Benutzerdefinierte Anspruchsanbieter für die Personenauswahl (SharePoint Foundation 2010)
Gilt für: SharePoint Foundation 2010
Letztes Änderungsdatum des Themas: 2016-11-30
Ein Anspruch besteht aus Informationen zur Identität eines Benutzers wie Name, E-Mail-Adresse oder Gruppenmitgliedschaft. Ein Anspruchsanbieter in Microsoft SharePoint Foundation 2010 gibt Ansprüche aus, die von SharePoint Foundation 2010 anschließend in Sicherheitstoken für Benutzer gepackt werden. Wenn sich ein Benutzer bei SharePoint Foundation 2010 anmeldet, wird das Token des Benutzers überprüft und für die Anmeldung bei SharePoint Foundation 2010 verwendet. Anspruchsanbieter werden auf der Benutzeroberfläche des Dialogfelds Personen und Gruppen auswählen im Steuerelement Personenauswahl angezeigt. Diese stellen die Funktionalität für das Suchen und Auswählen von Benutzern, Gruppen und Ansprüchen bereit, wenn Elementen wie Listen, Bibliotheken und Websites in SharePoint Foundation 2010 Berechtigungen zugewiesen werden. Informationen zum Steuerelement Personenauswahl finden Sie unter Übersicht über die Personenauswahl (SharePoint Foundation 2010).
In diesem Artikel werden die Verwendung und die Vorteile von Anspruchsanbietern, ihre Architektur, spezielle Überlegungen zu benutzerdefinierten Anspruchsanbietern und deren Planung erläutert. Informationen zur Erstellung eines benutzerdefinierten Anspruchsanbieters finden Sie unter "Gewusst wie"-Artikel zu Ansprüchen (https://go.microsoft.com/fwlink/?linkid=207578&clcid=0x407) und Erstellen benutzerdefinierter Anspruchsanbieter in SharePoint 2010 (https://go.microsoft.com/fwlink/?linkid=211324&clcid=0x407).
Bevor Sie diesen Artikel lesen, sollten Sie sich mit den in Planen von Authentifizierungsmethoden (SharePoint Foundation 2010) und Die Funktion von Ansprüchen (https://go.microsoft.com/fwlink/?linkid=208326&clcid=0x407) erläuterten Konzepten vertraut machen. Weitere Informationen zur anspruchsbasierten Authentifizierung finden Sie unter Anspruchsbasierte Identität in SharePoint (https://go.microsoft.com/fwlink/?linkid=196647&clcid=0x407) und Leitfaden zu anspruchsbasierter Identitäts- und Zugriffssteuerung (https://go.microsoft.com/fwlink/?linkid=187911&clcid=0x407).
Inhalt dieses Artikels
Verwendung und Vorteile
Architektur
Informationen zu benutzerdefinierten Anspruchsanbietern
Bereitstellen und Konfigurieren von benutzerdefinierten Anspruchsanbietern
Verwenden von benutzerdefinierten Ansprüchen in mehreren Farmen
Überlegungen zu benutzerdefinierten Anspruchsanbietern
Verwendung und Vorteile
Ein Anspruchsanbieter in SharePoint Foundation 2010 wird primär aus zwei Gründen verwendet:
Zur Erweiterung von Ansprüchen
Zur Bereitstellung von Namensauflösung
Bei der Erweiterung erweitert ein Anspruchsanbieter ein Benutzertoken während der Anmeldung mit weiteren Ansprüchen. Weitere Informationen zur Anspruchserweiterung finden Sie unter Anspruchsanbieter (https://go.microsoft.com/fwlink/?linkid=207579&clcid=0x407).
Bei der Auswahl listet ein Anspruchsanbieter den Anzeigenamen von Benutzern, Gruppen und Ansprüchen in der Personenauswahl auf, löst diesen auf, sucht nach diesem und ermittelt ihn. Die Anspruchsauswahl ermöglicht einer Anwendung die Anzeige von Ansprüchen in der Personenauswahl, beispielsweise bei der Konfiguration der Sicherheit einer SharePoint-Website oder eines SharePoint-Diensts. Weitere Informationen zur Personenauswahl finden Sie unter Übersicht über die Personenauswahl (SharePoint Foundation 2010).
Sie können die in SharePoint Foundation 2010 enthaltenen Anspruchsanbieter verwenden oder Ihre eigenen benutzerdefinierten Anspruchsanbieter erstellen, um für einen Benutzer weitere Sicherheitstoken bereitzustellen, oder um eine Verbindung zu weiteren Anspruchsquellen herzustellen. Wenn Sie beispielsweise eine CRM-Anwendung besitzen, die Rollen enthält, die sich nicht im Benutzerrepository in Active Directory befinden, können Sie einen benutzerdefinierten Anspruchsanbieter erstellen, um eine Verbindung zu dieser Datenbank herzustellen und die Daten der CRM-Rolle dem Originalforderungstoken des Benutzers hinzuzufügen. Weitere Informationen zu Verwendungsszenarien für Anspruchsanbieter finden Sie unter Anspruchsanbieter (https://go.microsoft.com/fwlink/?linkid=207579&clcid=0x407).
Architektur
Wenn eine Webanwendung für die Konfiguration der anspruchsbasierten Authentifizierung konfiguriert ist, verwendet SharePoint Foundation 2010 automatisch zwei Standardanspruchsanbieter:
Die SPSystemClaimProvider-Klasse (https://go.microsoft.com/fwlink/?linkid=210011&clcid=0x407) stellt Anspruchsinformationen in Bezug auf die Serverfarm bereit, in der SharePoint Foundation 2010 installiert ist.
Die SPAllUserClaimProvider-Klasse (https://go.microsoft.com/fwlink/?linkid=210012&clcid=0x407) stellt einen Anspruch Alle Benutzer bereit, der im Dialogfeld Personen und Gruppen auswählen der Personenauswahl angezeigt wird.
In Abhängigkeit von der für eine Zone einer Webanwendung ausgewählten Authentifizierungsmethode verwendet SharePoint Foundation 2010 mindestens einen der in der folgenden Tabelle aufgeführten Standardanspruchsanbieter.
| Authentifizierungsmethode | Anspruchsanbieter |
|---|---|
Windows-Authentifizierung |
SPActiveDirectoryClaimProvider (https://go.microsoft.com/fwlink/?linkid=208325&clcid=0x407) |
Formularbasierte Authentifizierung |
SPFormsClaimProvider (https://go.microsoft.com/fwlink/?linkid=210013&clcid=0x407) |
Tokenbasierte SAML-Authentifizierung (Security Assertion Markup Language) |
SPTrustedClaimProvider (https://go.microsoft.com/fwlink/?linkid=210014&clcid=0x407) |
Diese Anspruchsanbieter werden im Dialogfeld Personen und Gruppen auswählen für die Personenauswahl angezeigt. Mithilfe des Get-SPClaimProviderWindows PowerShell-Cmdlets können Sie eine Liste der Anspruchsanbieter für eine Farm anzeigen.
Hinweis
Wenn eine Webanwendung für die tokenbasierte SAML-Authentifizierung konfiguriert ist, stellt die SPTrustedClaimProvider-Klasse keine Suchfunktionalität für das Steuerelement Personensuche bereit. Jeder in das Steuerelement Personensuche eingegebene Text wird automatisch so angezeigt, als ob er aufgelöst worden wäre, unabhängig davon, ob es sich um einen gültigen Benutzer, eine Gruppe oder einen Anspruch handelt. Wenn Ihre SharePoint Foundation 2010-Lösung die tokenbasierte SAML-Authentifizierung verwendet, sollten Sie die Erstellung eines benutzerdefinierten Anspruchsanbieters planen, um die benutzerdefinierte Suche und Namensauflösung zu implementieren.
Anspruchsanbieter werden in einer Serverfarm als Features registriert, die in der Farm bereitgestellt werden. Ihr Bereich ist die Farmebene. Jedes Anspruchsanbieterobjekt verwendet die SPClaimProviderDefinition-Klasse, um Informationen zu dem Anspruchsanbieter einzufügen wie Anzeigename, Beschreibung, Assembly und Typ. Zwei wichtige Eigenschaften der SPClaimProviderDefinition-Klasse sind IsEnabled und IsUsedByDefault. Diese Eigenschaften legen fest, ob ein registrierter Anspruchsanbieter zur Verwendung in einer Farm aktiviert ist, und ob ein Anspruchsanbieter standardmäßig in einer bestimmten Zone verwendet wird. Standardmäßig sind alle Anspruchsanbieter aktiviert, wenn sie in einer Farm bereitgestellt werden. Informationen zur SPClaimProviderDefinition-Klasse finden Sie unter "SPClaimProviderDefinition"-Klasse (https://go.microsoft.com/fwlink/?linkid=207595&clcid=0x407).
Weitere Informationen zu Zonen und Authentifizierung finden Sie unter Planen von Authentifizierungsmethoden (SharePoint Foundation 2010).
Informationen zum Schreiben eines benutzerdefinierten Anspruchsanbieters finden Sie unter Erstellen benutzerdefinierter Anspruchsanbieter in SharePoint 2010 (https://go.microsoft.com/fwlink/?linkid=211324&clcid=0x407) und Exemplarische Vorgehensweise zu Ansprüchen: Schreiben von Anspruchsanbietern für SharePoint 2010 (https://go.microsoft.com/fwlink/?linkid=207589&clcid=0x407). Informationen zum Außerkraftsetzen des Standardanspruchsanbieters finden Sie unter So setzen Sie die Standardnamensauflösung und den Standardanspruchsanbieter für SharePoint 2010 außer Kraft (https://go.microsoft.com/fwlink/?linkid=207591&clcid=0x407).
Informationen zu benutzerdefinierten Anspruchsanbietern
Standardmäßig sind die bei der Ausführung einer Abfrage in der Personenauswahl aufgelösten Informationen von den durch den Anspruchsanbieter bereitgestellten Informationen abhängig. Wenn Sie einen vorgefertigten Anspruchsanbieter verwenden, können Sie nicht verändern, welche Informationen bereitgestellt und wie diese angezeigt werden. Zu diesem Zweck müssen Sie von einem Entwickler einen benutzerdefinierten Anspruchsanbieter erstellen lassen, der den Anforderungen Ihrer Lösung für das Suchen und Auswählen von Benutzern, Gruppen und Ansprüchen gerecht wird, wenn ein Benutzer Berechtigungen für Elemente wie Websites, Listen oder Bibliotheken zuweist.
Wenn Ihre Webanwendung beispielsweise die SAML-Authentifizierung verwendet, und Sie auch Benutzer aus Active Directory auflösen möchten, müssen Sie einen benutzerdefinierten Anspruchsanbieter erstellen. Weitere Beispiele zu Verwendungsszenarien für Anspruchsanbieter finden Sie unter Anspruchsanbieter (https://go.microsoft.com/fwlink/?linkid=207579&clcid=0x407).
Wenn Sie einen benutzerdefinierten Anspruchsanbieter erstellen, können Sie steuern, welche Informationen angezeigt werden, und welche Ergebnisse als Antwort auf eine Abfrage vom Steuerelement Personenauswahl zurückgegeben werden. Standardmäßig konfigurieren Sie die Webanwendung für die Verwendung der anspruchsbasierten Authentifizierung und registrieren anschließend den Anspruchsanbieter auf dem Server.
Hinweis
Sie können die Reihenfolge nicht steuern, in der Anspruchsanbieter im Dialogfeld Personen und Gruppen auswählen in der Personenauswahl angezeigt werden.
Informationen zum Schreiben eines benutzerdefinierten Anspruchsanbieters finden Sie unter Gewusst wie: Erstellen eines Anspruchsanbieters (https://go.microsoft.com/fwlink/?linkid=207588&clcid=0x407) und Exemplarische Vorgehensweise zu Ansprüchen: Schreiben von Anspruchsanbietern für SharePoint 2010 (https://go.microsoft.com/fwlink/?linkid=207589&clcid=0x407). Informationen zum Außerkraftsetzen des Standardanspruchsanbieters finden Sie unter So setzen Sie die Standardnamensauflösung und den Standardanspruchsanbieter für SharePoint 2010 außer Kraft (https://go.microsoft.com/fwlink/?linkid=207591&clcid=0x407).
Bereitstellen und Konfigurieren von benutzerdefinierten Anspruchsanbietern
Wenn Sie einen benutzerdefinierten Anspruchsanbieter in einer Farm registrieren, werden die Eigenschaften IsEnabled und IsUsedByDefault standardmäßig auf True festgelegt. Wenn die IsUsedByDefault-Eigenschaft nicht auf False festgelegt wird, wird der benutzerdefinierte Anspruchsanbieter im Dialogfeld Personen und Gruppen auswählen in der Personenauswahl für alle Zonen angezeigt. In Abhängigkeit von der Anzahl der für Ihre SharePoint Foundation 2010-Lösung benötigten Zonen, der für jede Zone verwendeten Authentifizierungsmethode und den Benutzern für jede Zone können Sie die Zonen einschränken, in denen Ihr benutzerdefinierter Anspruchsanbieter in der Personenauswahl angezeigt wird.
Da sich Anspruchsanbieter auf die Farmebene beziehen und auf der Zonenebene aktiviert werden, müssen Sie die Zonen, in denen die benutzerdefinierten Anspruchsanbieter angezeigt werden sollen, sorgfältig planen. Im Allgemeinen sollten Sie sicherstellen, dass die IsUsedByDefault-Eigenschaft auf False festgelegt ist und anschließend die SPIisSettings-Klasse für jede Zone konfigurieren, in der der benutzerdefinierte Anspruchsanbieter verwendet werden soll. Um einen benutzerdefinierten Anspruchsanbieter für ausgewählte Zonen zu konfigurieren, können Sie ein Windows PowerShell-Skript erstellen, das den Anspruchsanbieter für eine Zone unter Verwendung der SPIisSettings.ClaimsProviders-Eigenschaft festlegt, oder Sie erstellen eine benutzerdefinierte Anwendung, die die Aktivierung eines benutzerdefinierten Anspruchsanbieters für ausgewählte Zonen ermöglicht. Informationen zur SPIisSettings.ClaimsProvider-Eigenschaft finden Sie unter "SPIisSettings.ClaimsProvider"-Eigenschaft (https://go.microsoft.com/fwlink/?linkid=207597&clcid=0x407). Informationen zur Erstellung einer benutzerdefinierten Anwendung zur Konfiguration von Anspruchsanbietern für ausgewählte Zonen finden Sie im TechNet-Blogbeitrag, Konfigurieren eines benutzerdefinierten Anspruchsanbieters zur ausschließlichen Verwendung in ausgewählten Zonen in SharePoint 2010 (https://go.microsoft.com/fwlink/?linkid=207592&clcid=0x407).
Gehen Sie beispielsweise von einem Szenario mit zwei Webanwendungen aus: Die erste Webanwendung, PartnerWeb, besitzt zwei Zonen: ein Intranet, das die anspruchsbasierte Authentifizierung von Windows verwendet und ein Extranet, das die formularbasierte Authentifizierung verwendet. Diese Webanwendung wird für die Zusammenarbeit zwischen Mitarbeitern und Partnern verwendet. Die zweite Webanwendung, PublishingWeb, besitzt lediglich eine Zone, die die formularbasierte Authentifizierung verwendet. Bei dieser Webanwendung handelt es sich um eine Website für Veröffentlichungen im Internet für Mitarbeiter, Geschäftspartner und Kundenpartner. Nehmen Sie jetzt an, Sie möchten ermöglichen, dass Mitarbeitern in der Extranetzone in PartnerWeb mit Geschäftspartnern zusammenarbeiten sollen, jedoch nicht mit Kundenpartnern. Zu diesem Zweck schreiben Sie einen benutzerdefinierten Anspruchsanbieter, der auf der Grundlage der Identität des Benutzers feststellt, ob der aktuelle Benutzer ein Geschäftspartner oder ein Kundenpartner ist. In diesem Beispiel sind Benutzer von fabrikam.com Geschäftspartner, während Benutzer von contoso.com Kundenpartner sind. Wenn sich ein Geschäftspartner in der PartnerWeb-Webanwendung authentifiziert, wird dem Anspruchstoken ein Anspruch für eine Rolle mit dem Namen BusinessPartner hinzugefügt. Wenn sich ein Kundenpartner authentifiziert, wird dem Anspruchstoken ein Anspruch für eine Rolle mit dem Namen CustomerPartner hinzugefügt. Um sicherzustellen, dass Kundenpartner nicht der Extranetwebsite für die Zusammenarbeit hinzugefügt werden, fügen Sie für die PartnerWeb-Webanwendung für die Extranetzone eine Webanwendungsrichtlinie hinzu, die den Zugriff für Benutzer mit einem Anspruch für die Rolle mit dem Namen CustomerPartner explizit verweigert. Der benutzerdefinierte Anspruchsanbieter müsste auch Unterstützung für Suche und Eingabe für die Webanwendungsrichtlinie implementieren, um den Anspruch der CustomerPartner-Rolle aufzulösen, damit diese der Webanwendungsrichtlinie hinzugefügt werden kann. Um diese Funktion in der Extranetzone zu aktivieren, müssen Sie schließlich die SPIisSettings-Klasse für diese Zone für die Verwendung des benutzerdefinierten Anspruchsanbieters konfigurieren. Das folgende Diagramm veranschaulicht die Authentifizierungsmethoden und Anspruchsanbietereinstellungen für jede Webanwendung und Zone.
.jpg "SPIisSettings-Diagramm")
Hinweis
Auf der Website der Zentraladministration werden alle Anspruchsanbieter im Dialogfeld Personen und Gruppen auswählen in der Personenauswahl angezeigt, unabhängig davon, ob die IsUsedByDefault-Eigenschaft auf True festgelegt ist.
Sie können die IsUsedByDefault-Eigenschaft festlegen, indem Sie diese in einem Featureempfänger konfigurieren, den Sie für Ihren benutzerdefinierten Anspruchsanbieter erstellen. Informationen zur Verwendung eines Featureempfängers für die Bereitstellung eines benutzerdefinierten Anspruchsanbieters finden Sie unter Beispiel: Featureempfänger zur Bereitstellung eines Anspruchsanbieters (https://go.microsoft.com/fwlink/?linkid=207590&clcid=0x407).
Sie können die Einstellungen der Eigenschaften IsEnabled und IsUsedByDefault auch unter Verwendung des Set-SPClaimProviderWindows PowerShell-Cmdlets außer Kraft setzen.
Wichtig
Wenn die IsEnabled-Eigenschaft zu False geändert wird, wird der Anspruchsanbieter für die gesamte Serverfarm deaktiviert. Dies kann hilfreich sein, wenn Sie Probleme beheben müssen, die möglicherweise von einem benutzerdefinierten Anspruchsanbieter verursacht werden. Grundsätzlich sollte die IsEnabled-Eigenschaft jedoch auf True festgelegt sein.
Verwenden von benutzerdefinierten Ansprüchen in mehreren Farmen
Anspruchswerte sind eine Kombination des Anspruchs selbst, des Namens des Anspruchsanbieters und der Reihenfolge, in der der Anspruchsanbieter auf dem Server installiert wurde. Wenn Sie daher einen Anspruch in mehreren Farmen oder Umgebungen verwenden möchten, müssen Sie die Anspruchsanbieter in der gleichen Reihenfolge in jeder Farm installieren, in der der Anspruch verwendet werden soll. Gehen Sie folgendermaßen vor, wenn Sie einen benutzerdefinierten Anspruchsanbieter installiert haben, und Sie den gleichen Anspruch in weiteren Farmen verwenden möchten.
Registrieren Sie die Anspruchsanbieter in den zusätzlichen Farmen in der gleichen Reihenfolge, in der sie in der ersten Farm registriert wurden.
Führen Sie eine Sicherung der ersten Farm aus. Informationen zur Sicherung einer Farm finden Sie unter Sichern einer Serverfarm (SharePoint Foundation 2010).
Verwenden Sie die Sicherung der ersten Farm, um die anderen Farmen wiederherzustellen. Informationen zur Wiederherstellung einer Farm finden Sie unter Wiederherstellen einer Farm (SharePoint Foundation 2010).
Überlegungen zu benutzerdefinierten Anspruchsanbietern
Wenn Sie benutzerdefinierte Anspruchsanbieter zur Verwendung mit der Personenauswahl in Ihrer SharePoint-Lösung planen, sollten Sie Folgendes beachten:
Welche Zonen besitzt Ihre Webanwendung, und welche Authentifizierungsmethoden werden in jeder Zone verwendet?
Gibt es benutzerdefinierte Ansprüche, die Benutzern hinzugefügt werden sollten, um erweiterte Sicherheitsszenarien zu ermöglichen?
Verwenden Sie SAML-Authentifizierung mit einem vertrauenswürdigen Identitätsanbieter?
Was ist die Quelle der Werte für die Benutzer und Rollen, die in den Abfrageergebnissen in der Personenauswahl angezeigt werden?
Welche Anspruchsdaten sollen im Dialogfeld Personen und Gruppen auswählen aufgelöst werden?
Das Team für die Veröffentlichung von SharePoint Foundation 2010-Inhalten dankt Steve Peschka für seine Mitarbeit an diesem Artikel. Seinen Blog finden Sie hier (https://go.microsoft.com/fwlink/?linkid=210274&clcid=0x407).
See Also
Concepts
Planen von Authentifizierungsmethoden (SharePoint Foundation 2010)