Konfigurieren der Authentifizierung (Windows SharePoint Services)

Inhalt dieses Artikels:

• Konfigurieren des anonymen Zugriffs (Windows SharePoint Services 3.0)

• Konfigurieren der Digestauthentifizierung (Windows SharePoint Services)

• Konfigurieren der formularbasierten Authentifizierung (Windows SharePoint Services)

• Konfigurieren der Web-SSO-Authentifizierung mithilfe von ADFS (Windows SharePoint Services)

Als Authentifizierung wird das Verfahren zur Überprüfung der Clientidentität bezeichnet, normalerweise mithilfe einer bestimmten Zertifizierungsstelle. Mithilfe der Websiteauthentifizierung kann ein Benutzer, der auf Websiteressourcen zuzugreifen versucht, als authentifizierte Entität bestätigt werden. Eine Authentifizierungsanwendung erhält Anmeldeinformationen von einem Benutzer, der den Zugriff auf eine Website anfordert. Anmeldeinformationen können verschiedene Formen der Identifizierung verwenden, wie beispielsweise Benutzername und Kennwort. Die Authentifizierungsanwendung versucht, die Anmeldeinformationen anhand einer Authentifizierungsautorität zu überprüfen. Wenn die Anmeldeinformationen gültig sind, gilt der Benutzer, der die Anmeldeinformationen gesendet hat, als authentifizierte Identität.

Windows SharePoint Services-Authentifizierung

Berücksichtigen Sie beim Ermitteln des geeignetsten Windows SharePoint Services 3.0-Authentifizierungsmechanismus die folgenden Punkte:

• Für die Verwendung eines Windows-Authentifizierungsmechanismus benötigen Sie eine Umgebung, die Benutzerkonten unterstützt, die von einer vertrauenswürdigen Zertifizierungsstelle authentifiziert werden können.

• Wenn Sie einen Windows-Authentifizierungsmechanismus verwenden, werden vom Betriebssystem Verwaltungsaufgaben für die Benutzeranmeldeinformationen ausgeführt. Wenn Sie einen anderen Authentifizierungsanbieter als Windows verwenden, wie beispielsweise die Formularauthentifizierung, müssen Sie ein Verwaltungssystem für Anmeldeinformationen implementieren und den Speicherort für Benutzeranmeldeinformationen bestimmen.

Windows SharePoint Services 3.0-Authentifizierung basiert auf dem ASP.NET-Authentifizierungsmodell und umfasst drei Authentifizierungsanbieter:

• Windows-Authentifizierungsanbieter

• Formularauthentifizierungsanbieter

• Web-SSO-Authentifizierungsanbieter

Sie können den Active Directory-Verzeichnisdienst für die Authentifizierung verwenden, oder Sie können Ihre Umgebung so konfigurieren, dass Benutzeranmeldeinformationen anhand anderer Datenspeicher überprüft werden, wie beispielsweise eine Microsoft SQL Server-Datenbank, ein LDAP-Verzeichnis (Lightweight Directory Access-Protokoll) oder ein beliebiges Verzeichnis mit einem ASP.NET 2.0-Mitgliedschaftsanbieter. Der Mitgliedschaftsanbieter gibt den Typ des Datenspeichers an, den Sie verwenden werden. Der standardmäßige ASP.NET 2.0-Mitgliedschaftsanbieter verwendet eine SQL Server-Datenbank. ASP.NET 2.0 enthält einen SQL Server-Mitgliedschaftsanbieter.

Mit den Authentifizierungsanbietern werden Benutzer- und Gruppenanmeldeinformationen authentifiziert, die in Active Directory, in einer SQL Server-Datenbank oder in einem anderen als einem Active Directory-LDAP-Verzeichnisdienst (z. B. NDS) gespeichert sind. Weitere Informationen zu ASP.NET-Mitgliedschaftsanbietern finden Sie unter Konfigurieren einer ASP.NET-Anwendung für die Verwendung der Mitgliedschaft (in englischer Sprache) (https://go.microsoft.com/fwlink/?linkid=87014&clcid=0x407).

Windows-Authentifizierungsanbieter

Der Windows-Authentifizierungsanbieter unterstützt die folgenden Authentifizierungsmethoden:

• Anonyme Authentifizierung

  Mithilfe der anonymen Authentifizierung können Benutzer Ressourcen in öffentlichen Bereichen von Websites suchen, ohne Anmeldeinformationen zur Authentifizierung angeben zu müssen. Über die Internetinformationsdienste (IIS) wird das IUSR_Name des Computers-Konto erstellt, um bei einer Anfrage nach Webinhalt anonyme Benutzer zu authentifizieren. Über das IUSR_Name des Computers-Konto (Name des Computers entspricht dem Namen des Servers), auf dem die Internetinformationsdienste ausgeführt werden, wird dem Benutzer der anonyme Zugriff auf Ressourcen unter dem Kontext des IUSR-Kontos erteilt. Sie können den anonymen Benutzerzugriff zurücksetzen, sodass ein beliebiges gültiges Windows-Konto verwendet werden kann. In einer eigenständigen Umgebung befindet sich das IUSR_Name des Computers-Konto auf dem lokalen Server. Wenn es sich bei dem Server um einen Domänencontroller handelt, wird das IUSR_Name des Computers-Konto für die Domäne definiert. Standardmäßig wird der anonyme Zugriff beim Erstellen einer neuen Webanwendung deaktiviert. Dadurch ergibt sich eine zusätzliche Sicherheitsebene, da die Internetinformationsdienste Anfragen mit anonymem Zugriff ablehnen, bevor sie verarbeitet werden können, wenn der anonyme Zugriff deaktiviert ist.

• Standardauthentifizierung

  Bei der Standardauthentifizierung sind zuvor zugewiesene Windows-Kontoanmeldeinformationen für den Benutzerzugriff erforderlich. Mithilfe der Standardauthentifizierung kann ein Webbrowser Anmeldeinformationen bereitstellen, wenn während einer HTTP-Transaktion eine Anforderung erfolgt. Da Benutzeranmeldeinformationen für Netzwerkübertragungen nicht verschlüsselt, sondern im Nur-Text-Format über das Netzwerk gesendet werden, wird von der Standardauthentifizierung über eine ungesicherte HTTP-Verbindung abgeraten. Aktivieren Sie zum Verwenden der Standardauthentifizierung die SSL-Verschlüsselung (Secure Sockets Layer).

• Digestauthentifizierung

  Die Digestauthentifizierung bietet dieselben Funktionen wie die Standardauthentifizierung, allerdings mit erhöhter Sicherheit. Benutzeranmeldeinformationen werden verschlüsselt und nicht im Klartext im Netzwerk gesendet. Anmeldeinformationen werden als MD5-Nachrichtenhash gesendet, in dem die ursprünglichen Benutzernamen und das Kennwort nicht entschlüsselt werden können. Für die Digestauthentifizierung wird ein Abfrage/Rückmeldung-Protokoll verwendet, für das der Authentifizierungsanforderer bei Anforderung vom Server gültige Anmeldeinformationen vorweisen muss. Zur Authentifizierung beim Server muss der Client einen MD5-Nachrichtenhash in einer Antwort bereitstellen, die eine gemeinsame geheime Kennwortzeichenfolge enthält. Der MD5-Nachrichtenhashalgorithmus ist in Internet Engineering Task Force (IETF) RFC 1321 (http://www.ietf.org/) ausführlich beschrieben.

  Beachten Sie zum Verwenden der Digestauthentifizierung die folgenden Anforderungen:

  • Der Benutzer und der IIS-Server müssen Mitglied derselben Domäne sein oder als vertrauenswürdig behandelt werden.

  • Benutzer benötigen ein gültiges Windows-Benutzerkonto, das in Active Directory auf dem Domänencontroller gespeichert ist.

  • In der Domäne muss ein Microsoft Windows Server 2003-Domänencontroller verwendet werden.

  • Sie müssen die Datei IISSuba.dll auf dem Domänencontroller installieren. Diese Datei wird während des Windows Server 2003-Setups automatisch kopiert.

• Integrierte Windows-Authentifizierung mit NTLM

  Diese Methode dient für Server unter Windows, auf denen nicht Active Directory auf einem Domänencontroller ausgeführt wird. NTLM ist ein sicheres Protokoll, das die Verschlüsselung und Übertragung von Benutzeranmeldeinformationen über ein Netzwerk unterstützt. NTLM basiert auf der Verschlüsselung von Benutzernamen und Kennwörtern vor dem Senden der Benutzernamen und Kennwörter über das Netzwerk. NTLM ist das Authentifizierungsprotokoll, das in Arbeitsgruppenumgebungen von Windows NT Server und Windows 2000 Server sowie in vielen Active Directory-Bereitstellungen verwendet wird. NTLM wird in gemischten Windows 2000-Active Directory-Domänenumgebungen verwendet, von denen Windows NT-Systeme authentifiziert werden müssen.

Formularauthentifizierungsanbieter

Der Formularauthentifizierungsanbieter unterstützt die Authentifizierung mithilfe von Anmeldeinformationen, die in Active Directory, in einer Datenbank wie z. B. einer SQL Server-Datenbank oder in einem LDAP-Datenspeicher wie z. B. Novell eDirectory, NDS (Novell Directory Services) oder Sun ONE gespeichert sind. Die Formularauthentifizierung ermöglicht die Benutzerauthentifizierung basierend auf der Überprüfung von Anmeldeinformationen, die in einem Anmeldeformular eingegeben werden. Nicht authentifizierte Anforderungen werden zu einer Anmeldeseite umgeleitet, auf der der Benutzer gültige Anmeldeinformationen eingeben muss und das Formular übermittelt. Wenn die Anforderung authentifiziert werden kann, wird ein Cookie ausgestellt, das einen Schlüssel zum Wiederherstellen der Identität für nachfolgende Anforderungen enthält.

Authentifizierungsanbieter für die einmalige Webanmeldung (Web-SSO)

Die einmalige Webanmeldung (Web-SSO) wird auch als Verbundauthentifizierung oder delegierte Authentifizierung bezeichnet, da sie die sichere Kommunikation über Netzwerkgrenzen hinweg unterstützt.

SSO ist eine Authentifizierungsmethode, die Zugriff auf mehrere sichere Ressourcen nach einer einzelnen erfolgreichen Authentifizierung von Benutzeranmeldeinformationen ermöglicht. Es gibt verschiedene Implementierungen der SSO-Authentifizierung. Die Web-SSO-Authentifizierung unterstützt die sichere Kommunikation über Netzwerkgrenzen hinweg, indem Benutzer, die in einer Organisation authentifiziert wurden, auf Webanwendungen in einer anderen Organisation zugreifen können. Web-SSO wird von den Active Directory-Verbunddiensten (ADFS) unterstützt. In einem ADFS-Szenario können zwei Organisationen eine Verbundvertrauensstellung einrichten, mit deren Hilfe Benutzer in einer Organisation auf webbasierte Anwendungen zugreifen können, die von einer anderen Organisation kontrolliert werden. Weitere Informationen zum Konfigurieren der Web-SSO-Authentifizierung mithilfe von ADFS finden Sie unter Konfigurieren der Web-SSO-Authentifizierung mithilfe von ADFS (Windows SharePoint Services).