Konfigurieren der formularbasierten Authentifizierung für eine forderungsbasierte Webanwendung (SharePoint Server 2010)

Gilt für: SharePoint Foundation 2010, SharePoint Server 2010

Letztes Änderungsdatum des Themas: 2016-11-30

Die in diesem Artikel beschriebenen Verfahren bieten Unterstützung für Folgendes:

• Sie ermöglichen es Ihnen, die formularbasierte Authentifizierung für eine forderungsbasierte Microsoft SharePoint Server 2010-Webanwendung zu konfigurieren.

• Sie helfen Ihnen, vorhandene Office SharePoint Server 2007-Webanwendungen, deren Konfiguration die Verwendung der formularbasierten Authentifizierung vorsieht, so zu upgraden, dass sie mit SharePoint Server 2010 verwendet werden können.

Nach dem Upgrade auf SharePoint Server 2010 werden Ihre Microsoft Office SharePoint Server 2007-Webanwendungen für die Vorversionsanmeldung konfiguriert. Für Office SharePoint Server 2007-Webanwendungen, die für die Verwendung der Windows-Authentifizierung konfiguriert wurden, sind im Rahmen eines Upgrades keine zusätzlichen Schritte erforderlich. Für Office SharePoint Server 2007-Webanwendungen, die für die formularbasierte Authentifizierung oder die Web-SSO-Authentifizierung konfiguriert wurden, muss jedoch zuerst die Konvertierung zur forderungsbasierten Authentifizierung erfolgen, bevor die Office SharePoint Server 2007-Webanwendungen in SharePoint Server 2010 verwendet werden können. Nachdem die Konvertierung der Office SharePoint Server 2007-Webanwendungen zur forderungsbasierten Authentifizierung erfolgt ist, können Sie die Webanwendungszonen für die formularbasierte Authentifizierung (oder ggf. die Web-SSO-Authentifizierung) konfigurieren. Der letzte Schritt ist die Migration von Benutzern und Berechtigungen zu SharePoint Server 2010.

Inhalt dieses Artikels:

• Konvertieren von Webanwendungen zur forderungsbasierten Authentifizierung

• Konfigurieren einer formularbasierten Webanwendung für die Verwendung eines LDAP-Anbieters mithilfe der Zentraladministration

• Konfigurieren der Web.Config-Dateien für LDAP

• Konfigurieren einer formularbasierten Webanwendung für die Verwendung eines LDAP-Anbieters mithilfe von Windows PowerShell

• Migrieren von Benutzern und Berechtigungen von SharePoint Server 2007 zu SharePoint Server 2010

Konvertieren von Webanwendungen zur forderungsbasierten Authentifizierung

Führen Sie die Schritte des folgenden Verfahrens aus, um Windows PowerShell für die Konvertierung vorhandener Webanwendungen zur forderungsbasierten Authentifizierung zu verwenden.

So konvertieren Sie Webanwendungen zur forderungsbasierten Authentifizierung

1. Stellen Sie sicher, dass die folgenden Mindestanforderungen erfüllt sind: Weitere Informationen finden Sie unter Add-SPShellAdmin.

2. Klicken Sie im Startmenüauf Alle Programme.

3. Klicken Sie auf Microsoft SharePoint 2010 Products.

4. Klicken Sie auf SharePoint 2010-Verwaltungsshell.

5. Geben Sie an der Windows PowerShell-Eingabeaufforderung Folgendes ein:

   $w = Get-SPWebApplication "http://<server>/"
   $w.UseClaimsAuthentication = "True";
   $w.Update()
   
   $w.ProvisionGlobally()
   

Konfigurieren einer formularbasierten Webanwendung für die Verwendung eines LDAP-Anbieters mithilfe der Zentraladministration

Führen Sie die Schritte des folgenden Verfahrens aus, um die Zentraladministration zum Konfigurieren der formularbasierten Authentifizierung für eine forderungsbasierte Webanwendung zu verwenden.

So konfigurieren Sie mithilfe der Zentraladministration die formularbasierte Authentifizierung für eine forderungsbasierte Webanwendung

1. Stellen Sie sicher, dass das Benutzerkonto, mit dem dieser Vorgang durchgeführt wird, das Konto eines Websitesammlungsadministrators ist.

2. Wählen Sie in der Zentraladministration unter Anwendungsverwaltung die Option Webanwendungen verwalten aus.

3. Wählen Sie im Menüband Neu aus.

4. Wählen Sie im Abschnitt Authentifizierung des Dialogfelds Neue Webanwendung die Option Forderungsbasierte Authentifizierung aus.

5. Wählen Sie im Abschnitt Authentifizierungsmethode die Option ASP.NET-Mitgliedschafts- und Rollenanbieter aktivieren aus.

6. Geben Sie den Namen eines Mitgliedschaftsanbieters und den Namen eines Rollen-Managers ein. In der hier beschriebenen Beispielversion von Web.Config lautet der Name des Mitgliedschaftsanbieters membership und der Name des Rollen-Managers rolemanager.

7. Klicken Sie auf OK, um die Webanwendung zu erstellen.

Konfigurieren der Web.Config-Dateien für LDAP

Nachdem Sie die Webanwendung (gemäß der Beschreibung im vorhergehenden Verfahren) erfolgreich erstellt haben, ändern Sie die folgenden Web.config-Dateien:

• Die Datei Web.Config der Webanwendung für die Zentraladministration

• Die Datei Web.Config für den Sicherheitstokendienst

• Die Datei Web.Config für die formularbasierte Authentifizierung einer forderungsbasierten Webanwendung

So konfigurieren Sie die Datei "Web.config" für die Zentraladministration

1. Öffnen Sie den IIS-Manager, indem Sie an einer Eingabeaufforderung INETMGR eingeben.

2. Wechseln Sie in IIS zur Website SharePoint-Zentraladministration.

3. Klicken Sie mit der rechten Maustaste auf SharePoint-Zentraladministration, und wählen Sie Durchsuchen aus.

4. Öffnen Sie die Datei Web.Config.

5. Suchen Sie nach dem Abschnitt <Configuration> <system.web>, und fügen Sie den folgenden Eintrag hinzu:

<membership defaultProvider="AspNetSqlMembershipProvider">
      <providers>
        <add name="membership" 
             type="Microsoft.Office.Server.Security.LdapMembershipProvider, Microsoft.Office.Server, Version=14.0.0.0, Culture=neutral, PublicKeyToken=71e9bce111e9429c" 
             server="yourserver.com" 
             port="389" 
             useSSL="false" 
             userDNAttribute="distinguishedName" 
             userNameAttribute="sAMAccountName" 
             userContainer="OU=UserAccounts,DC=internal,DC=yourcompany,DC= distinguishedName (of your userContainer)" 
             userObjectClass="person" 
             userFilter="(ObjectClass=person)" 
             scope="Subtree" 
             otherRequiredUserAttributes="sn,givenname,cn" />
      </providers>
    </membership>
    <roleManager enabled="true" defaultProvider="AspNetWindowsTokenRoleProvider" > 
      <providers>
        <add name="roleManager" 
             type="Microsoft.Office.Server.Security.LdapRoleProvider, Microsoft.Office.Server, Version=14.0.0.0, Culture=neutral, PublicKeyToken=71e9bce111e9429c"
             server="yourserver.com" 
             port="389"
             useSSL="false"
             groupContainer="DC=internal,DC=yourcompany,DC= distinguishedName (of your groupContainer)"
             groupNameAttribute="cn"
             groupNameAlternateSearchAttribute="samAccountName"
             groupMemberAttribute="member"
             userNameAttribute="sAMAccountName"
             dnAttribute="distinguishedName"
             groupFilter="((ObjectClass=group)"
             userFilter="((ObjectClass=person)"
             scope="Subtree" />
      </providers>
 </roleManager>

So konfigurieren Sie die Datei "Web.config" für den Sicherheitstokendienst

1. Öffnen Sie den IIS-Manager, indem Sie an einer Eingabeaufforderung INETMGR eingeben.

2. Wechseln Sie zur Website SharePoint-Zentraladministration.

3. Wechseln Sie zur Unterwebsite SecurityTokenServiceAppliction.

4. Klicken Sie mit der rechten Maustaste auf SharePoint-Zentraladministration, und wählen Sie Durchsuchen aus.

5. Öffnen Sie die Datei Web.Config.

6. Suchen Sie nach dem Abschnitt <Configuration> <system.web>, und fügen Sie den folgenden Eintrag hinzu:

<membership>
      <providers>
        <add name="membership" 
             type="Microsoft.Office.Server.Security.LdapMembershipProvider, Microsoft.Office.Server, Version=14.0.0.0, Culture=neutral, PublicKeyToken=71e9bce111e9429c" 
             server="yourserver.com" 
             port="389" 
             useSSL="false" 
             userDNAttribute="distinguishedName" 
             userNameAttribute="sAMAccountName" 
             userContainer="OU=UserAccounts,DC=internal,DC=yourcompany,DC=com" 
             userObjectClass="person" 
             userFilter="(&amp;(ObjectClass=person))" 
             scope="Subtree" 
             otherRequiredUserAttributes="sn,givenname,cn" />
      </providers>
    </membership>
    <roleManager enabled="true" > 
      <providers>
        <add name="rolemanager" 
             type="Microsoft.Office.Server.Security.LdapRoleProvider, Microsoft.Office.Server, Version=14.0.0.0, Culture=neutral, PublicKeyToken=71e9bce111e9429c"
             server="yourserver.com" 
             port="389"
             useSSL="false"
             groupContainer="DC=internal,DC=yourcompany,DC=com"
             groupNameAttribute="cn"
             groupNameAlternateSearchAttribute="samAccountName"
             groupMemberAttribute="member"
             userNameAttribute="sAMAccountName"
             dnAttribute="distinguishedName"
             groupFilter="(&amp;(ObjectClass=group))"
             userFilter="(&amp;(ObjectClass=person))"
             scope="Subtree" />
      </providers>
    </roleManager>

So konfigurieren Sie die Datei "Web.Config" für die formularbasierte Authentifizierung einer forderungsbasierten Webanwendung

1. Öffnen Sie den IIS-Manager, indem Sie an einer Eingabeaufforderung INETMGR eingeben.

2. Wechseln Sie zur Website Claims Forms.

3. Klicken Sie mit der rechten Maustaste auf Claims Forms, und wählen Sie Durchsuchen aus.

4. Öffnen Sie die Datei Web.Config.

5. Suchen Sie nach dem Abschnitt <Configuration> <system.web>.

6. Suchen Sie nach dem Abschnitt <membership defaultProvider="i">, und fügen Sie den folgenden Eintrag hinzu:

<add name="membership" 
             type="Microsoft.Office.Server.Security.LdapMembershipProvider, Microsoft.Office.Server, Version=14.0.0.0, Culture=neutral, PublicKeyToken=71e9bce111e9429c" 
             server="yourserver.com" 
             port="389" 
             useSSL="false" 
             userDNAttribute="distinguishedName" 
             userNameAttribute="sAMAccountName" 
             userContainer="OU=UserAccounts,DC=internal, DC=yourcompany,DC=com" 
             userObjectClass="person" 
             userFilter="(&amp;(ObjectClass=person))" 
             scope="Subtree" 
             otherRequiredUserAttributes="sn,givenname,cn" />

Suchen Sie nach dem Abschnitt <roleManager defaultProvider="c" enabled="true" cacheRolesInCookie="false">, und fügen Sie den folgenden Eintrag hinzu:

<add name="roleManager" 
             type="Microsoft.Office.Server.Security.LdapRoleProvider, Microsoft.Office.Server, Version=14.0.0.0, Culture=neutral, PublicKeyToken=71e9bce111e9429c"
             server="yourserver.com" 
             port="389"
             useSSL="false"
             groupContainer="DC=internal,DC=yourcompany,DC=com"
             groupNameAttribute="cn"
             groupNameAlternateSearchAttribute="samAccountName"
             groupMemberAttribute="member"
             userNameAttribute="sAMAccountName"
             dnAttribute="distinguishedName"
             groupFilter="(&amp;(ObjectClass=group))"
             userFilter="(&amp;(ObjectClass=person))"
             scope="Subtree" />

Konfigurieren einer formularbasierten Webanwendung für die Verwendung eines LDAP-Anbieters mithilfe von Windows PowerShell

Führen Sie die Schritte des folgenden Verfahrens aus, um Windows PowerShell zum Konfigurieren der formularbasierten Authentifizierung für eine forderungsbasierte Webanwendung zu verwenden.

So konfigurieren Sie mithilfe von Windows PowerShell eine formularbasierte Webanwendung für die Verwendung eines LDAP-Anbieters

1. Stellen Sie sicher, dass die folgenden Mindestanforderungen erfüllt sind: Weitere Informationen finden Sie unter Add-SPShellAdmin.

2. Klicken Sie im Startmenüauf Alle Programme.

3. Klicken Sie auf Microsoft SharePoint 2010 Products.

4. Klicken Sie auf SharePoint 2010-Verwaltungsshell.

5. Geben Sie an der Windows PowerShell-Eingabeaufforderung Folgendes ein:

   $ap = New-SPAuthenticationProvider -Name "ClaimsForms" -ASPNETMembershipProvider "membership" -ASPNETRoleProviderName "rolemanager"
   $wa = New-SPWebApplication -Name "Claims Windows Web App" -ApplicationPool "Claims App Pool" -ApplicationPoolAccount "internal\appool"
     -Url https://servername -Port 80 -AuthenticationProvider $ap
   

   Hinweis

   Der Wert des ApplicationPoolAccount-Parameters muss einem verwalteten Konto in der Farm entsprechen.

6. Nachdem Sie erfolgreich einen Authentifizierungsanbieter und eine Webanwendung erstellt haben, müssen Sie die folgenden Web.config-Dateien ändern, indem Sie die Beispieleinträge verwenden, die in diesem Artikel im Abschnitt "Konfigurieren der Web.Config-Dateien für LDAP" bereitgestellt wurden:

   • Die Datei Web.Config der Webanwendung für die Zentraladministration

   • Die Datei Web.Config für den Sicherheitstokendienst

   • Die Datei Web.Config für die formularbasierte Authentifizierung einer forderungsbasierten Webanwendung

7. Erstellen Sie nach dem Ändern der Web.Config-Dateien ein SPClaimsPrinciple-Objekt und eine Websitesammlung, wie im folgenden Beispiel gezeigt wird:

   $cp = New-SPClaimsPrincipal -Identity "membership:SiteOwner" -IdentityType FormsUser
   $sp = New-SPSite http://servername:port -OwnerAlias $cp.Encode() -Template "STS#0"
   

Migrieren von Benutzern und Berechtigungen von SharePoint Server 2007 zu SharePoint Server 2010

Führen Sie die Schritte des folgenden Verfahrens aus, um Benutzer und Berechtigungen mithilfe von Windows PowerShell zu migrieren.

So migrieren Sie Benutzer und Berechtigungen von SharePoint Server 2007 zu SharePoint Server 2010

1. Stellen Sie sicher, dass die folgenden Mindestanforderungen erfüllt sind: Weitere Informationen finden Sie unter Add-SPShellAdmin.

2. Klicken Sie im Startmenüauf Alle Programme.

3. Klicken Sie auf Microsoft SharePoint 2010 Products.

4. Klicken Sie auf SharePoint 2010-Verwaltungsshell.

5. Geben Sie an der Windows PowerShell-Eingabeaufforderung Folgendes ein:

   $w = Get-SPWebApplication "http://<server>/"
   $w.MigrateUsers(True)