(0) exportieren Drucken
Alle erweitern

Neuigkeiten bei der Authentifizierung für SharePoint 2013

SharePoint 2013
 

Gilt für: SharePoint Server 2013 Standard, SharePoint Server 2013 Enterprise, SharePoint Foundation 2013

Letztes Änderungsdatum des Themas: 2014-09-13

Zusammenfassung:SharePoint 2013 enthält Verbesserungen der Anspruchsinfrastruktur und Authentifizierungsfeatures für neue Server-zu-Server- und App-Authentifizierungsszenarien.

Die in SharePoint 2013 enthaltenen Verbesserungen bei der Authentifizierung vereinfachen den Einsatz anspruchsbasierter Authentifizierung und machen für Exchange Server 2013, Lync Server 2013 und Apps im SharePoint Store oder App-Katalog neue Szenarien und Funktionen möglich. Durch Einsatz und Erweiterung des Webauthentifizierungsprotokolls Open Authorization 2.0 (OAuth 2.0) verfügt SharePoint 2013 nun über Unterstützung für Server-zu-Server-Authentifizierung und App-Authentifizierung. OAuth ist ein Protokoll nach Branchenstandard, das temporäre, weiterleitungsbasierte Autorisierung bereitstellt. Ein Benutzer oder eine Webanwendung, die im Auftrag eines Benutzers ausgeführt wird, kann Autorisierung anfordern, um vorübergehenden Zugriff auf angegebene Netzwerkressourcen von einem Ressourcenbesitzer zu erhalten.

OAuth-Unterstützung in SharePoint 2013 ermöglicht es Benutzern, Apps im SharePoint Store und App-Katalog Zugriff auf angegebene, geschützte Benutzerressourcen und Daten zu gewähren (einschließlich Kontaktlisten, Dokumente, Fotos und Videos), ohne dass die App Anmeldeinformationen des Benutzers dafür abrufen, speichern oder übermitteln muss. OAuth ermöglicht es Apps und Diensten, im Auftrag von Benutzern zu agieren, um eingeschränkten Zugriff auf SharePoint-Ressourcen zu erhalten. So gewährt ein Benutzer möglicherweise einer App Berechtigungen für den Zugriff auf einen bestimmten Ordner in einer Dokumentbibliothek. Dadurch kann eine App, wie z. B. eine App zum Drucken von Fotos eines Drittanbieters, auf Anforderung des Benutzers auf die Dateien im angegebenen Ordner zugreifen und diese kopieren, ohne dazu die Anmeldeinformationen des Benutzerkontos verwenden oder überprüfen zu müssen.

Benutzerauthentifizierung in SharePoint 2013 ist das Verfahren zum Überprüfen der Identität eines Benutzers, der Zugriff auf eine SharePoint-Webanwendung anfordert. Ein Authentifizierungsanbieter gibt ein Sicherheitstoken an den authentifizierten Benutzer aus, das eine Reihe anspruchsbasierter Assertionen über den Benutzer kapselt und das verwendet wird, um einen Satz von Berechtigungen zu überprüfen, die dem Benutzer zugewiesen wurden. Benutzerautorisierung in SharePoint 2013 ist das Verfahren, mit dem ein Benutzer festgestellt wird, der definierte Vorgänge an einer Ressource innerhalb einer SharePoint-Webanwendung ausführen kann. SharePoint 2013 unterstützt Benutzerauthentifizierung basierend auf den folgenden Methoden:

  • Windows-Ansprüche

  • SAML-basierte Ansprüche (Security Assertion Markup Language)

  • Formularbasierte Authentifizierungsansprüche

Diese anspruchsbasierten Authentifizierungsmethoden gelten jetzt als die empfohlenen Authentifizierungsmethoden für SharePoint 2013.

Die App-Authentifizierungs- und Server-zu-Server-Authentifizierungsfeatures von SharePoint 2013 erfordern anspruchsbasierte Authentifizierung. Daher ist anspruchsbasierte Authentifizierung die Standardeinstellung für neue Webanwendungen in SharePoint 2013. Wenn Sie eine neue Webanwendung in der Zentraladministration erstellen, können Sie nur Authentifizierungsmethoden für anspruchsbasierte Authentifizierung angeben. Auch wenn der klassische Windows-Authentifizierungsmodus in SharePoint 2013 noch verfügbar ist und mit Windows PowerShell konfiguriert werden kann, empfehlen wir, anspruchsbasierte Authentifizierung zu verwenden. Der klassische Windows-Authentifizierungsmodus gilt in SharePoint 2013 als veraltet.

SharePoint 2013 enthält auch die folgenden Verbesserungen der Anspruchsauthentifizierungsinfrastruktur:

  • Einfache Migration vom klassischen Modus zum Windows-basierten Anspruchsmodus mit dem neuen Windows PowerShell-Cmdlet Convert-SPWebApplication

    Die Migration kann für jede Inhaltsdatenbank und jede Webanwendung ausgeführt werden. In SharePoint 2010-Produkte konnte Migration im Gegensatz dazu nur für jede Webanwendung ausgeführt werden. Weitere Informationen finden Sie unter Migrieren von der klassischen Authentifizierung zur anspruchsbasierten Authentifizierung in SharePoint 2013.

  • Anmeldetoken werden jetzt im neuen Dienst für verteilten Cache zwischengespeichert.

    SharePoint 2013 verwendet den neuen Dienst für verteilten Cache, um Anmeldetoken zwischenzuspeichern. In SharePoint 2010-Produkte wird das Anmeldetoken im Speicher der einzelnen Front-End-Webserver gespeichert. Bei jedem Zugriff eines Benutzers auf einen bestimmten Front-End-Webserver muss sich der Benutzer authentifizieren. Wenn Sie Netzwerklastenausgleichsmodule in den Web-Front-Ends verwenden, müssen sich die Benutzer für jeden Front-End-Webserver authentifizieren, auf den hinter dem Lastenausgleichsmodul zugegriffen wird, wodurch möglicherweise häufig erneute Authentifizierungen erforderlich sind. Um die erneuten Authentifizierungen und die Verzögerungen dadurch zu vermeiden, empfiehlt es sich, Lastenausgleichsaffinität (auch "Sticky Sessions" genannt) zu aktivieren und zu konfigurieren. Durch das Speichern der Anmeldetoken im Dienst für verteilten Cache in SharePoint 2013 müssen Sie keine Affinität mehr für Ihre Lastenausgleichslösung konfigurieren. Durch den dedizierten Cachedienst gibt es weiterhin Vorteile bei der horizontalen Skalierung und geringere Speicherauslastung der Web-Front-Ends.

  • Umfangreichere Protokollierung vereinfacht die Behandlung von Authentifizierungsproblemen

    SharePoint 2013 verfügt über umfangreichere Protokollierung, die Sie bei der Behandlung von Authentifizierungsproblemen unterstützt. Im Folgenden sind einige Beispiele der verbesserten Protokollierung aufgeführt:

    • Separate Protokolle in Verbindung mit Anspruchskategorien für jeden Authentifizierungsmodus

    • Informationen über das Hinzufügen und Entfernen von FedAuth-Cookies aus dem Dienst für verteilten Cache

    • Informationen über die Ursachen dafür, dass ein FedAuth-Cookie nicht verwendet werden konnte, wie z. B. Cookieablauf oder Entschlüsselungsfehler

    • Informationen über die Weiterleitungsziele der Authentifizierungsanfragen

    • Informationen über Fehler bei der Benutzermigration in einer bestimmten Websitesammlung

In SharePoint 2013 wurde OAuth durch die Implementierung eines Server-zu-Server-Authentifizierungsprotokolls erweitert, das von Diensten wie SharePoint 2013 verwendet werden kann, um andere Dienste wie Exchange Server 2013 oder Lync Server 2013 bzw. Dienste zu authentifizieren, die mit dem Server-zu-Server-Authentifizierungsprotokoll kompatibel sind.

SharePoint 2013 verfügt über einen dedizierten lokalen Server-zu-Server-Sicherheitstokendienst (STS), der Server-zu-Server-Sicherheitstoken bereitstellt, die Identitätsansprüche enthalten, um serverübergreifend authentifizierten Zugriff zu ermöglichen. Diese Benutzeridentitätsansprüche werden von dem anderen Dienst verwendet, um den Benutzer mit seinem eigenen Identitätsanbieter abzugleichen. Eine Vertrauensstellung zwischen dem lokalen STS (dem SharePoint 2013-Server-zu-Server-STS) und anderen Server-zu-Server-kompatiblen Diensten (dem Exchange Server 2013 oder Lync Server 2013-Server-zu-Server-STS) ist der Schlüssel zu Server-zu-Server-Funktionalität. Bei lokalen Bereitstellungen konfigurieren Sie den JSON-Metadatenendpunkt (JavaScript Object Notation) des anderen Server-zu-Server-kompatiblen Diensts, um diese Vertrauensstellung zu ermöglichen. Bei Onlinediensten agiert eine Instanz des Azure-Zugriffssteuerungsdienst (ACS) als Vertrauensbroker, um serverübergreifende Kommunikation zwischen den drei Servertypen zu ermöglichen.

Der neue Server-zu-Server-STS in SharePoint 2013 gibt Zugriffstoken für die Server-zu-Server-Authentifizierung aus. In SharePoint 2013 (und auch in SharePoint 2010-Produkte) werden vertrauenswürdige Identitätsanbieter unterstützt, die mit dem WS-Federation-Protokoll kompatibel sind. Der neue Server-zu-Server-STS in SharePoint 2013 führt jedoch nur die Funktionen aus, mit denen temporäre Zugriffstoken auf andere Dienste wie Exchange Server 2013 und Lync Server 2013 zugreifen können. Der Server-zu-Server-STS wird nicht zur Benutzerauthentifizierung verwendet und wird nicht auf der Benutzeranmeldeseite, der Benutzeroberfläche des Authentifizierungsanbieters in der Zentraladministration oder in der Personenauswahl in SharePoint 2013-Produkte aufgeführt.

SharePoint 2013 verwendet OAuth 2.0 zum Autorisieren von App-Anfragen auf SharePoint-Ressourcen im SharePoint Store und App-Katalog im Auftrag eines Benutzers. Der Benutzer gewährt Apps bei deren Installation im SharePoint Store und App-Katalog Zugriff auf SharePoint-Ressourcen im Auftrag des Benutzers. Beispielsweise installiert ein Benutzer eine App aus dem SharePoint Store. Eine SharePoint-Website enthält einen eingebetteten HTML-Inlineframe (IFRAME), der von der App gerendert wird und der den Zugriff der App auf eine Benutzerliste erfordert. Wenn ein Webbrowser die Website anzeigt, führt die App einen Aufruf zurück zum Server aus, auf dem SharePoint 2013 ausgeführt wird, um im Auftrag des Benutzers auf die Liste zuzugreifen. Nachdem die App die Daten aus der Liste empfangen hat, zeigt sie die IFRAME-Inhalte an.

Das App-Authentifizierungsverfahren in SharePoint 2013 verwendet OAuth, um einen Anspruch einer App zu überprüfen und sicherzustellen, dass die App im Auftrag authentifizierter Benutzer agieren darf. In SharePoint 2013 fungiert eine Instanz des Azure-ACS als App-Identitätsanbieters. Sie können auch App-Authentifizierung ohne ACS verwenden. Das Authentifizierungsverfahren überprüft, ob eine authentifizierte App über Berechtigungen zum Ausführen eines definierten Vorgangs oder für den Zugriff auf eine angegebene Ressource verfügt.

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.
Anzeigen:
© 2014 Microsoft