Benutzerdefinierte Anspruchsanbieter für die Personenauswahl (SharePoint Server 2010)

  • Artikel

 

Gilt für: SharePoint Foundation 2010, SharePoint Server 2010

Letztes Änderungsdatum des Themas: 2016-11-30

Ein Anspruch enthält Informationen zur Identität eines Benutzers, z. B. einen Namen, eine E-Mail-Adresse oder Gruppenmitgliedschaft. Ein Anspruchsanbieter in Microsoft SharePoint Server 2010 gibt Ansprüche aus, die von SharePoint Server 2010 anschließend in Sicherheitstoken für Benutzer gepackt werden. Wenn ein Benutzer sich an SharePoint Server 2010 anmeldet, wird das Benutzertoken überprüft und dann zum Anmelden an SharePoint Server 2010 verwendet. Anspruchsanbieter werden in der Benutzeroberfläche des Dialogfelds Benutzer und Gruppen auswählen im Personenauswahl-Steuerelement angezeigt. Sie stellen die Funktionalität zum Suchen und Auswählen von Benutzern, Gruppen und Ansprüchen bereit, die beim Zuordnen von Berechtigungen zu Elementen wie Listen, Bibliotheken und Websites in SharePoint Server 2010 verwendet werden. Informationen zum Personenauswahl-Steuerelement finden Sie unter Übersicht über die Personenauswahl (SharePoint Server 2010).

In diesem Artikel werden die Verwendung und Vorteile von Anspruchsanbietern erläutert, ihre Architektur, besondere Überlegungen für benutzerdefinierte Anspruchsanbieter und ihre Planung. Das Erstellen oder Konfigurieren von benutzerdefinierten Anspruchsanbietern wird nicht erläutert. Informationen zum Erstellen eines benutzerdefinierten Anspruchsanbieters finden Sie unter "Gewusst wie"-Artikel zu Ansprüchen (https://go.microsoft.com/fwlink/?linkid=207578&clcid=0x407) und Erstellen von benutzerdefinierten Forderungsanbietern in SharePoint 2010 (https://go.microsoft.com/fwlink/?linkid=211324&clcid=0x407).

Bevor Sie diesen Artikel lesen, sollten Sie die Konzepte kennen lernen, die in Planen von Authentifizierungsmethoden (SharePoint Server 2010) und in Die Rolle von Forderungen (https://go.microsoft.com/fwlink/?linkid=208326&clcid=0x407) beschrieben sind. Zusätzliche Informationen zur anspruchsbasierten Authentifizierung finden Sie unter Anspruchsbasierte Identität in SharePoint (https://go.microsoft.com/fwlink/?linkid=196647&clcid=0x407) und unter Handbuch zur forderungsbasierten Identitäts- und Zugriffssteuerung (https://go.microsoft.com/fwlink/?linkid=187911&clcid=0x407).

Inhalt dieses Artikels

  • Verwendungsmöglichkeiten und Vorteile

  • Architektur

  • Informationen zu benutzerdefinierten Anspruchsanbietern

  • Bereitstellen und Konfigurieren von benutzerdefinierten Anspruchsanbietern

  • Verwenden von benutzerdefinierten Ansprüchen in mehr als einer Farm

  • Überlegungen zu benutzerdefinierten Anspruchsanbietern

Verwendungsmöglichkeiten und Vorteile

Ein Anspruchsanbieter wird in SharePoint Server 2010 hauptsächlich aus zwei Gründen verwendet:

  • Zum Erweitern von Ansprüchen

  • Zum Bereitstellen der Namensauflösung

In der Erweiterungsrolle erweitert ein Anspruchsanbieter ein Benutzertoken um zusätzliche Ansprüche während der Anmeldung. Weitere Informationen zur Erweiterung von Ansprüchen finden Sie unter Anspruchsanbieter (https://go.microsoft.com/fwlink/?linkid=207579&clcid=0x407).

In der Auswahlrolle sorgt der Anspruchsanbieter für das Aufführen, Auflösen, Suchen und Bestimmen des Anzeigenamens für Benutzer, Gruppen und Ansprüche in der Personenauswahl. Die Anspruchsauswahl ermöglicht es einer Anwendung, Ansprüche in der Personenauswahl anzuzeigen, z. B. beim Konfigurieren der Sicherheit einer SharePoint-Website oder des SharePoint-Diensts. Weitere Informationen zur Personenauswahl finden Sie unter Übersicht über die Personenauswahl (SharePoint Server 2010).

Sie können die im Lieferumfang von SharePoint Server 2010 enthaltenen Anspruchsanbieter verwenden oder eigene benutzerdefinierte Anspruchsanbieter erstellen, um zusätzliche Ansprüche im Sicherheitstoken für einen Benutzer bereitzustellen oder um zusätzliche Quellen von Ansprüchen zu verbinden. Wenn Sie z. B. eine CRM-Anwendung mit Rollen verwenden, die sich nicht im Benutzerrepository in Active Directory befinden, können Sie einen benutzerdefinierten Anspruchsanbieter erstellen, um eine Verbindung mit dieser Datenbank herzustellen und CRM-Rollendaten einem ursprünglichen Anspruchstoken eines Benutzers hinzuzufügen. Weitere Informationen zu Verwendungsszenarien für Anspruchsanbieter finden Sie unter Anspruchsanbieter (https://go.microsoft.com/fwlink/?linkid=207579&clcid=0x407).

Architektur

Wenn eine Webanwendung für die Verwendung der anspruchsbasierten Authentifizierung konfiguriert ist, werden von SharePoint Server 2010 automatisch zwei Standardanspruchsanbieter verwendet:

Abhängig von der Authentifizierungsmethode, die für eine Zone einer Webanwendung ausgewählt ist, wird von SharePoint Server 2010 auch mindestens einer der Standardanspruchsanbieter verwendet, die in der folgenden Tabelle aufgeführt sind.

Authentifizierungsmethode Anspruchsanbieter

Windows-Authentifizierung

SPActiveDirectoryClaimProvider (https://go.microsoft.com/fwlink/?linkid=208325&clcid=0x407)

Formularbasierte Authentifizierung

SPFormsClaimProvider (https://go.microsoft.com/fwlink/?linkid=210013&clcid=0x407)

Auf SAML-Token (Security Assertion Markup Language) basierte Authentifizierung

SPTrustedClaimProvider (https://go.microsoft.com/fwlink/?linkid=210014&clcid=0x407)

Diese Anspruchsanbieter werden im Dialogfeld Benutzer und Gruppen auswählen der Personenauswahl angezeigt. Sie können eine Liste mit Anspruchsanbietern für eine Farm anzeigen, indem Sie das Windows PowerShell-Cmdlet Get-SPClaimProvider verwenden.

Hinweis

Wenn eine Webanwendung für die Verwendung der auf SAML-Token basierten Authentifizierung konfiguriert ist, wird von der SPTrustedClaimProvider-Klasse keine Suchfunktionalität für das Personenauswahl-Steuerelement zur Verfügung gestellt. Jeder in das Personenauswahl-Steuerelement eingegebene Text wird automatisch angezeigt, als wäre er aufgelöst worden, unabhängig davon, ob es sich um einen gültigen Benutzer, eine gültige Gruppe oder einen gültigen Anspruch handelt. Falls in der SharePoint Server 2010-Lösung die auf SAML-Token basierte Authentifizierung verwendet wird, sollten Sie die Erstellung eines benutzerdefinierten Anspruchsanbieters planen, um eine benutzerdefinierte Suche und Namensauflösung zu implementieren.

Anspruchsanbieter werden in einer Serverfarm als Features registriert, die für die Farm bereitgestellt werden. Sie sind auf Farmebene gültig. Jedes Anspruchsanbieterobjekt verwendet die SPClaimProviderDefinition-Klasse, um Informationen zum Anspruchsanbieter einzuschließen, z. B. den Anzeigenamen, die Beschreibung, die Assembly und den Typ. Zwei wichtige Eigenschaften der SPClaimProviderDefinition-Klasse sind IsEnabled und IsUsedByDefault. Diese Eigenschaften bestimmen, ob ein registrierter Anspruchsanbieter für die Verwendung in der Farm aktiviert ist und ob der Anspruchsanbieter standardmäßig in einer bestimmten Zone verwendet wird. Standardmäßig sind alle Anspruchsanbieter aktiviert, wenn sie in einer Serverfarm bereitgestellt werden. Informationen zur SPClaimProviderDefinition-Klasse finden Sie unter SPClaimProviderDefinition-Klasse (https://go.microsoft.com/fwlink/?linkid=207595&clcid=0x407).

Weitere Informationen zu Zonen und zur Authentifizierung finden Sie unter Planen von Authentifizierungsmethoden (SharePoint Server 2010).

Informationen zum Schreiben eines benutzerdefinierten Anspruchsanbieters finden Sie unter Erstellen von benutzerdefinierten Anspruchsanbietern in SharePoint 2010 (https://go.microsoft.com/fwlink/?linkid=211324&clcid=0x407) und unter Exemplarische Vorgehensweise zu Ansprüchen: Schreiben von Anspruchsanbietern für SharePoint 2010 (https://go.microsoft.com/fwlink/?linkid=207589&clcid=0x407). Informationen zur Außerkraftsetzung des Standardanspruchsanbieters finden Sie unter Außerkraftsetzen der Standardnamensauflösung und des Forderungsanbieters für SharePoint 2010 (https://go.microsoft.com/fwlink/?linkid=207591&clcid=0x407).

Informationen zu benutzerdefinierten Anspruchsanbietern

Standardmäßig hängen die Informationen, die in der Personenauswahl beim Ausführen einer Abfrage aufgelöst werden, von den vom Anspruchsanbieter bereitgestellten Informationen ab. Sie können nicht ändern, welche Informationen bereitgestellt werden und wie diese angezeigt werden, wenn Sie die mitgelieferten Anspruchsanbieter verwenden. Hierzu muss ein Entwickler einen benutzerdefinierten Anspruchsanbieter erstellen, der die Bedürfnisse Ihrer Lösung zur Suche und Auswahl von Benutzern, Gruppen und Ansprüchen erfüllt, wenn ein Benutzer Elementen wie einer Website, Liste oder Bibliothek Berechtigungen zuweist.

Wenn die Webanwendung z. B. die SAML-Authentifizierung verwendet und Sie auch Benutzer aus dem Active Directory auflösen möchten, müssen Sie einen benutzerdefinierten Anspruchsanbieter erstellen. Weitere Beispiele zu Verwendungsszenarien für Anspruchsanbieter finden Sie unter Anspruchsanbieter (https://go.microsoft.com/fwlink/?linkid=207579&clcid=0x407).

Wenn Sie einen benutzerdefinierten Anspruchsanbieter erstellen, können Sie die angezeigten Informationen und die als Antwort auf eine Abfrage aus dem Personenauswahl-Steuerelement zurückgegebenen Ergebnisse steuern. Standardmäßig konfigurieren Sie die Webanwendung für die Verwendung der anspruchsbasierten Authentifizierung und registrieren dann den Anspruchsanbieter auf dem Server.

Hinweis

Die Reihenfolge, in der Anspruchsanbieter im Dialogfeld Benutzer und Gruppen auswählen in der Personenauswahl angezeigt werden, kann nicht gesteuert werden.

Informationen zum Schreiben eines benutzerdefinierten Anspruchsanbieters finden Sie unter Gewusst wie: Erstellen eines Forderungsanbieters (https://go.microsoft.com/fwlink/?linkid=207588&clcid=0x407) und unter Exemplarische Vorgehensweise zu Ansprüchen: Schreiben von Anspruchsanbietern für SharePoint 2010 (https://go.microsoft.com/fwlink/?linkid=207589&clcid=0x407). Informationen zur Außerkraftsetzung des Standardanspruchsanbieters finden Sie unter Außerkraftsetzen der Standardnamensauflösung und des Forderungsanbieters für SharePoint 2010 (https://go.microsoft.com/fwlink/?linkid=207591&clcid=0x407).

Bereitstellen und Konfigurieren von benutzerdefinierten Anspruchsanbietern

Standardmäßig werden bei der Registrierung eines benutzerdefinierten Anspruchsanbieters in der Farm die Eigenschaften IsEnabled und IsUsedByDefault auf True festgelegt. Wenn die IsUsedByDefault-Eigenschaft nicht auf False festgelegt ist, wird der benutzerdefinierte Anspruchsanbieter im Dialogfeld Benutzer und Gruppen auswählen in der Personenauswahl für alle Zonen angezeigt. Abhängig von der Anzahl von Zonen, die für die SharePoint Server 2010-Lösung erforderlich sind, von den in jeder Zone verwendeten Authentifizierungsmethoden und den Benutzern für jede Zone möchten Sie die Zonen, in denen der benutzerdefinierte Anspruchsanbieter in der Personenauswahl angezeigt wird, möglicherweise einschränken.

Da Anspruchsanbieter auf Farmebene gültig sind und auf Zonenebene aktiviert werden, müssen die Zonen, in denen der benutzerdefinierte Anspruchsanbieter angezeigt werden soll, sorgfältig geplant werden. Im Allgemeinen sollten Sie sicherstellen, dass die IsUsedByDefault-Eigenschaft auf False festgelegt ist. Konfigurieren Sie dann die SPIisSettings-Klasse für jede Zone, in der Sie den benutzerdefinierten Anspruchsanbieter verwenden möchten. Zur Konfiguration eines benutzerdefinierten Anspruchsanbieters für Auswahlzonen können Sie ein Windows PowerShell-Skript erstellen, das den Anspruchsanbieter für eine Zone mithilfe der SPIisSettings.ClaimsProviders-Eigenschaft festlegt. Sie können auch eine benutzerdefinierte Anwendung erstellen, die Ihnen das Aktivieren eines benutzerdefinierten Anspruchsanbieters für Auswahlzonen ermöglicht. Informationen zur SPIisSettings.ClaimsProvider-Eigenschaft finden Sie unter SPIisSettings.ClaimsProvider-Eigenschaft (https://go.microsoft.com/fwlink/?linkid=207597&clcid=0x407). Informationen zum Erstellen einer benutzerdefinierten Anwendung zur Konfiguration von Anspruchsanbietern für Auswahlzonen finden Sie im TechNet-Blogbeitrag Configuring a Custom Claims Provider to be Used only on Select Zones in SharePoint 2010 (https://go.microsoft.com/fwlink/?linkid=207592&clcid=0x407).

Stellen Sie sich z. B. ein Szenario mit zwei Webanwendungen vor: Die erste Webanwendung, PartnerWeb, besitzt zwei Zonen: ein Intranet, in dem die anspruchsbasierte Windows-Authentifizierung verwendet wird, und ein Extranet, in dem die formularbasierte Authentifizierung verwendet wird. Diese Webanwendung wird zur Zusammenarbeit zwischen Mitarbeitern und Partnern verwendet. Die zweite Webanwendung, PublishingWeb, besitzt nur eine Zone, in der die formularbasierte Authentifizierung verwendet wird. Hierbei handelt es sich um eine Veröffentlichungssite für das Internet für Mitarbeiter, Geschäftspartner und Kundenpartner. Nehmen wir nun an, dass in der Extranetzone von PartnerWeb die Mitarbeiter in der Lage sein sollen, mit Geschäftspartnern zusammenzuarbeiten, nicht jedoch mit Kundenpartnern. Zu diesem Zweck schreiben Sie einen benutzerdefinierten Anspruchsanbieter, der abhängig von der Identität des Benutzers bestimmt, ob der aktuelle Benutzer ein Geschäftspartner oder ein Kundenpartner ist. In diesem Beispiel sind Benutzer von fabrikam.com Geschäftspartner, während Benutzer von contoso.com Kundenpartner sind. Wenn ein Benutzer, der ein Geschäftspartner ist, in der PartnerWeb-Webanwendung authentifiziert wird, wird ein Anspruch für eine Rolle mit dem Namen BusinessPartner dem Anspruchstoken hinzugefügt. Wird ein Kundenpartner authentifiziert, wird ein Anspruch für eine Rolle mit dem Namen CustomerPartner dem Anspruchstoken hinzugefügt. Wenn Sie sicherstellen möchten, dass Kundenpartner auf keinem Fall der Website für Zusammenarbeit im Extranet hinzugefügt werden, können Sie eine Webanwendungsrichtlinie in der PartnerWeb-Webanwendung für die Extranetzone hinzufügen, in der einem Benutzer, der einen Anspruch für eine Rolle mit dem Namen CustomerPartner besitzt, der Zugriff explizit verweigert wird. Der benutzerdefinierte Anspruchsanbieter müsste auch die Suche und die Eingabeunterstützung für die Webanwendungsrichtlinie implementieren, um den CustomerPartner-Rollenanspruch aufzulösen, sodass er der Webanwendungsrichtlinie hinzugefügt werden kann. Schließlich müssen Sie zur Aktivierung dieser Funktionalität in der Extranetzone die SPIisSettings-Klasse für diese Zone konfigurieren, sodass der benutzerdefinierte Anspruchsanbieter verwendet wird. Im folgenden Diagramm sind die Authentifizierungsmethoden und Einstellungen für den Anspruchsanbieter für jede Webanwendung und Zone dargestellt.

SPIisSettings-Diagramm

Hinweis

Auf der Website der Zentraladministration werden alle Anspruchsanbieter im Dialogfeld Benutzer und Gruppen auswählen in der Personenauswahl angezeigt, unabhängig davon, ob die IsUsedByDefault-Eigenschaft auf True festgelegt ist.

Sie können die IsUsedByDefault-Eigenschaft festlegen, indem Sie sie in einem Featureempfänger konfigurieren, den Sie für den benutzerdefinierten Anspruchsanbieter erstellen. Informationen zur Verwendung eines Featureempfängers zum Bereitstellen eines benutzerdefinierten Anspruchsanbieters finden Sie unter Beispiel: Featureempfänger zur Bereitstellung eines Forderungsanbieters (https://go.microsoft.com/fwlink/?linkid=207590&clcid=0x407).

Sie können auch die Einstellungen der Eigenschaften IsEnabled und IsUsedByDefault außer Kraft setzen, indem Sie das Set-SPClaimProviderWindows PowerShell-Cmdlet verwenden.

Wichtig

Beim Ändern der IsEnabled-Eigenschaft auf False wird der Anspruchsanbieter für die gesamte Serverfarm deaktiviert. Dies kann bei der Problembehandlung wichtig sein, wenn Probleme durch einen benutzerdefinierten Anspruchsanbieter verursacht sein können. Im Allgemeinen sollte die IsEnabled-Eigenschaft jedoch auf True festgelegt sein.

Verwenden von benutzerdefinierten Ansprüchen in mehr als einer Farm

Anspruchswerte sind eine Kombination aus dem Anspruch selbst, dem Namen des Anspruchsanbieters und der Reihenfolge, in der der Anspruchsanbieter auf dem Server installiert wurde. Wenn Sie also einen Anspruch in mehreren Farmen oder Umgebungen verwenden möchten, müssen Sie die Anspruchsanbieter in derselben Reihenfolge in jeder Farm installieren, in der Sie den Anspruch verwenden möchten. Führen Sie die folgenden Schritte aus, wenn Sie einen benutzerdefinierten Anspruchsanbieter in einer Farm installiert haben und denselben Anspruch in weiteren Farmen verwenden möchten.

  1. Registrieren Sie die Anspruchsanbieter in weiteren Farmen in derselben Reihenfolge wie in der ersten Farm.

  2. Sichern Sie die erste Farm. Informationen zum Sichern einer Farm finden Sie unter Sichern einer Farm (SharePoint Server 2010).

  3. Verwenden Sie die Sicherung der ersten Farm zum Wiederherstellen der anderen Farmen. Informationen zum Wiederherstellen einer Farm finden Sie unter Wiederherstellen einer Farm (SharePoint Server 2010).

Überlegungen zu benutzerdefinierten Anspruchsanbietern

Bei der Planung von benutzerdefinierten Anspruchsanbietern zur Verwendung in der Personenauswahl der SharePoint-Lösung sollten Sie die folgenden Fragen beantworten:

  • Welche Zonen sind in der Webanwendung vorhanden, und welche Authentifizierungsmethoden werden in jeder Zone verwendet?

  • Sind benutzerdefinierte Ansprüche vorhanden, die Benutzern hinzugefügt werden sollten, um erweiterte Sicherheitsszenarien zu ermöglichen?

  • Wird die SAML-Authentifizierung mit einem vertrauenswürdigen Identitätsanbieter verwendet?

  • Aus welcher Quelle stammen die Werte für die Benutzer und Rollen, die in den Abfrageergebnissen der Personenauswahl angezeigt werden?

  • Welche Anspruchsdaten sollen im Dialogfeld Benutzer und Gruppen auswählen aufgelöst werden?

Das SharePoint Server 2010 Content Publishing-Team dankt Steve Peschka für seine Unterstützung bei diesem Artikel. Seinen Blog finden Sie hier (https://go.microsoft.com/fwlink/?linkid=210274&clcid=0x407).

See Also

Concepts

Planen von Authentifizierungsmethoden (SharePoint Server 2010)