und mit anderen Datenspeichern verglichen werden. Dazu gehören z. B. eine Microsoft SQL Server-Datenbank, ein Lightweight Directory Access-Protokollverzeichnis (Lightweight Directory Access Protocol, LDAP) oder ein beliebiges anderes Verzeichnis, zu dem ein ASP.NET 2.0-Mitgliedschaftsanbieter gehört. Der Mitgliedschaftsanbieter gibt den zu verwendenden Datenspeichertyp an. Der standardmäßige ASP.NET 2.0-Mitgliedschaftsanbieter verwendet eine SQL Server-Datenbank. Microsoft Office SharePoint Server 2007 enthält einen LDAP v3-Mitgliedschaftsanbieter, und ASP.NET 2.0 enthält einen SQL Server-Mitgliedschaftsanbieter.

Sie können auch mehrere Authentifizierungsanbieter bereitstellen, um z. B. den internen Zugriff auf das Intranet mithilfe der Windows-Authentifizierung und den externen Zugriff dagegen mithilfe der Formularauthentifizierung zu aktivieren. Beim Verwenden mehrerer Authentifizierungsanbieter müssen verschiedene Webanwendungen verwendet werden. Jeder Webanwendung muss eine festgelegte Zone und einem einzigen Authentifizierungsanbieter zugeordnet sein.

Die Authentifizierungsanbieter authentifizieren die Daten normalerweise mithilfe der Benutzer- und Gruppenanmeldeinformationen, die entweder in Active Directory, in einer SQL Server-Datenbank oder in einem Nicht-Active Directory-LDAP-Verzeichnisdienst (z. B. NDS) gespeichert sind. Weitere Informationen zu ASP.NET-Authentifizierungsanbieter finden Sie unter Konfigurieren einer ASP.NET-Anwendung für die Verwendung der Mitgliedschaft (https://go.microsoft.com/fwlink/?linkid=87014&clcid=0x407).

Windows-Authentifizierungsanbieter

Der Windows-Authentifizierungsanbieter unterstützt die folgenden Authentifizierungsmethoden:

• Anonyme Authentifizierung

  Mithilfe der anonymen Authentifizierung können Benutzer Ressourcen in öffentlichen Bereichen von Websites suchen, ohne Anmeldeinformationen zur Authentifizierung angeben zu müssen. Durch die Internetinformationsdienste (Internet Information Services, IIS) wird das Konto IUSR_Computername erstellt, um anonyme Benutzer zu authentifizieren, die Webinhalt abfragen. Mit dem Konto IUSR_Computername, wobei Computername der Name des Servers mit IIS ist, erhalten Benutzer im Kontext des IUSR-Kontos anonymen Zugriff auf die Ressourcen. Sie können den anonymen Benutzerzugriff zurücksetzen, sodass ein beliebiges gültiges Windows-Konto verwendet werden kann. In einer eigenständigen Umgebung befindet sich das Konto IUSR_Computername auf dem lokalen Server. Wenn es sich bei dem Server um einen Domänencontroller handelt, wird das Konto IUSR_Computername für die Domäne definiert. Standardmäßig ist der anonyme Zugriff beim Erstellen einer neuen Webanwendung deaktiviert. Damit wird Ihnen eine zusätzliche Sicherheitsstufe geboten, denn in IIS werden anonyme Zugriffsanforderungen abgelehnt, bevor diese verarbeitet werden. Es muss jedoch der anonyme Zugriff deaktiviert sein.

• Standardauthentifizierung

  Bei der Standardauthentifizierung sind zuvor zugewiesene Windows-Kontoanmeldeinformationen für den Benutzerzugriff erforderlich. Mithilfe der Standardauthentifizierung kann ein Webbrowser Anmeldeinformationen bereitstellen, wenn während einer HTTP-Transaktion eine Anforderung erfolgt. Da Benutzeranmeldeinformationen für Netzwerkübertragungen nicht verschlüsselt, sondern im Nur-Text-Format über das Netzwerk gesendet werden, wird von der Standardauthentifizierung über eine ungesicherte HTTP-Verbindung abgeraten. Aktivieren Sie zum Verwenden der Standardauthentifizierung die SSL-Verschlüsselung (Secure Sockets Layer).

• Digestauthentifizierung

  Die Digestauthentifizierung bietet dieselbe Funktionalität wie die Standardauthentifizierung, allerdings mit erhöhter Sicherheit. Benutzeranmeldeinformationen werden verschlüsselt, statt im Nur-Text-Format über das Netzwerk gesendet zu werden. Benutzeranmeldeinformationen werden als MD5-Nachrichtenhash gesendet, in dem der ursprüngliche Benutzername und das ursprüngliche Kennwort nicht entschlüsselt werden können. Die Digestauthentifizierung verwendet ein Abfrage/Rückmeldung-Protokoll; dies bedeutet, dass der Authentifizierungsanfordernde als Rückmeldung auf eine Abfrage vom Server gültige Anmeldeinformationen angeben muss. Zur Authentifizierung beim Server muss der Client in einer Rückmeldung einen MD5-Nachrichtenhash bereitstellen, in dem eine freigegebene geheime Kennwortzeichenfolge enthalten ist. MD5-Nachrichtenhashalgorithmus wird detailliert auf der Website "Internet Engineering Task Force (IETF)" unter "RFC 1321" (http://www.ietf.org/) beschrieben.

  Beachten Sie zum Verwenden der Digestauthentifizierung die folgenden Anforderungen:

  • Der Benutzer und der IIS-Server müssen Mitglied derselben Domäne sein oder als vertrauenswürdig behandelt werden.

  • Benutzer benötigen ein gültiges Windows-Benutzerkonto, das in Active Directory auf dem Domänencontroller gespeichert ist.

  • In der Domäne muss ein Microsoft Windows Server 2003-Domänencontroller verwendet werden.

  • Sie müssen die Datei IISSuba.dll auf dem Domänencontroller installieren. Diese Datei wird während des Windows Server 2003-Setups automatisch kopiert.

• Integrierte Windows-Authentifizierung

  Die integrierte Windows-Authentifizierung kann entweder mithilfe von NTLM oder mithilfe einer eingeschränkten Kerberos-Delegierung implementiert werden. Bei der eingeschränkten Kerberos-Delegierung handelt es sich um die sicherste Authentifizierungsmethode. Die integrierte Windows-Authentifizierung ist dagegen in einer Intranetumgebung geeignet, in der die Benutzer über Windows-Domänenkonten verfügen. Bei der integrierten Windows-Authentifizierung versucht der Browser, die aktuellen Benutzeranmeldeinformationen der Domänenanmeldung zu verwenden. Bleibt der Versuch erfolglos, wird der Benutzer aufgefordert, den Benutzernamen und das Kennwort anzugeben. Wenn Sie die integrierte Windows-Authentifizierung verwenden, wird das Kennwort des Benutzers nicht an den Server übermittelt. Hat der Benutzer sich an einem lokalen Computer als Domänenbenutzer angemeldet, so entfällt beim Zugriff auf einen Netzwerkcomputer in dieser Domäne eine weitere Authentifizierung.

• Kerberos-Authentifizierung

  Diese Methode ist für Server geeignet, die Active Directory unter Microsoft Windows 2000 Server oder aktuelleren Windows-Versionen ausführen. Bei Kerberos handelt es sich um ein Sicherheitsprotokoll, das das Authentifizierungs-Ticketing unterstützt. Ein Kerberos-Authentifizierungsserver erteilt ein Ticket als Antwort auf eine Authentifizierungsanforderung eines Clientcomputers mit gültigen Benutzeranmeldeinformationen. Der Clientcomputer verwendet das Ticket für den Zugriff auf Netzwerkressourcen. Zum Aktivieren der Kerberos-Authentifizierung müssen der Client- und Servercomputer über eine vertrauenswürdige Verbindung zur Schlüsselverteilungscenter-Domäne (Key Distribution Center, KDC) verfügen. Darüber hinaus müssen Client- und Servercomputer auf Active Directory zugreifen können. Weitere Informationen zum Konfigurieren eines virtuellen Servers, um die Kerberos-Authentifizierung zu verwenden, finden Sie im Microsoft Knowledge Base-Artikel 832769: Konfigurieren eines virtuellen Windows SharePoint Services-Servers zur Verwendung von Kerberos-Authentifizierung und Wechseln von Kerberos-Authentifizierung zurück zur NTLM-Authentifizierung (https://go.microsoft.com/fwlink/?linkid=115572&clcid=0x407).

• Eingeschränkte Kerberos-Delegierung

  Bei der eingeschränkten Authentifizierung handelt es sich um die sicherste Konfiguration für die Kommunikation zwischen mehreren Anwendungsebenen. Sie können eine eingeschränkte Delegierung verwenden, um die Originalidentität des Aufrufers über die verschiedenen Anwendungsebenen hinweg zu übergeben: beispielsweise von einem Webserver an einen Anwendungsserver und dann wiederum an einen Datenbankserver. Die eingeschränkte Kerberos-Delegierung ist zudem die sicherste Konfiguration für den Zugriff von Anwendungsservern auf Back-End-Datenquellen. Der Identitätswechsel ermöglicht es, dass ein Thread in einem Sicherheitskontext ausgeführt wird. Bei dem Sicherheitskontext handelt es sich um einen anderen Prozesskontext, als der, in dem der Thread ausgeführt wird. In den meisten Serverfarmbereitstellungen, in denen Front-End-Webserver und Anwendungsserver auf verschiedenen Computern ausgeführt werden, erfordert der Identitätswechsel eine eingeschränkte Kerberos-Delegierung.

• Identitätswechsel und Kerberos-Delegierung

  Die Kerberos-Delegierung ermöglicht es, dass eine authentifizierte Entität die Anmeldeinformationen eines Benutzers oder Computers in derselben Gesamtstruktur übernimmt. Ist der Identitätswechsel aktiviert, so wird es der imitierenden Entität ermöglicht, die Anmeldeinformationen anstelle des imitierten Benutzers oder Computers zum Ausführen von Aufgaben zu verwenden.

  Beim Identitätswechsel können ASP.NET-Anwendungen mithilfe der Anmeldeinformationen anderer authentifizierter Entitäten ausgeführt werden. Standardmäßig ist der ASP.NET-Identitätswechsel deaktiviert. Ist der Identitätswechsel für eine ASP.NET-Anwendung aktiviert, dann kann diese Anwendung mithilfe der Anmeldeinformationen der Zugriffstoken ausgeführt werden, die von IIS an ASP.NET übergeben werden. Bei diesem Token kann es sich entweder um ein authentifiziertes Benutzertoken handelt, wie z. B. ein Token zum Anmelden als Windows-Benutzer, oder um ein Token, das von IIS für anonyme Benutzer bereitgestellt wurde (typischerweise die Identität IUSR_Computername).

  Wenn der Identitätswechsel aktiviert ist, wird nur der Anwendungscode im Kontext des imitierten Benutzers ausgeführt. Anwendungen werden kompiliert, und die Konfigurationsinformationen werden mithilfe der Identität des ASP.NET-Prozesses geladen.

  Weitere Informationen zum Identitätswechsel finden Sie unter Identitätswechsel in ASP.NET (https://go.microsoft.com/fwlink/?linkid=115573&clcid=0x407).

• NTLM-Authentifizierung

  Diese Methode ist für Computer unter Windows Server geeignet, die kein Active Directory auf einem Domänencontroller ausführen. Die NTLM-Authentifizierung ist für Netzwerke erforderlich, für die Authentifizierungsanforderungen von Clientcomputern empfangen werden, die die Kerberos-Authentifizierung nicht unterstützen. Bei NTLM handelt es sich um ein Sicherheitsprotokoll, das die Verschlüsselung und Übertragung von Benutzeranmeldeinformationen in einem Netzwerk unterstützt. NTLM basiert auf der Verschlüsselung von Benutzernamen und Kennwörtern vor der Übermittlung im Netzwerk. Die NTLM-Authentifizierung ist für Netzwerke erforderlich, in denen der Server Anforderungen von Clientcomputern erhält, die die Kerberos-Authentifizierung nicht unterstützen. NTLM ist das Authentifizierungsprotokoll, das unter Windows NT Server und in Windows 2000 Server-Arbeitsgruppenumgebungen sowie in vielen Active Directory-Bereitstellungen verwendet wird. Zudem wird NTLM in gemischten Windows 2000 Active Directory-Domänenumgebungen verwendet, in denen Windows NT-Systeme authentifiziert werden müssen. Wenn Windows 2000 Server in den einheitlichen Modus konvertiert wird, in dem keine kompatiblen Windows NT-Domänencontroller vorhanden sind, ist NTLM deaktiviert. In diesem Fall wird Kerberos zum standardmäßigen Authentifizierungsprotokoll für das Unternehmen.

Anbieter für die Formularauthentifizierung

Der Anbieter für die Formularauthentifizierung unterstützt die Authentifizierung mithilfe von Anmeldeinformationen, die in Active Directory, in einer Datenbank, wie z. B. einer SQL Server-Datenbank, oder in einem LDAP-Datenspeicher gespeichert sind, wie z. B. Novell eDirectory, NDS (Novell Directory Services) oder Sun ONE. Die Formularauthentifizierung ermöglicht die Benutzerauthentifizierung basierend auf der Überprüfung von Anmeldeinformationen, die in einem Anmeldeformular eingegeben werden. Nicht authentifizierte Anforderungen werden zu einer Anmeldeseite umgeleitet, auf der der Benutzer gültige Anmeldeinformationen eingeben muss und das Formular übermittelt. Wenn die Anforderung authentifiziert werden kann, wird ein Cookie ausgestellt, das einen Schlüssel zum Wiederherstellen der Identität für nachfolgende Anforderungen enthält.

Authentifizierungsanbieter für die einmalige Webanmeldung (SSO)

Web-SSO wird auch als Vebundauthentifizierung oder als delegierte Authentifizierung bezeichnet, da die sichere Kommunikation über Netzwerkgrenzen hinweg unterstützt wird.

Bei SSO handelt es sich um eine Authentifizierungsmethode, mit der es ermöglicht wird, Zugriff auf zahlreiche Sicherheitsressourcen nach einer einzigen erfolgreichen Authentifizierung von Benutzeranmeldeinformationen zu gewähren. Es gibt verschiedene Implementierungsmöglichkeiten der SSO-Authentifizierung. Die Web-SSO-Authentifizierung unterstützt die sichere Kommunikation über Netzwerkgrenzen hinweg, indem Benutzer in einer Organisation für den Zugriff auf Webanwendungen in einer anderen Organisation authentifiziert wurden. Die Active Directory-Verbunddienste (Active Directory Federation Services, AD FS) unterstützen Web-SSO. In einem AD FS-Szenario mit zwei Organisationen können beide Organisationen eine Verbundvertrauensstellung erstellen, mit der es Benutzern der einen Organisation ermöglicht wird, auf webbasierte Anwendungen zuzugreifen, die von einer anderen Organisation gesteuert werden. Weitere Informationen zum Verwenden von AD FS, um die Web-SSO-Authentifizierung zu konfigurieren, finden Sie unter Konfigurieren der Web-SSO-Authentifizierung mithilfe von ADFS (Office SharePoint Server). Informationen zum Ausführen dieses Verfahrens mithilfe des Befehlszeilentools Stsadm finden Sie unter Authentifizierung: Stsadm-Vorgang (Office SharePoint Server).

Herunterladen dieses Buchs

Dieses Thema wurde zum leichteren Lesen und Ausdrucken in das folgende Buch zum Herunterladen aufgenommen:

• Bereitstellung für Office SharePoint Server 2007

Die vollständige Liste der verfügbaren Bücher finden Sie in der Technischen Bibliothek zu Office SharePoint Server.