Anspruchsbasierte Authentifizierung mit Microsoft UAG 2010 (SharePoint Server 2010)

  • Artikel

 

Gilt für: SharePoint Foundation 2010, SharePoint Server 2010

Letztes Änderungsdatum des Themas: 2016-11-30

Microsoft Unified Access Gateway 2010 (UAG) mit Service Pack 1 (SP1) stellt Unterstützung für Active Directory-Verbunddienste 2.0 (Active Directory Federation Services, ADFS) bereit. Zudem ist UAG eine Ansprüche unterstützende vertrauende Seite, die jetzt die Veröffentlichung von Microsoft SharePoint Server 2010-Anwendungen mit anspruchsbasierter Authentifizierung unterstützt. (Partnerzugriff mit einmaliger Anmeldung auf Anwendungen oder Server mit SharePoint Server 2010, die Ansprüche nicht unterstützen, wird weiterhin unterstützt.)

In den folgenden Schritten wird der Prozessfluss für die Authentifizierung von Benutzern aus einer Partnerorganisation über einen Server mit UAG zu einem Server mit SharePoint Server 2010 dargestellt:

  1. Die Partnerbenutzer versuchen, mithilfe von anspruchsbasierter Authentifizierung auf die veröffentlichte SharePoint Server-Anwendung zuzugreifen: entweder, indem sie auf das Forefront-UAG-Portal zugreifen und dann auf die veröffentlichte SharePoint Server-Anwendung klicken, oder indem sie mithilfe des Namens der alternativen Zugriffszuordnung in SharePoint Server direkt auf die veröffentlichte SharePoint Server-Anwendung zugreifen.

  2. Forefront UAG leitet die Webbrowseranforderung an den Ressourcenverbundserver weiter, um den Benutzer zu authentifizieren.

  3. Der Ressourcenverbundserver zeigt den Benutzern die Seite für die Ermittlung des Startbereichs an, auf der sie die Organisation auswählen müssen, der sie angehören – in diesem Fall die Partnerorganisation.

  4. Der Ressourcenverbundserver leitet den Webbrowser auf den Kontoverbundserver um. Hier werden die Benutzer anhand ihrer eigenen Anmeldeinformationen authentifiziert und erhalten anschließend ein Sicherheitstoken. Bei manchen Authentifizierungsmodellen werden die Benutzer aufgefordert, Anmeldeinformationen einzugeben.

  5. Die Benutzer werden im Hintergrund mehrmals umgeleitet und anhand des vom Kontoverbundserver generierten Sicherheitstokens automatisch auf dem Ressourcenverbundserver und bei Forefront UAG authentifiziert. Falls sie versucht haben, direkt auf die veröffentlichte SharePoint Server-Anwendung zuzugreifen, werden sie im Hintergrund auf die SharePoint Server-Website umgeleitet, woraufhin die SharePoint Server-Website angezeigt wird. Wenn sie zuerst auf das Forefront-UAG-Portal zugegriffen haben, müssen sie auf die SharePoint Server-Anwendung klicken, damit die SharePoint Server-Website angezeigt wird.

  6. Nach dem ersten erfolgreichen Herstellen einer Verbindung mit der SharePoint Server-Website speichert der Ressourcenverbundserver ein Cookie auf dem Computer des Benutzers. Das Cookie wird standardmäßig 30 Tage lang gespeichert. Diese Frist kann in der Datei web.config auf dem Ressourcenverbundserver konfiguriert werden. Während dieses Zeitraums müssen Benutzer keine Fragen zur Identifizierung auf der Seite für die Ermittlung des Startbereichs beantworten (d. h. sie müssen nicht die Organisation auswählen, der sie angehören).

Grafik

Warnung

Bei der Office-Integration tritt in diesem Szenario ein Fehler auf, wenn die Sitzung eines Remoteclients auf dem UAG-Server abläuft.

Hinweis

Weitere Informationen zum Remotebenutzerzugriff mithilfe von Ansprüchen nd Microsoft UAG finden Sie unter Plan employee access using claims.

UAG mit SP1 stellt darüber hinaus anspruchsbasierte Autorisierung bereit. Wenn ein Benutzer beispielsweise einen Rollenanspruch hat, kann UAG dem Benutzer den Zugriff basierend auf dem Wert des Anspruchs erlauben oder verweigern. Diese Regeln werden über Richtlinien in UAG festgelegt und Rollen in AD FS zugeordnet.

Hinweis

Diese Regeln für die anspruchsbasierte Autorisierung können nur verwendet werden, wenn UAG eine vertrauende Seite von AD FS ist.

UAG mit SP1 stellt außerdem Funktionen für die einmalige Abmeldung bereit. Dabei werden Benutzer, die sich abmelden, auch von allen Anwendungen abgemeldet, die den authentifizierenden Verbundserver verwenden. Ein Client kann sich auf verschiedene Weise abmelden (oder abgemeldet werden):

  • Ein Benutzer kann sich vom UAG-Portal abmelden.

  • Ein Benutzer kann nach einem festgelegten Zeitraum der Inaktivität abgemeldet werden.

  • Ein Benutzer kann durch geplante Abmeldezeitpunkte in UAG abgemeldet werden.

Weitere Informationen zur einmaligen Abmeldung finden Sie unter Übersicht über AD FS 2.0 mit Forefront UAG (https://go.microsoft.com/fwlink/?linkid=207207&clcid=0x407).

UAG kann auch dann SSO-Zugriff (Single Sign-On, einmalige Anmeldung) bereitstellen, wenn eine Anwendung NTLM- oder Kerberos-Authentifizierung verwendet. Dabei führt UAG die Kerberos-Übersetzung für Clients aus. Weitere Informationen finden Sie unter Konfigurieren der einmaligen Anmeldung mit eingeschränkter Kerberos-Delegierung an Anwendungen, die Ansprüche nicht unterstützen (https://go.microsoft.com/fwlink/?linkid=207208&clcid=0x407).

See Also

Other Resources

Plan employee access using claims
Übersicht über AD FS 2.0 mit Forefront UAG (https://go.microsoft.com/fwlink/?linkid=207207&clcid=0x407)
Konfigurieren der einmaligen Anmeldung mit eingeschränkter Kerberos-Delegierung an Anwendungen, die Ansprüche nicht unterstützen (https://go.microsoft.com/fwlink/?linkid=207208&clcid=0x407)