Planen der Workflowsicherheit und der Benutzerverwaltung (SharePoint Server 2010)
Gilt für: SharePoint Foundation 2010, SharePoint Server 2010
Letztes Änderungsdatum des Themas: 2016-11-30
Bevor Administratoren in Microsoft SharePoint Server 2010 Workflows für Benutzer bereitstellen, machen sie sich möglicherweise Gedanken um Sicherheitsaspekte, wie beispielsweise Rechteerweiterungen oder die Offenlegung von Informationen. In diesem Artikel werden einige sicherheitsrelevante Aspekte des Workflowverhaltens sowie einige andere Probleme behandelt, die Administratoren und Workflowentwickler beim Konfigurieren und Entwickeln von Workflows berücksichtigen sollten.
Inhalt dieses Artikels:
Rollen und Verantwortlichkeiten von Listenverwaltern, Administratoren und Entwicklern
Ausführen von Workflows als Administrator
Konfigurationseinstellungen für Workflows
Offenlegung von Informationen in Aufgaben- und Workflowverlaufslisten
Spoofing- und Manipulationsangriffe in den Aufgaben- und Workflowverlaufslisten
Schritttyp für den Benutzeridentitätswechsel in deklarativen Workflows
Rollen und Verantwortlichkeiten von Listenverwaltern, Administratoren und Entwicklern
Im Folgenden sind einige gängige Workflowaktionen und die zugehörigen Verantwortlichkeiten aufgeführt, um die Rolle von Administratoren und Entwicklern beim Ausführen von Workflows zu erläutern.
Workflowentwickler
Entwickeln des Zeitplans und der Vorlage für den Workflow Workflowentwickler sind für das Codieren der Assembly mit der Geschäftslogik zuständig, die für ein SharePoint-Element ausgeführt wird. Diese Assembly wird als Workflowzeitplan bezeichnet. Außerdem gehört das Verpacken der Workflowformulare und der Assembly in ein Workflowfeature oder eine Workflowvorlage zu den Aufgaben der Workflowentwickler.
Websiteadministratoren
Verwalten der Workfloweinstellungen in der Zentraladministration Websiteadministratoren können allgemeine Workfloweinstellungen steuern, wie z. B. Ergebnisse von Aufgabenbenachrichtigungen und Einstellungen für externe Teilnehmer auf der Website für die SharePoint-Zentraladministration.
Bereitstellen von Workflowfeatures Websiteadministratoren können Workflowfeatures in einer Websitesammlung installieren, um sie für die Zuordnung zur Verfügung zu stellen.
Listenadministratoren (d. h. alle Benutzer mit der Berechtigung zum Verwalten von Listen oder der Berechtigung für Webdesigner)
Hinzufügen von Workflows Listenadministratoren müssen Workflowvorlagen entsprechend den Geschäftsanforderungen einer Liste oder einem Inhaltstyp zuordnen (hinzufügen). Durch diese Zuordnung wird die Workflowvorlage Endbenutzern zur Verfügung gestellt, die dann Standardwerte und Einstellungen auswählen können.
Entfernen von Workflows Listenadministratoren können Workflowzuordnungen aus einer Liste oder einem Inhaltstyp entfernen oder die Ausführung neuer Instanzen verhindern.
Beenden eines Workflows Wenn eine Workflowinstanz nicht erfolgreich ausgeführt werden kann, beispielsweise weil ein Fehler auftritt oder die Instanz nicht gestartet werden kann, können Listenadministratoren eine ausgeführte Workflowinstanz beenden. Hierzu wird der Link Diesen Workflow jetzt beenden auf der Seite Workflowstatus verwendet. Diese Aktion ist für Administratoren reserviert.
Ausführen von Workflows als Administrator
Das wichtigste zu beachtende Sicherheitskonzept besteht darin, dass Workflows über die Einstellungen für die Anwendungspoolidentität auf dem Servercomputer und in der Domäne als Teil des Systemkontos in SharePoint Server 2010 ausgeführt werden. Somit verfügen Workflows in SharePoint Server 2010 über Administratorberechtigungen. Auf dem Server verfügen Workflows über dieselben Berechtigungen wie der Anwendungspool, häufig sind dies Administratorberechtigungen. Diese Berechtigungen ermöglichen Workflows die Ausführung von Aktionen, die normale Benutzer nicht ausführen können, z. B. das Weiterleiten eines Dokuments an einen bestimmten Speicherort oder an ein Datenarchiv oder das Hinzufügen eines Benutzerkontos zum System.
Die Einstellung, dass Workflows über Administratorberechtigungen verfügen, kann nicht geändert werden. Stattdessen müssen im Rahmen des Workflowzeitplans (d. h. des Workflowcodes) Benutzeraktionen erkannt und, basierend auf den Aktionen, Änderungen fortgesetzt oder zurückgesetzt werden, oder es muss die Identität eines Benutzers angenommen werden, um dessen Berechtigungen zu imitieren.
Administratoren müssen beim Bereitstellen von Workflows die Aktionen des Workflows kennen, um mögliche Risiken durch die Berechtigungserweiterung in einem Workflow abschätzen zu können und dem Workflowentwickler bei der Verminderung von Sicherheitsproblemen zu helfen.
Konfigurationseinstellungen für Workflows
SharePoint Server 2010 weist Konfigurationseinstellungen auf, die Administratoren nach ihren Sicherheitsanforderungen festlegen müssen.
Erforderliche Berechtigungen zum Starten eines Workflows
Neben dem Verhindern der Berechtigungserweiterung im Code können Listenadministratoren die Berechtigungsstufe einschränken, die zum Starten eines Workflows beim Zuordnungsvorgang erforderlich ist. Administratoren können eine von zwei Berechtigungsstufen auswählen, um eine bestimmte Workflowzuordnung zu starten: Elemente bearbeiten oder Listen verwalten.
Nach der Standardeinstellung zum Zuordnen eines Workflows können Benutzer mit der Berechtigung Elemente bearbeiten einen Workflow manuell starten. Somit kann jeder authentifizierte Benutzer von SharePoint Server 2010 auf der Liste mit der Berechtigung zum Bearbeiten von Elementen eine Instanz dieser Workflowzuordnung starten. Wenn der Administrator bei der Workflowerstellung die Option auswählt, dass der Benutzer zum Starten des Workflows die Berechtigungen zum Verwalten von Listen benötigt, können nur Listenadministratoren eine Instanz der Zuordnung starten.
Da Workflows für die Verwendung durch standardmäßige Mitwirkende konzipiert sind, ist die Einschränkung auf die Berechtigungen zum Verwalten von Listen für die meisten Workflows nicht erforderlich. Administratoren können diese Einstellung jedoch für Workflows wie beispielsweise zur Dokumentdisposition verwenden, bei denen nur bestimmte Personen die betreffenden Aktionen ausführen dürfen.
Einstellungen in der Zentraladministration
Die folgenden Einstellungen finden Sie, indem Sie auf der Seite für die Zentraladministration auf Anwendungsverwaltung und im Abschnitt Webanwendungen auf Webanwendungen verwalten klicken. Wählen Sie auf der Seite Webanwendungen die Webanwendung aus, die Sie konfigurieren möchten. Klicken Sie in der Gruppe Verwalten des Menübands auf Allgemeine Einstellungen, und wählen Sie Workflow aus. Die Seite Workfloweinstellungen wird mit folgenden Einstellungen angezeigt:
Benutzerdefinierte Workflows
Benachrichtigungen für Workflowaufgaben
Aktivieren von benutzerdefinierten Workflows
Standardmäßig sind benutzerdefinierte Workflows für alle Websites in der Webanwendung aktiviert, wie im Abschnitt Benutzerdefinierte Workflows der Seite Workfloweinstellungen angezeigt wird. Ist diese Option aktiviert, können Benutzer Workflows in einem Workflow-Editor, wie z. B. dem Workflow-Editor von SharePoint Designer 2010, definieren. Benutzer, die Workflows definieren, müssen über die Berechtigungen zum Verwalten von Listen auf der Website verfügen, auf der sie den Workflow bereitstellen.
Benachrichtigungen zu Aufgaben für Benutzer ohne Websitezugriff
Auf der Seite Workfloweinstellungen im Abschnitt Benachrichtigungen für Workflowaufgaben können Sie Optionen zum Senden von Benachrichtigungen zu ausstehenden Workflowaufgaben an Benutzer festlegen, die über keinen Zugriff auf die Website verfügen.
- Interne Benutzer
In SharePoint Server 2010 ist es möglich, die Namen interner Benutzer im Verzeichnisdienst aufzulösen, die keine Mitglieder der Website sind oder keinen Zugriff auf die Aufgabe haben. In diesem Fall kann ein Administrator im Abschnitt **Benachrichtigungen für Workflowaufgaben** die Option **Interne Benutzer ohne Zugriff auf die Website benachrichtigen, wenn ihnen eine Workflowaufgabe zugewiesen wurde** auswählen, um festzulegen, ob diese Benutzer eine Aufgabenbenachrichtigung per E-Mail erhalten. Bei dieser Option werden die Benutzer benachrichtigt, wenn ihnen eine Workflowaufgabe zugewiesen wird. Die Option ist standardmäßig aktiviert. Die E-Mail-Nachricht an die Benutzer enthält einen Link, über den sie Zugriff auf die Website anfordern können (Administratoren müssen den Zugriff gewähren). Die E-Mail-Nachricht kann auch Informationen zu dem Dokument enthalten. Diese können den Titel des Dokuments und Anweisungen vom Workflowbesitzer umfassen. Falls Bedenken bezüglich der Offenlegung von Informationen hinsichtlich interner Benutzer bestehen, die keine Mitglieder der Website sind, können Administratoren die Einstellung **Interne Benutzer ohne Zugriff auf die Website benachrichtigen, wenn ihnen eine Workflowaufgabe zugewiesen wurde** deaktivieren.
- Externe Benutzer
Externen Benutzern, die nicht im Verzeichnisdienst vorhanden sind, aber denen eine wohlgeformte SMTP-E-Mail-Adresse zugewiesen wurde, können weiterhin Workflowaufgaben zugewiesen werden. Da der Zugriff auf das Dokument für externe Benutzer schwierig ist, enthalten SharePoint Foundation 2010 und SharePoint Server 2010 die Einstellung **Externen Benutzern die Berechtigung zum Teilnehmen am Workflow erteilen, indem ihnen eine Kopie des Dokuments gesendet wird**. Mit dieser Option kann externen Benutzern per E-Mail eine Aufgabenbenachrichtigung mit dem Dokument als Anlage gesendet werden. Ist die Option aktiviert, wird die Aufgabe dem Workflowbesitzer zugewiesen, und der externe Benutzer kann die Aufgabe ausführen, indem er dem Besitzer eine E-Mail-Nachricht sendet.
Die Option **Externen Benutzern die Berechtigung zum Teilnehmen am Workflow erteilen, indem ihnen eine Kopie des Dokuments gesendet wird** ist standardmäßig deaktiviert. Die Einstellung kann jedoch nützlich sein, wenn externe Teilnehmer erforderlich sind, beispielsweise bei der Genehmigung von Geschäftsdokumenten, die externe Kunden betreffen. Administratoren, die diese Einstellung aktivieren (durch Auswählen von **Ja**), müssen überprüfen, ob der Workflowzeitplan externe Teilnehmer unterstützt. Wenn z. B. eine Aufgabe für einen externen Benutzer erstellt wird, muss im benutzerdefinierten Workflow die externe E-Mail-Adresse in der **OnBehalfEmail**-Eigenschaft des **SPWorkflowTaskProperties**-Objekts angegeben sein, mit dem die Aufgabe initialisiert wurde. Mehrere integrierte Workflows in SharePoint Server 2010 unterstützen diese Einstellung.
Entwickler von benutzerdefinierten Workflows, die diese Funktion aktivieren möchten, müssen zusammen mit Administratoren klären, ob durch das Anfügen des Dokuments an eine externe E-Mail-Nachricht die Gefahr der Offenlegung von Informationen besteht. Administratoren müssen die Vorteile und Risiken abwägen, bevor sie die Einstellung aktivieren.
Offenlegung von Informationen in Aufgaben- und Workflowverlaufslisten
Da Aufgaben und Verlaufslistenelemente Daten zu Benutzern und ihren Aktionen mit Dokumenten enthalten können, werden unter Umständen vertrauliche Informationen durch die Elemente preisgegeben. Beispielsweise wird in einem Workflow zur Genehmigung einer Promotion Feedback zu den Aufgaben gesammelt, das nur für den Workflowbesitzer und die Teilnehmer an den einzelnen Aufgaben sichtbar sein soll.
Aufgaben- und Verlaufslisten sind normale Listen auf einer Website. Daher können standardmäßig alle Leser Aufgaben und Verlaufselemente anzeigen. Administratoren und Entwickler müssen die nicht zu veröffentlichenden Informationen bestimmen und entscheiden, ob die Sicherheit der vom Workflow erstellten Aufgaben- und Verlaufselemente erhöht werden soll.
Zum Sichern dieser Elemente gibt es verschiedene Möglichkeiten. Administratoren können beispielsweise Berechtigungen auf Listenebene festlegen. Handelt es sich um private Informationen, die nicht öffentlich, aber für eine bestimmte Gruppe verfügbar sein sollen, können Administratoren eine neue Aufgaben- oder Verlaufsliste erstellen und Berechtigungen für die Liste festlegen, die speziell auf diese Gruppe ausgerichtet sind. Wenn Administratoren nicht möchten, dass Verlaufsereignisse auf einer Workflowstatusseite für jeden sichtbar sind, können sie die Anzeigeberechtigung für die Workflowverlaufsliste entfernen, von der die Informationen für eine Statusseite abgerufen werden. Benutzern ohne die Berechtigungen zum Anzeigen der Verlaufsliste oder eines Elements der Liste wird ein "Zugriff verweigert"-Fehler angezeigt, wenn sie eine Statusseite öffnen, deren Daten aus der Verlaufsliste abgerufen werden.
Falls feinere Einschränkungen erforderlich sind, können Workflowentwickler beim Erstellen von Aufgaben oder Verlaufslistenelementen elementspezifische Berechtigungen festlegen. Die CreateTask-Aktivität weist eine SpecialPermissions-Eigenschaft auf, über die nur die angegebenen Berechtigungen zum Zugriff auf die neu erstellte Aufgabe erteilt werden. Die LogToHistoryList-Aktivität verfügt nicht über diese Eigenschaft. Zum Festlegen von elementspezifischen Berechtigungen für Verlaufslistenelemente müssen Administratoren daher das Objektmodell (OM) in SharePoint Server 2010 verwenden. Elementspezifische Berechtigungen können sich negativ auf die Leistung auswirken und sollten nur bei Bedarf verwendet werden.
Aufgaben und Verlaufselemente müssen nicht auf dieselbe Weise behandelt werden. Administratoren können Listenberechtigungen und elementspezifische Berechtigungen mischen und kombinieren.
Spoofing- und Manipulationsangriffe in den Aufgaben- und Workflowverlaufslisten
Jeder Mitwirkende kann Aufgaben oder Verlaufselemente ändern, wenn keine Einschränkungen für diese Listen bestehen. Somit können böswillige Benutzer Aufgabenbeschreibungen ändern, um den Teilnehmern falsche Anweisungen zu geben oder sie zum Klicken auf schädliche Links zu verleiten. Zum Ändern der wahrgenommenen Ergebnisse eines Vorgangs können böswillige Benutzer auch falsche oder fehlerhafte Verlaufsereignisse hinzufügen oder Verlaufsereignisse so ändern, dass sie falsch oder fehlerhaft sind.
Wie erwähnt, sind Aufgaben- und Verlaufslisten normale Listen auf einer Website. Standardmäßig bestehen keine Berechtigungsbeschränkungen für Aufgabenlisten oder Verlaufslisten. Zur Vermeidung von Spoofing- und Manipulationsangriffen müssen Administratoren die Schwachstellen ermitteln und folgendermaßen schützen: Sie können entweder den Zugriff auf Spalten in einer Liste beschränken (beispielsweise anfällige Spalten, wie Aufgabenbeschreibungen, schreibgeschützt machen, sodass sie nur vom Workflowbesitzer bei der Elementerstellung festgelegt werden können), spezielle Berechtigungen für die Liste festlegen oder Berechtigungen auf Elementebene für die Elemente einer Liste festlegen.
Sicherheitsprobleme in der Workflowverlaufsliste
Ein wesentlicher Vorteil von Workflows ist die Möglichkeit, Prozessinformationen nachzuverfolgen, um Einblick in einen Prozess zu gewinnen. Die Workflowverlaufsliste ist ein Repository für diese Informationen, in dem Daten bezüglich einer Workflowinstanz gesucht und auf einer Workflowstatusseite für Benutzer zur Verfügung gestellt werden können. Benutzer können alle Elemente sehen, auf die sie in der Verlaufsliste Zugriff haben.
Da in der Workflowverlaufsliste Informationen nachverfolgt werden, könnten Benutzer annehmen, dass sie als Überwachungspfad für Ereignisse verwendet werden kann. Dies ist nicht der Fall: der Workflowverlauf ist kein Sicherheitsfeature. Verlaufslisten sind standardmäßige SharePoint-Listen, in denen Ereignisse gespeichert werden, die für jeden Benutzer sichtbar sind und denen keine speziellen Berechtigungen zugeordnet sind. Benutzer können standardmäßig Ereignisse ändern und hinzufügen, wenn sie über Berechtigungen zum Ändern und Hinzufügen für die Website verfügen. Zum Überwachen von Ereignissen sollten Sie das Überwachungsprotokollfeature von SharePoint verwenden. Nur Administratoren können auf dieses Protokoll zugreifen, und es muss nicht durch zusätzliche Arbeitsschritte vor Manipulationsangriffen geschützt werden.
Zum besseren Schutz der Verlaufsliste können Administratoren die Berechtigungen zum Bearbeiten und Hinzufügen für die Liste einschränken, sodass nur Administratoren unter dem Systemkonto (z. B. Workflowadministratoren) und Listenadministratoren Elemente hinzufügen können. Listenadministratoren benötigen die Berechtigung zum Hinzufügen, um das Ereignis "Diesen Workflow jetzt beenden" zu protokollieren. Wenn die Berechtigungen zum Bearbeiten und Hinzufügen für die Verlaufsliste eingeschränkt sind, müssen den Benutzern weiterhin die Berechtigungen zum Anzeigen erteilt werden, damit sie Statusinformationen anzeigen können.
Schritttyp für den Benutzeridentitätswechsel in deklarativen Workflows
Mit dem Schritttyp für den Benutzeridentitätswechsel können Abschnitte von deklarativen Workflows vom Autor des Workflows anstelle des Initiators ausgeführt werden. Deklarativ bedeutet, dass Sie den Workflow nach einem Modell erstellen und die Parameter für den Workflow festlegen, ohne Code schreiben zu müssen.
In SharePoint Server 2010 werden deklarative Workflows immer im Benutzerkontext des Workflowinitiators ausgeführt, solange kein Schritt für den Identitätswechsel auftritt. Bei einem Schritt für den Identitätswechsel wird der deklarative Workflow im Kontext des Workflowzuordners ausgeführt. Bei den standardmäßigen Workflowaufgaben werden SharePoint-Berechtigungen berücksichtigt, indem bei der Ausführung eines Workflows die Identität des Benutzers angenommen wird, der den Workflow gestartet hat. Dadurch bleibt zwar die Sicherheit in SharePoint Server 2010 weitgehend gewahrt, jedoch werden viele Szenarien verhindert, in denen ein Workflowdesigner mit hohen Berechtigungsstufen einen leistungsstarken Workflow erstellen möchte, der erfolgreich von Benutzern mit niedrigeren Berechtigungsstufen abgeschlossen werden kann.
Durch eine sichere und gezielte Form der Rechteerweiterung können Websiteaktionen durch Workflows automatisiert werden. Dies reduziert den Arbeitsaufwand eines SharePoint-Websiteadministrators. Die Automatisierung eines Prozesses mit hoher Sicherheit ist nützlich in Veröffentlichungs- und Genehmigungsszenarien, in denen es vorhandenen Aktionen ermöglicht wird, die Identität anderer Personen als des Workflowinitiators anzunehmen.
Die folgenden Beispielszenarien veranschaulichen den Schritttyp für den Benutzeridentitätswechsel:
Veröffentlichen an eine sichere Liste
Jessica hat die Dokumentbibliothek Seiten für das öffentliche Erscheinungsbild ihrer SharePoint-Website gesperrt. Sie hat einen Genehmigungsworkflow erstellt, durch den mithilfe von Microsoft SharePoint Designer 2010 Inhalte von Mitwirkenden an der Website zur Genehmigung eingereicht werden. Jessica platziert die Workflowaktionen in einem Schritt für den Identitätswechsel, sodass die Workflowaktionen immer unter der Identität Jessicas, eines Websiteadministrators, als dem Autor des Workflows ausgeführt werden.
Wenn Christine, eine Mitwirkende, einen Inhaltsentwurf in der Bibliothek Seiten der Website bereitstellt und versucht, ihren Artikel zu veröffentlichen, wird durch diese Aktion Jessicas Genehmigungsworkflow gestartet, damit der Beitrag überprüft und genehmigt werden kann. An die genehmigenden Personen im Workflow werden im Namen von Christine Aufgaben gesendet. Nach der Überprüfung und Genehmigung durch die genehmigenden Personen wird der Moderationsstatus des Beitrags auf Genehmigt festgelegt, obwohl Christine nicht zur Genehmigung von Seiten berechtigt ist.
Erteilen von Berechtigungen an Benutzer
Anna hat in SharePoint Designer 2010 einen Workflow eingerichtet, in dem Entwurfsberechtigungen für die Website durch eine Identitätswechselaktion "Benutzer zu Gruppe hinzufügen" erteilt werden. Da im Workflow ein Bereich für den Identitätswechsel verwendet wird, wird die Aktion, der Gruppe einen Benutzer hinzuzufügen, immer im Namen von Anna ausgeführt.
Im verbleibenden Workflow können Mitwirkende die Website besuchen und ein Formular ausfüllen, mit dem sie ihre Zugriffsanforderung für eine Liste protokollieren.
Beispielsweise empfängt ein anderer Benutzer, Oliver, eine Aufgabe, wenn Christine, ein Benutzer, eine Anforderung protokolliert. Wenn er die Aufgabe genehmigt, wird Christine der Gruppe der Designer für die Website hinzugefügt, obwohl weder Oliver noch Christine über Berechtigungen zum Verwalten von Listen für Annas Website verfügen.
Vorlagen und Übernehmen des Besitzes
Mike hat mehrere Workflows in SharePoint Designer 2010 erstellt und speichert sie als Vorlagen zur Wiederverwendung in der gesamten Firma. Er verlässt jedoch kurz darauf die Firma. Sein Konto wird entfernt, sein Administratorstatus wird widerrufen, und nun können die von ihm erstellten SharePoint Designer 2010-Workflows nicht mehr ausgeführt werden, da seine Berechtigungen nicht mehr vorhanden sind.
Ein Administrator einer übergeordneten SharePoint-Website, Dieter, kann bei jedem Workflow eingreifen, ohne die Workflows in SharePoint Designer 2010 neu zu erstellen. Dieter übernimmt den Besitz der administrativen Symptome in jeder nicht funktionsfähigen Vorlage. Anschließend erfolgen die sichere Veröffentlichung und das Gewähren von Zugriff unter Dieters Namen statt unter Mikes, sonst hat sich nichts geändert.
Für die folgenden Workflowaktionen kann ein Identitätswechsel erfolgen:
Status für die Genehmigung von Inhalten festlegen (als Besitzer)
Listenelement erstellen (als Besitzer)
Listenelement aktualisieren (als Besitzer)
Listenelemente entfernen (als Besitzer)
Listenelementberechtigungen hinzufügen/entfernen/festlegen/erben (als Besitzer)
Als SharePoint-Administrator müssen Sie die möglichen Sicherheitsauswirkungen von Identitätswechseln in Workflows auf der SharePoint-Website bedenken. Dies gilt für neue Aktionen ebenso wie für vorhandene Aktionen, wie z. B. das Aktualisieren von Listenelementen.
Betrachten Sie beispielsweise ein Modell, in dem Identitätswechselaktionen im Workflow weiterhin als der Initiator ausgeführt werden können. Wenn ein Benutzer Administratorberechtigungen nur für eine Website in der Websitesammlung besitzt, könnte dieser Benutzer missbräuchlich einen Workflow erstellen, um Rechte für das übergeordnete Web der Website zu erlangen. Der böswillige Benutzer müsste lediglich den Administrator überzeugen, eine Datei in eine Dokumentbibliothek auf der Website des böswilligen Benutzers hochzuladen, um den Angriff durch den Workflow zu beginnen und das gesamte übergeordnete Web der Website zu gefährden.
Aufgrund dieses Risikos wurde in SharePoint Designer 2010 die Einschränkung eingeführt, dass bei Identitätswechselaktionen immer die Identität des Zuordners angenommen wird. Der Zuordner ist die Person, die einen Workflow einer bestimmten Liste oder einem Web zuordnet. In deklarativen Workflows von SharePoint Server 2010 ist der Zuordner dieselbe Person wie der Workflowautor, also der Benutzer, der den Workflow in SharePoint Designer 2010 erstellt. Der Zuordner kann jedoch jeder sein, der eine deklarative Workflowvorlage zuordnet. Das Problem ist, dass der Autor/Zuordner die Verantwortung für alle Folgen eines Schritts für den Benutzeridentitätswechsel übernehmen muss, da bei der Rechteerweiterung die Anmeldeinformationen des Autors/Zuordners verwendet werden. Aus diesem Grund ist es erforderlich, dass die Autoren/Zuordner die Workflows verstehen, die sie entwerfen oder zuordnen. Daher wird dem Autor/Zuordner von SharePoint Designer 2010 auf der Seite für die Workflowerstellung eine Warnmeldung bezüglich des Schritttyps für den Benutzeridentitätswechsel angezeigt.