Planen von Authentifizierungseinstellungen für Webanwendungen (Windows SharePoint Services)

  • Artikel

Inhalt dieses Artikels:

  • Planen von Authentifizierungseinstellungen

  • Planen von Authentifizierungsausschlüssen

  • Arbeitsblatt

In diesem Artikel werden die Konfigurationseinstellungen zur Authentifizierung erläutert, die für einzelne Webanwendungen in Windows SharePoint Services 3.0 geplant werden müssen. Verwenden Sie diesen Artikel zusammen mit dem Arbeitsblatt "Authentifizierungseinstellungen für Webanwendungen" (in englischer Sprache) (https://go.microsoft.com/fwlink/?linkid=73334&clcid=0x407). Füllen Sie ein separates Arbeitsblatt für jedes der folgenden Elemente aus, das Teil Ihres Lösungsentwurfs in Windows SharePoint Services 3.0 ist:

  • Neue oder erweiterte Webanwendungen in Windows SharePoint Services 3.0.

  • Zusätzliche Zonen innerhalb einer Webanwendung (außer der Standardzone). Schließen Sie Zonen ein, die für das Suchkonto erstellt werden.

Verwenden Sie die ausgefüllten Arbeitsblätter zusammen mit Bereitstellen und Konfigurieren von SharePoint-Websites (Windows SharePoint Services).

Planen von Authentifizierungseinstellungen

In diesem Abschnitt werden die einzelnen Einstellungen auf der Seite Authentifizierung bearbeiten der Website für die SharePoint-Zentraladministration erläutert. Dorthin gelangen Sie, indem Sie auf der Seite Anwendungsverwaltung im Abschnitt Anwendungssicherheit auf Authentifizierungsanbieter klicken. Klicken Sie auf die Zone, für die Sie Authentifizierungseinstellungen ändern möchten. Die Seite Authentifizierung bearbeiten wird geöffnet.

Je nach den ausgewählten Authentifizierungsoptionen können Sie möglicherweise die Authentifizierungseinstellungen direkt beim Erstellen oder Erweitern der Webanwendung in Windows SharePoint Services 3.0 angeben. Jedoch sind nicht alle Optionen verfügbar, wenn Sie eine Webanwendung neu erstellen oder erweitern. Können Sie die Authentifizierung nicht beim Erstellen oder Erweitern der Webanwendung konfigurieren, können Sie die Standardeinstellungen für die Authentifizierung zunächst übernehmen und dann auf der Seite Authentifizierung bearbeiten ändern.

Authentifizierungsmethode

Wählen Sie die zu verwendende Methode aus. Wenn Sie anonymen Zugriff zulassen möchten, anstatt eine in diesem Abschnitt aufgeführte Authentifizierungsmethode zu implementieren, wählen Sie die Windows-Authentifizierung aus.

Wenn Sie Windows auswählen, geben Sie im Abschnitt IIS-Authentifizierungseinstellungen der Seite Authentifizierung bearbeiten die Windows-Authentifizierungsmethode an. Wenn Sie Formulare oder Einmalige Webanmeldung auswählen, werden die Optionen auf der Seite Authentifizierung bearbeiten geändert, sodass Sie den Namen des Mitgliedschaftsanbieters und den Namen des Rollen-Managers eingeben können.

Wenn Sie Zertifikatauthentifizierung oder Kerberos-Authentifizierung verwenden möchten, überprüfen Sie die folgende Tabelle, um die zusätzlichen Konfigurationsschritte für diese Methoden zu ermitteln.

Authentifizierungsmethode Zusätzliche Konfigurationsschritte Spezielle Rollen

Zertifikate

  1. Wählen Sie in der Zentraladministration die Windows-Authentifizierung aus.

  2. Konfigurieren Sie Internetinformationsdienste (Internet Information Services, IIS) für Zertifikate.

  3. Aktivieren Sie SSL (Secure Sockets Layer).

  4. Rufen Sie Zertifikate aus einer Zertifizierungsstelle ab, und konfigurieren Sie die Zertifikate.

Microsoft Windows Server 2003-Administrator, zum Erwerben und Konfigurieren von Zertifikaten

Kerberos (in Windows integriert)

  1. Wählen Sie in der Zentraladministration die Kerberos-Authentifizierung aus.

  2. Konfigurieren Sie einen Dienstprinzipalnamen (Service Principal Name, SPN) für das Domänenbenutzerkonto, das für die Anwendungspoolidentität (das Verarbeitungskonto im Anwendungspool) verwendet wird.

  3. Registrieren Sie den SPN für das Domänenbenutzerkonto in Active Directory.

IIS-Administrator
Arbeitsblattaktion

Notieren Sie die zusätzlich erforderlichen Konfigurationsschritte im Abschnitt "Additional Configuration" (Zusätzliche Konfiguration) des Arbeitsblatts Authentifizierungseinstellungen für Webanwendungen (in englischer Sprache) (https://go.microsoft.com/fwlink/?linkid=73334&clcid=0x407).

Anonymer Zugriff

Geben Sie an, ob der anonyme Zugriff zulässig ist. Wenn Sie Formulare oder Einmalige Webanmeldung im Abschnitt Authentifizierungsmethode ausgewählt haben, aktivieren Sie das Kontrollkästchen Anonymen Zugriff aktivieren.

Clientintegration

Sie können die Clientintegration deaktivieren, wodurch Features, die Clientanwendungen starten, entfernt werden. Dies ist die optimale Konfiguration für einige Szenarien, z. B. das Veröffentlichen schreibgeschützten Inhalts im Web für anonymen Zugriff. Darüber hinaus wird die Clientintegration standardmäßig auf Nein festgelegt, wenn Sie ASP.NET-Formularauthentifizierung oder Authentifizierung durch einmalige Webanmeldung (Single Sign-On, SSO) auswählen.

Falls Windows SharePoint Services 3.0 mit Service Pack 2 (SP2) installiert ist, wird die Clientintegration mit Ausnahme der Outlook-Integration unterstützt. Alle anderen Clients können integriert werden, einschließlich SharePoint Designer für die Dokumenterstellung.

Hinweis

Wenn Windows SharePoint Services 3.0 mit SP2installiert ist und die formularbasierte Authentifizierung verwendet wird, ist die Clientintegration standardmäßig deaktiviert. Vor Windows SharePoint Services 3.0 mit SP2 unterstützt die Clientintegration nativ keine formularbasierte Authentifizierung.

Erwartetes Verhalten bei deaktivierter Clientintegration

Wenn die Clientintegration deaktiviert ist, zeigen Websites folgendes Verhalten:

  • Links, die Clientanwendungen starten, sind nicht sichtbar.

  • Dokumente werden im Browser geöffnet. Dokumente können nicht von Clientanwendungen geöffnet werden.

  • Benutzer können Dokumente auf der Website nicht direkt in den Clientanwendungen bearbeiten. Benutzer können jedoch das Dokument herunterladen, lokal bearbeiten und dann wieder hochladen.

In der folgenden Tabelle sind bestimmte Menübefehle und Features aufgelistet, die nicht verfügbar sind, wenn die Clientintegration deaktiviert ist.

Kategorie Befehl oder Feature, der bzw. das nicht verfügbar ist

Symbolleisten

Neues Dokument

In Microsoft Office Outlook arbeiten

In Windows Explorer öffnen

In eine Kalkulationstabelle exportieren

Mit Datenbankprogramm öffnen

Bearbeiten von Dokumenten

Bearbeiten in Microsoft Office-Anwendungen wie Word und Excel

Ansichten

Explorer-Ansicht

Erstellen einer Access-Ansicht

Bildbibliotheken

Hochladen mehrerer

Bild bearbeiten

Herunterladen

Senden an

Folienbibliotheken

Folien veröffentlichen

An Microsoft Office PowerPoint senden

Andere

Diskutieren

Verbinden mit Office Outlook

Verhalten bestimmter Authentifizierungsmethoden

Neben dem Bereitstellungsszenario (z. B. Veröffentlichen schreibgeschützter Inhalte) bestimmt möglicherweise die Auswahl der Authentifizierungsmethode, wie die Clientintegration konfiguriert wird. Manche Authentifizierungsmethoden verhalten sich anders mit Clientanwendungen. In einigen Fällen hängt das Verhalten davon ab, ob Clientbrowser für die Verwendung von beständigen Cookies oder von Sitzungscookies konfiguriert sind.

In der folgenden Tabelle sind die möglichen Verhaltensweisen der Clientintegration bei der Verwendung bestimmter Authentifizierungsmethoden zusammengefasst.

Authentifizierungsmethode Verhalten

Standard

Benutzer werden bei jedem Zugriff auf ein Dokument aufgefordert, Ihre Anmeldeinformationen einzugeben. Andere Features erfordern u. U. auch, dass sie ihre Anmeldeinformationen erneut eingeben.

ASP.NET-Formulare und Web-SSO

Wenn die folgenden Bedingungen zutreffen, wird ein beständiges Cookie erstellt:

  • Der Authentifizierungsanbieter unterstützt beständige Cookies.

  • Der Benutzer klickt bei der Anmeldung auf Automatisch anmelden.

Das beständige Cookie wird von allen Anwendungen mit demselben Cookiespeicher gemeinsam verwendet, und der Benutzer kann Dokumente in den Clientanwendungen öffnen. Das beständige Cookie wird mit einem standardmäßigen Timeoutwert von 30 Minuten erstellt. Dieser Wert kann durch Hinzufügen oder Aktualisieren des timeout-Parameters im forms-Knoten in der Datei Web.config geändert werden. Beispiel:

<forms loginUrl="login.aspx" name=".ASPXFORMSAUTH" timeout="100" />

Wenn das Cookie abläuft, wird die Clientintegration beendet. Falls Benutzer gerade einen Browser verwenden, werden sie aufgefordert, ihre Anmeldeinformationen erneut einzugeben.

Falls der Authentifizierungsanbieter beständige Cookies nicht unterstützt oder der Benutzer bei der Anmeldung nicht auf Automatisch anmelden geklickt hat, wird ein Sitzungscookie verwendet. Der Zugriff auf ein Sitzungscookie ist nur durch den Browser möglich. Der Benutzer kann das Dokument nicht direkt in den Clientanwendungen öffnen.

Wenn der Authentifizierungsanbieter keine Unterstützung für beständige Cookies bietet oder beständige Cookies in Ihrer Umgebung nicht zulässig sind, deaktivieren Sie die Clientintegration. Die Active Directory-Verbunddienste (Active Directory Federation Services, AD FS) bieten beispielsweise keine Unterstützung für beständige Cookies.

Anonym

Beim Öffnen eines Dokuments werden Benutzer wiederholt aufgefordert, Ihre Anmeldeinformationen einzugeben. Wenn sie in dem Dialogfeld 10-mal auf Abbrechen klicken, wird das Dokument möglicherweise von der Website mithilfe der Clientanwendung geöffnet. Wegen dieses unerwünschten Verhaltens ist es empfehlenswert, die Clientintegration in Szenarien mit anonymem Zugriff zu deaktivieren.

Verwenden des Betriebssystems Windows Vista mit Internet Explorer 7

In Windows Vista umfasst Internet Explorer 7 ein zusätzliches Sicherheitsfeature, das als geschützter Modus bezeichnet wird. Standardmäßig ist der geschützte Modus für die Zonen Internet, Intranet und Eingeschränkte Sites aktiviert. Da dieses Feature beständige Cookies an einem Speicherort ablegt, der die gemeinsame Verwendung durch Anwendungen verhindert, ist die Clientintegration nicht wie vorgesehen funktionsfähig.

Zum Konfigurieren von Internet Explorer 7 für die Zusammenarbeit mit der Clientintegration führen Sie einen der folgenden Schritte aus:

  • Deaktivieren Sie den geschützten Modus.

  • Falls der geschützte Modus aktiviert ist, fügen Sie SharePoint-Websites der Zone der vertrauenswürdigen Sites in Internet Explorer hinzu.

Informationen zum Deaktivieren des geschützten Modus erhalten Sie im Abschnitt "Configuring Protected Mode" unter Grundlegendes zur Arbeit im geschützten Modus in Internet Explorer (in englischer Sprache) (https://go.microsoft.com/fwlink/?linkid=78098&clcid=0x407).

Testen von Einstellungen zur Clientintegration

Wenn Sie bezüglich der Konfiguration der Clientintegrationseinstellung unsicher sind, testen Sie die Ergebnisse in einer Testumgebung, bevor Sie Websites in einer Produktionsumgebung bereitstellen. Wenn diese Einstellung geändert wird, nachdem sie angewendet wurde, verhalten sich Websites und Clientanwendungen möglicherweise ungewöhnlich.

Arbeitsblattaktion

Wählen Sie im Dokument Arbeitsblatt "Authentifizierungseinstellungen für Webanwendungen" (in englischer Sprache) (https://go.microsoft.com/fwlink/?linkid=73334&clcid=0x407) im Abschnitt Enable Client Integration (Clientintegration aktivieren) Yes oder No aus.

Einstellungen für ASP.NET-Formularauthentifizierung und Web-SSO

Wenn Sie die ASP.NET-Formularauthentifizierung oder Web-SSO implementieren, müssen Sie die Konfigurationseinstellungen entwickeln, die in die entsprechenden Web.config-Dateien einzufügen sind. Unter Authentifizierungsbeispiele (Windows SharePoint Services) finden Sie Beispiele ordnungsgemäß konfigurierter Zeichenfolgen für verschiedene gängige Szenarien.

Arbeitsblattaktion

Geben Sie im Dokument Arbeitsblatt "Authentifizierungseinstellungen für Webanwendungen" (in englischer Sprache) (https://go.microsoft.com/fwlink/?linkid=73334&clcid=0x407) folgende Informationen ein:

  • Name   Der Name des Mitgliedschaftsanbieters, des Rollen-Managers und des HTTP-Moduls (falls zutreffend). Diese Namen werden auf der Website für die Zentraladministration angezeigt.

  • Web.config-Konfiguration   Fügen Sie die entsprechenden Konfigurationszeichenfolgen in das Arbeitsblatt ein. Diese Zeichenfolgen können aus dem Arbeitsblatt in die Web.config-Dateien kopiert werden, wenn die Webanwendung bereitgestellt wird.

Stellen Sie sicher, dass die Namen für MembershipProvider und RoleManager, die Sie in der Datei Web.config registriert haben, den Namen entsprechen, die Sie auf der Seite Authentication.aspx der Zentraladministration eingegeben haben. Wenn Sie den Rollen-Manager nicht in der Datei Web.config eingeben, kann stattdessen der in der Datei Machine.config angegebene Standardanbieter verwendet werden.

Beispielsweise wird mit der folgenden Zeichenfolge in einer Web.config-Datei ein SQL-Mitgliedschaftsanbieter angegeben:

<membership defaultProvider="AspNetSqlMembershipProvider">

Weitere Informationen zu den Anforderungen für Mitgliedschaftsanbieter und Rollen-Manager finden Sie im Abschnitt zum Herstellen einer Verbindung mit nicht auf Windows basierenden oder externen Identitätsverwaltungssystemen in Planen von Authentifizierungsmethoden (Windows SharePoint Services).

Planen von Authentifizierungsausschlüssen

Wenn Sie die ASP.NET-Formularauthentifizierung oder Web-SSO implementieren, müssen Sie Authentifizierungsausschlüsse planen. Wenn Sie die Windows-Authentifizierung implementieren, brauchen Sie diesen Abschnitt nicht zu lesen.

Beim Erstellen oder Erweitern einer Webanwendung oder wenn Sie einer Webanwendung eine Zone hinzufügen, wird von IIS eine neue Website erstellt. Die Authentifizierungseinstellungen in der Datei Web.config für diese Webanwendung werden an virtuelle Verzeichnisse unterhalb der Website vererbt. Virtuelle Verzeichnisse, die unterhalb einer Webanwendung in Windows SharePoint Services 3.0 hinzugefügt werden, werden nicht von Windows SharePoint Services 3.0 verwaltet und gelten als ausgeschlossene virtuelle Verzeichnisse.

Wenn Sie die ASP.NET-Formularauthentifizierung oder Web-SSO implementieren und virtuelle Verzeichnisse unterhalb dieser Websites hinzufügen möchten, müssen Sie entscheiden, ob diese ausgeschlossenen virtuellen Verzeichnisse die Einstellungen der ASP.NET-Formularauthentifizierung oder von Web-SSO erben sollen.

Arbeitsblattaktion

Geben Sie im Arbeitsblatt "Authentifizierungseinstellungen für Webanwendungen" (in englischer Sprache) (https://go.microsoft.com/fwlink/?linkid=73334&clcid=0x407) an, ob ausgeschlossene virtuelle Verzeichnisse in IIS unterhalb der Website hinzugefügt werden, die dieser Webanwendung in Windows SharePoint Services 3.0 entspricht. Falls ausgeschlossene virtuelle Verzeichnisse hinzugefügt werden, geben Sie an, ob die Authentifizierungseinstellungen vererbt werden sollen.

Verwenden Sie das folgende Verfahren, um IIS so zu konfigurieren, dass die Authentifizierungseinstellungen nicht vererbt werden.

Konfigurieren von IIS, sodass die Authentifizierungseinstellungen nicht vererbt werden

  1. Fügen Sie ein neues virtuelles IIS-Verzeichnis unterhalb der IIS-Website hinzu, die der entsprechenden Webanwendung oder Zone in Windows SharePoint Services 3.0 entspricht.

  2. Klicken Sie im IIS-Manager mit der rechten Maustaste auf das neue virtuelle Verzeichnis, und klicken Sie dann auf Eigenschaften.

  3. Klicken Sie auf die Registerkarte Virtuelles Verzeichnis.

  4. Klicken Sie auf Erstellen (dadurch wird das virtuelle Verzeichnis zu einer Anwendung).

  5. Klicken Sie auf Konfiguration.

  6. Wählen Sie die Anwendungsplatzhalter aus, und klicken Sie dann auf Entfernen.

  7. Klicken Sie auf Ja, und klicken Sie dann auf OK.

  8. Erstellen Sie eine neue Web.config-Datei am Stamm des Dateisystempfads des neuen virtuellen Verzeichnisses, und fügen Sie die folgenden Einträge hinzu:

    <?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<configuration>
 <system.web>
  <httpModules>
   <clear />
  </httpModules>
  <httpHandlers>
   <clear />
  </httpHandlers>
 </system.web>
</configuration>

Arbeitsblatt

Verwenden Sie das folgende Arbeitsblatt, um die Konfigurationseinstellungen für jede Ihrer Webanwendungen in Windows SharePoint Services 3.0 zu planen und zu notieren.

Herunterladen dieses Buchs

Dieses Thema wurde zum leichteren Lesen und Ausdrucken in das folgende Buch zum Herunterladen aufgenommen:

Die vollständige Liste der verfügbaren Bücher finden Sie unter Bücher zum Herunterladen für Windows SharePoint Services.