(0) exportieren Drucken
Alle erweitern

Übersicht über die Identitätsverwaltung in SharePoint 2013

SharePoint 2013
 

Gilt für: SharePoint Server 2013 Standard, SharePoint Server 2013 Enterprise, SharePoint Foundation 2013

Letztes Änderungsdatum des Themas: 2013-12-18

Zusammenfassung: Informationen zur SharePoint 2013-Unterstützung der Authentifizierung und Autorisierung sowie der Speicherung, Synchronisierung und Anzeige von Entitäten und ihrer Attribute.

Die Identitätsverwaltung in SharePoint 2013 umfasst die Kombination der folgenden Bestandteile:

  • Eine Gruppe von Bezeichnern für Entitäten und deren Speicherort, die Erstellung von Vertrauensstellungen zwischen Identitätsspeichern und die Anzeige von Bezeichnerinformationen.

    Benutzer, Computer oder Dienste sind Beispiele für Entitäten.

  • Die Methoden – normalerweise bereitgestellt durch eine bestimmte Form des per Verschlüsselung geschützten Austauschs von Anmeldeinformationen –, von denen Bezeichner zum Authentifizieren des Zugriffs auf eine Ressource verwendet werden.

  • Die Methoden – normalerweise mithilfe einer Gruppe von Berechtigungen angegeben, die Bezeichnern zugewiesen sind –, mit denen die Autorisierung des Zugriffs auf eine Ressource angegeben und erzwungen wird.

Ein typisches System zur Identitätsverwaltung besteht aus den folgenden Elementen:

  • Entitäten

  • Speicher für Konten und Attribute

  • Authentifizierungsmethoden

  • Autorisierungsmethoden

  • Speicherung, Synchronisierung und Anzeige von Entitätsattributen

In den folgenden Abschnitten werden diese Elemente und deren Unterstützung durch SharePoint 2013 beschrieben.

In einem System zur Identitätsverwaltung stellt eine Entität ein physisches oder logisches Objekt dar, für das der Zugriff auf eine Ressource erforderlich ist. Zu den Entitäten eines Netzwerks, in dem die Active Directory-Domänendienste (AD DS) verwendet werden, gehören Benutzer, Computer und Dienste. Jede Entität verfügt über eine Identität, die mit einem Konto in einem Verzeichnis verknüpft ist, z. B. AD DS. Konten können aus einem Satz von Attributen bestehen, mit denen die Entität beschrieben wird, z. B. Name, Gruppenmitgliedschaft, E-Mail-Adresse usw.

Bei der Identitätsverwaltung in SharePoint 2013 sind Entitäten Benutzer, Gruppen, Dienste, Computer und Apps.

Ein Speicher, der Konten und Attribute enthält, ist ein Speicherort für Entitätskonten und die dazugehörigen Attribute. Für Netzwerke, die AD DS verwenden, werden Konten und Attribute in AD DS gespeichert. Für den Speicher, in dem Konten und Attribute enthalten sind, gibt es folgende Möglichkeiten:

  • Überprüfen von Kontoanmeldeinformationen während der Authentifizierung

  • Bereitstellen von Kontoattributen für die Entität, von der die Authentifizierung angefordert wird, sodass diese Attribute zur Autorisierung verwendet werden können

Unter SharePoint 2013 können formularbasierte oder Security Assertion Markup Language (SAML)-Benutzerauthentifizierungsmethoden für AD DS oder weitere Speicher verwendet werden. SharePoint 2013 enthält keine Speicher für Konten und Attribute.

Als Identitätsverbund wird der Prozess bezeichnet, bei dem mehrere Speicher mit Konten und Attributen mithilfe von Vertrauensstellungen verknüpft werden, damit die Authentifizierung und Autorisierung des Zugriffs auf Ressourcen für diese Speicher nahtlos durchgeführt werden kann. Mithilfe von Forefront Identity Manager 2010 R2 können Sie den Identitätslebenszyklus und die Rollenverwaltung für heterogene Identitätsplattformen verwalten.

Eine Authentifizierungsmethode umfasst einen Satz von Nachrichten, die von Computern zum Durchführen der Authentifizierung ausgetauscht werden. Mithilfe einer Nachricht wird die Identität einer Entität überprüft. Das Ergebnis des Authentifizierungsprozesses ist ein Sicherheitstoken, in dem in der Regel der verschlüsselte Nachweis dafür enthalten ist, dass ein Speicher mit Konten und Attributen die Identität überprüft hat. Das Sicherheitstoken kann auch Entitätsattribute enthalten, z. B. die Liste der Sicherheitsgruppen, zu denen die Entität gehört.

Für AD DS wird als Authentifizierungsmethode normalerweise entweder NTLM oder das Kerberos-Protokoll verwendet. Wenn sich ein Benutzer beispielsweise an einem einer Domäne beigetretenen Computer anmeldet, werden die Sicherheitsanmeldeinformationen des Benutzers erfasst, und das Kerberos-Protokoll wird zum Überprüfen dieser Anmeldeinformationen mit einem AD DS-Domänencontroller verwendet. Der Computer des Benutzers empfängt ein Kerberos-Ticket, das verwendet wird, wenn der Benutzer auf Ressourcen zugreift. Das Kerberos-Ticket enthält den verschlüsselten Nachweis, dass die Anmeldeinformationen von AD DS überprüft wurden, und eine Liste der Gruppen, denen der Benutzer angehört.

Obwohl Kerberos und NTLM für AD DS-basierte Netzwerke gut funktionieren, können diese Verfahren nicht ohne Weiteres auf mehrere Konten und Attribute von Drittanbietern oder auf Systeme zur Identitätsverwaltung in der Cloud erweitert werden.

Bei der anspruchsbasierten Identität erhalten Benutzer ein Sicherheitstoken, das von einem vertrauenswürdigen Sicherheitstokendienst (Security Token Service, STS) digital signiert wurde und einen Satz von Ansprüchen enthält. Jeder Anspruch steht für ein bestimmtes Datenelement des Benutzers, z. B. den Namen, die Gruppenmitgliedschaften und die Rolle im Netzwerk. Mithilfe der anspruchsbasierten Identität können Anwendungen sich in Bezug auf den Authentifizierungsnachweis auf das Sicherheitstoken verlassen und für die Autorisierung und andere Verarbeitungsschritte den Satz von Ansprüchen nutzen. Bei der anspruchsbasierten Identität können Benutzer normalerweise eine Authentifizierung durchführen, um das Sicherheitstoken abzurufen und dieses Token an Anwendungen zu übermitteln. Von einer für Ansprüche ausgelegten Anwendung wird die digitale Signatur des Sicherheitstokens überprüft, und die Ansprüche werden verwendet, um die Autorisierung und andere anwendungsspezifische Funktionen zu implementieren.

Die anspruchsbasierte Identität und Authentifizierung in Windows basiert auf der Windows Identity Foundation (WIF). Dabei handelt es sich um einen Satz von .NET Framework-Klassen, mit denen die anspruchsbasierte Identität implementiert wird. Weitere Grundlage für die anspruchsbasierte Authentifizierung sind Standards wie WS-Federation, WS-Trust und Protokolle wie SAML.

Eine vereinfachte Implementierung der anspruchsbasierten Identität enthält die folgenden Komponenten:

  • Eine Ansprüche unterstützende Clientanwendung Eine Anwendung, die ein Sicherheitstoken von einem Sicherheitstokendienst erhalten und Sicherheitstoken zur Authentifizierung und Autorisierung übermitteln kann. Eine Beispiel für eine Ansprüche unterstützende Clientanwendung ist ein Webbrowser, z. B. Internet Explorer.

  • Einen Sicherheitstokendienst (STS) Ein Server oder Dienst, der Sicherheitstoken für Ansprüche unterstützende Clientanwendungen erstellt. Der Sicherheitstokendienst von SharePoint 2013 stellt eigene Sicherheitstoken für Ansprüche unterstützende Clientanforderungen bereit, die Anforderungen senden. Außerdem kann Active Directory-Verbunddienste (AD FS) 2.0 als externer Sicherheitstokendienst verwendet werden.

  • Vertrauende Seite (Relying Party) Ein Computer oder eine Anwendung, der bzw. die Token eines Sicherheitstokendiensts verwendet und diesen vertraut. Die vertrauende Seite leitet Ansprüche unterstützende Clientanwendungen an den Sicherheitstokendienst um, um ein geeignetes Sicherheitstoken zu erhalten. SharePoint 2013 kann für einen externen Sicherheitstokendienst als vertrauende Seite fungieren. Ein Beispiel hierfür ist eine SharePoint-Webanwendung, für die die Verwendung von AD FS als Sicherheitstokendienst konfiguriert ist.

  • Eine Ansprüche unterstützende Serveranwendung Eine Anwendung, die für die Authentifizierung und Autorisierung ein Sicherheitstoken erfordert. Ein Beispiel hierfür ist eine SharePoint 2013-Webanwendung, von der die anspruchsbasierte Authentifizierung (Standard) verwendet wird.

SharePoint 2013 unterstützt die anspruchsbasierte Identität und Authentifizierung für die folgenden Entitäten:

  • Benutzer Die Überprüfung der Identität eines Benutzers anhand eines Speichers mit Konten und Attributen, der die Anmeldeinformationen des Benutzers enthält und mit dem überprüft werden kann, dass diese Daten vom Benutzer ordnungsgemäß übertragen wurden. Die Benutzerauthentifizierung wird durchgeführt, wenn ein Benutzer versucht, auf eine SharePoint-Ressource zuzugreifen. Weitere Informationen finden Sie unter Planen der Benutzerauthentifizierungsmethoden in SharePoint 2013.

  • Apps Die Überprüfung der Identität einer Remote-App für SharePoint und die Autorisierung der App und eines zugeordneten Benutzers, um eine geschützte SharePoint-Ressource anzufordern. Die App-Authentifizierung wird durchgeführt, wenn eine externe Komponente einer SharePoint Store-App oder einer App aus dem App-Katalog, z. B. ein Webserver im Intranet oder Internet, versucht, auf eine geschützte SharePoint-Ressource zuzugreifen. Weitere Informationen finden Sie unter Planen der App-Authentifizierung in SharePoint 2013.

  • Server Die Überprüfung der Ressourcenanforderung eines Servers, die auf einer Vertrauensstellung zwischen dem Sicherheitstokendienst des Servers, auf dem SharePoint 2013 ausgeführt wird, und dem Sicherheitstokendienst eines anderen Servers basiert, der das OAuth-Server-zu-Server-Protokoll unterstützt. Anhand dieser Vertrauensstellung kann ein anfordernder Server auf geschützte Ressourcen auf dem Server zugreifen, auf dem SharePoint 2013 im Namen eines angegebenen Benutzerkontos ausgeführt wird. Dafür müssen jeweils die richtigen Server- und Benutzerberechtigungen vorhanden sein. Weitere Informationen finden Sie unter Planen der Server-zu-Server-Authentifizierung in SharePoint 2013.

Nach der erfolgreichen Durchführung der Authentifizierung muss eine Anwendung bestimmen, ob die Entität zum Zugreifen auf die angeforderte Ressource autorisiert ist. Zum Durchführen dieser Analyse vergleicht die Anwendung die Identitätsinformationen der Entität – wie den Benutzernamen und die Gruppen, in denen sie Mitglied ist – im Sicherheitstoken (bei anspruchsbasierter Identität) oder Kerberos-Ticket mit der Liste der Standardberechtigungen oder konfigurierten Berechtigungen für die Ressource, auf die zugegriffen wird.

Bei Berechtigungen handelt es sich um Einstellungen, mit denen eine Entität (z. B. ein Benutzer- oder Gruppenname) und ihre zulässigen Aktionen (z. B. Lesen, Bearbeiten oder Löschen von Dateien in einem freigegebenen Ordner) angegeben werden. Um Zugriff auf die Ressourcen zu erhalten, müssen die konfigurierten Berechtigungen die Art von Zugriff zulassen, der von der Entität angefordert wird.

Unter SharePoint 2013 werden Berechtigungen für Benutzer zum Zugreifen auf Webanwendungen und ihre Ressourcen, Serverberechtigungen für Ressourcenanforderungen zwischen Servern und App-Berechtigungen für App-Ressourcenanforderungen bereitgestellt.

Weitere Informationen zum Planen von Berechtigungen in SharePoint 2013 finden Sie unter Planen der Berechtigungen für Websites und Inhalte in SharePoint 2013 und Planen von App-Berechtigungsverwaltung in SharePoint 2013.

Zum Konfigurieren von Berechtigungen muss das System für die Identitätsverwaltung die Liste mit den Entitäten von einem Speicherort abrufen und für Sie anzeigen. Wenn dieser Speicherort nicht der Originalspeicher der Konten und Attribute ist, müssen die Entitätsinformationen mit dem Speicher synchronisiert und auf anderen Computern repliziert werden.

In SharePoint 2013 ist die Einrichtung, mit der Entitätsinformationen für die Konfiguration der Berechtigungen angezeigt werden, die Personenauswahl. Der Dienst, mit dem lokale Entitätsinformationen gesammelt, synchronisiert und repliziert werden, ist der Benutzerprofil-Anwendungsdienst.

Weitere Informationen finden Sie unter Übersicht über Personenauswahl und Anspruchsanbieter (SharePoint 2013) und Übersicht über die Benutzerprofil-Dienstanwendungen in SharePoint Server 2013 Preview.

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.
Anzeigen:
© 2014 Microsoft