Server-zu-Server-Authentifizierung und Benutzerprofile in SharePoint Server

  • Artikel

GILT FÜR:yes-img-132013 yes-img-162016 yes-img-192019 yes-img-seSubscription Edition no-img-sopSharePoint in Microsoft 365

Server, die Server-zu-Server-Authentifizierung unterstützen, können über diese Option im Namen von Benutzern auf Ressourcen auf dem jeweils anderen Server zugreifen und Ressourcen vom jeweils anderen Server anfordern. Der Server, der SharePoint Server ausführt und eingehende Ressourcenanforderungen bearbeitet, muss daher zwei Tasks ausführen können:

  • Auflösen der Anforderung für einen bestimmten SharePoint-Benutzer

  • Ermitteln der Rollenansprüche, die dem Benutzer zugeordnet sind (als Aktivieren der Benutzeridentität bezeichnet)

Zur Aktivierung einer Benutzeridentität fordert ein Server mit Unterstützung für Server-zu-Server-Authentifizierung Zugriff auf SharePoint-Ressourcen an. SharePoint Server extrahiert die Ansprüche aus dem eingehenden Sicherheitstoken und löst auf einen spezifischen SharePoint-Benutzer auf. Standardmäßig verwendet SharePoint Server die integrierte Benutzerprofildienst-Anwendung, um die Identität aufzulösen.

Die wichtigsten Benutzerattribute zum Ermitteln der entsprechenden Benutzerprofile lauten:

  • Windows-Sicherheits-ID (SID)

  • Der Benutzerprinzipalname (UPN) für Active Directory-Domänendienste (AD DS)

  • Die SMTP-Adresse (Simple Mail Transfer Protocol)

  • SIP-Adresse (Session Initiation Protocol)

Daher muss mindestens eines dieser Benutzerattribute in den Benutzerprofilen aktuell sein.

Hinweis

[!HINWEIS] Wir empfehlen eine regelmäßige Synchronisierung der Identitätsspeicher mit der Benutzerprofildienst-Anwendung (nur für SharePoint Server 2013). Weitere Informationen finden Sie unter Planen der Profilsynchronisierung für SharePoint Server 2013 Preview.

Außerdem erwartet SharePoint Server für eine auf diesen vier Attributen basierende Suchanfrage nur einen einzigen passenden Eintrag in der Benutzerprofildienst-Anwendung. Andernfalls wird ein Fehler mit der Meldung zurückgegeben, dass mehrere Benutzerprofile gefunden wurden. Aus diesem Grund ist es ratsam, regelmäßig veraltete Benutzerprofile aus der Benutzerprofildienst-Anwendung zu löschen, damit nicht mehrere Benutzerprofile dieselben vier Attribute verwenden.

Wenn ein Benutzerprofil und die zugehörigen Gruppenmitgliedschaften des Benutzers nicht synchronisiert werden, verweigert SharePoint Server womöglich fälschlicherweise den Zugriff auf die angeforderte Ressource. Stellen Sie deshalb sicher, dass Gruppenmitgliedschaften mit der Benutzerprofildienst-Anwendung synchronisiert werden. Bei Windows-Ansprüchen importiert die Benutzerprofildienst-Anwendung die vier oben beschriebenen Hauptbenutzerattribute und die Gruppenmitgliedschaften.

Für die formularbasierte und Security Assertion Markup Language (SAML)-basierte Anspruchsauthentifizierung müssen Sie einen der folgenden Schritte ausführen:

  • Erstellen Sie eine Synchronisierungsverbindung mit einer Datenquelle, die von der Benutzerprofildienstanwendung unterstützt wird, und ordnen Sie die Verbindung einem bestimmten formularbasierten oder SAML-Authentifizierungsanbieter zu. Darüber hinaus müssen Sie den vier zuvor beschriebenen Benutzerattributen Attribute aus dem Benutzerspeicher zuordnen oder so viele davon, wie Sie aus der Datenquelle abrufen können.

  • Erstellen Sie eine benutzerdefinierte Komponente, und stellen Sie diese bereit, um die Synchronisierung manuell durchzuführen. Dies ist die gängigste Möglichkeit für Benutzer, die Windows nicht verwenden. Beachten Sie, dass der Anbieter der formularbasierten oder SAML-basierten Authentifizierung aufgerufen wird, wenn die Identität des Benutzers zum Abrufen seiner Rollenansprüche aktiviert wird.

Benutzeraktivierung für anfordernde Server

Wenn auf dem anfordernden Server Exchange Server 2016 oder Skype for Business Server 2015 ausgeführt wird (beide verwenden standardmäßige Windows-Authentifizierungsmethoden), enthält das vom anfordernden Server gesendete eingehende Sicherheitstoken den UPN des Benutzers sowie gegebenenfalls weitere Attribute wie SMTP, SIP und die SID der Benutzeridentität. Diese Informationen werden vom empfangenden Server, also SharePoint Server, zur Lokalisierung des Benutzerprofils verwendet.

Wird auf dem anfordernden Server SharePoint Server ausgeführt, aktiviert der empfangende Server den Benutzer mithilfe der folgenden anspruchsbasierten Authentifizierungsmethoden:

  • Zur Authentifizierung von Windows-Ansprüchen verwendet SharePoint Server AD DS-Attribute, um das Benutzerprofil des Benutzers (z. B. UPN- oder SID-Wert) und seine Rollenansprüche (Gruppenmitgliedschaft) zu ermitteln.

  • Für die formularbasierte Authentifizierung verwendet SharePoint Server das Account-Attribut, um das Profil des Benutzers zu suchen, und ruft dann den Rollenanbieter und alle zusätzlichen benutzerdefinierten Anspruchsanbieter auf, um den entsprechenden Satz von Rollenansprüchen abzurufen. SharePoint Server verwendet beispielsweise Attribute in AD DS, in einer Datenbank wie einer SQL Server-Datenbank oder in einem LDAP-Datenspeicher (Lightweight Directory Access Protocol), um das Benutzerprofil zu finden, das den Benutzer darstellt (z. B. die UPN- oder SID-Werte). Ihre Komponente zum Synchronisieren Ihres formularbasierten Anbieters sollte mindestens Benutzerprofile mit dem Kontonamen des Benutzers auffüllen. Sie können auch einen benutzerdefinierten Anspruchsanbieter erstellen, um zusätzliche Ansprüche als Attribute in Benutzerprofile zu importieren.

  • Für die SAML-basierte Anspruchsauthentifizierung verwendet SharePoint Server das AccountName-Attribut, um das Profil des Benutzers zu suchen, und ruft dann den SAML-Anbieter und alle zusätzlichen benutzerdefinierten Anspruchsanbieter auf, um den entsprechenden Satz von Rollenansprüchen abzurufen. Der Benutzeridentitätsanspruch sollte dem Attribut Account in Benutzerprofilen über den entsprechenden SAML-Anspruchsanbieter zugeordnet werden, der zum Auffüllen Ihrer Benutzerprofile konfiguriert werden sollte. Ebenso sollte dem UPN-Attribut ein UPN-Anspruch und der SMTP-Anspruch dem SMTP-Attribut zugeordnet werden. Um den Satz von Ansprüchen zu duplizieren, die der Benutzer normalerweise von ihrem Identitätsanbieter erhält, müssen Sie diese Ansprüche, einschließlich der Rollenansprüche, durch Anspruchserweiterung hinzufügen. Ein benutzerdefinierter Anspruchsanbieter muss diese Ansprüche als Attribute in Benutzerprofile importieren.

Siehe auch

Konzepte

Planen der Server-zu-Server-Authentifizierung in SharePoint Server

Authentifizierungsübersicht für SharePoint Server