Microsoft IT implementiert einen benutzerdefinierten Anspruchsanbieter (Fallstudie)

 

Gilt für: SharePoint Server 2010

Letztes Änderungsdatum des Themas: 2016-11-30

Microsoft IT (MSIT) hat ein anspruchsbasiertes Sicherheitsmodell mithilfe von Microsoft SharePoint Server 2010 erfolgreich für ein internes Personalwesenportal entwickelt und implementiert.

Inhalt dieses Artikels:

  • Ein flexibles Sicherheitsmodell

  • SharePoint-Ansprüche

  • Komponenten des Sicherheitsmodells für das Personalwesenportal

  • Zusätzliche Ressourcen

Ein flexibles Sicherheitsmodell

Das Personalwesenportal unterstützt mithilfe eines benutzerdefinierten Anspruchsanbieters etwa 90.000 eindeutige Identitäten und implementiert Verbundansprüche und die Erweiterung von Ansprüchen. Standardmäßig unterstützt SharePoint Server 2010 einfache, disjunktive Ansprüche, für die nur der OR-Operator zwischen Assertionen verwendet werden kann. Für die Verwendung von Verbundansprüchen, die konjunktiv und disjunktiv sind (und die Verwendung der Operatoren OR und AND zwischen Assertionen unterstützen), ist ein benutzerdefinierter Anspruchsanbieter erforderlich. Die Erweiterung von Ansprüchen war ebenfalls erforderlich, um die Kombination von Benutzerdaten aus einem intern zugänglichen Datenrepository (Active Directory-Domänendienste) mit Informationen aus externen Datenrepositorys wie etwa SAP zu ermöglichen. Der benutzerdefinierte Anspruchsanbieter wurde so gestaltet, dass bestimmte Inhalte für jeden eindeutig identifizierten Benutzer explizit gesichert und adressiert werden. Der benutzerdefinierte Anspruchsanbieter war außerdem für die Unterstützung der Funktion View Portal As erforderlich. View Portal As ermöglicht die temporäre Delegierung der Identität eines Benutzers an einen anderen Benutzer. Auf diese Weise kann der Benutzer mit der delegierten Identität das Personalwesenportal als ein anderer Benutzer anzeigen. Die Funktion View Portal As ist auf eine Teilmenge der Administratoren beschränkt, die am Personalwesenportal arbeiten. Für die meisten Benutzer, die auf das Portal zugreifen können, ist sie nicht verfügbar.

SharePoint-Ansprüche

SharePoint Server 2010 bietet die Vorteile der einfachen anspruchsbasierten Authentifizierung, die ein sicheres Identitätsverwaltungssystem beinhaltet, das die Konfiguration und Verwaltung der Benutzerauthentifizierung und die Überwachung ermöglicht. Ansprüche bestehen aus Identitätsassertionen, die in Sicherheitstoken gekapselt sind, welche authentifizierten Benutzern erteilt werden und Benutzern den Zugriff auf Ressourcen in SharePoint Server 2010-Webanwendungen ermöglichen. Identitätsassertionen sind Attribute, die Benutzern zugeordnet werden. Assertionen können einen Benutzernamen, eine Rolle, eine Mitarbeiterkennung und eine Reihe anderer Attribute enthalten, mit deren Hilfe Autorisierungs- und Berechtigungsstufen für den Zugriff auf SharePoint Server 2010-Webanwendungsressourcen bestimmt werden können. Sicherheitstoken werden mit einem Sicherheitstokendienst (Security Token Service, STS) erstellt und verwaltet, der als Identitätsanbieter dient. Ein Sicherheitstokendienst kapselt Assertionen basierend auf durch eine Richtlinie angegebene Attribute in einem Sicherheitstoken, mit dem ein Benutzer dann authentifiziert und autorisiert werden kann. Zum Erstellen eines Sicherheitstokens muss der Sicherheitstokendienst gültige Anmeldeinformationen für einen Benutzer in einem Attributspeicher finden. Active Directory-Domänendienste können als Attributspeicher für einen Sicherheitstokendienst verwendet werden.

Komponenten des Sicherheitsmodells für das Personalwesenportal

Der Entwurf des Personalwesenportals beinhaltet die Implementierung der folgenden Komponenten, um etwa 90.000 Benutzern den verwaltbaren, durchsuchbaren und sicheren Zugriff zu ermöglichen:

  • SharePoint-Gruppen

  • Benutzergruppenadressierung

  • FAST-Suche

SharePoint-Gruppen

Für die Verwaltung einer Bereitstellung mit etwa 90.000 Benutzern und einer Implementierung, von der Hunderte von Verbundansprüchen verarbeitet werden müssen, enthält der Entwurf des Sicherheitsmodells für das Personalwesenportal SharePoint-Gruppen. Eine SharePoint-Gruppe ist ein logischer Container für SharePoint Server 2010-Benutzer. Durch die Implementierung von SharePoint-Gruppen können Administratoren aussagekräftige Gruppennamen für Identitätssammlungen von Anspruchswerten erstellen. Darüber hinaus unterstützt die Personenauswahl die Namensauflösung für SharePoint-Gruppen. Ein weiterer Grund für die Implementierung von SharePoint-Gruppen ist, dass Administratoren mithilfe von SharePoint-Gruppen die Authentifizierung und die Verwendung des OR-Operators dynamisch verwalten können, um mehrere Ansprüche auf der Ebene einer SharePoint-Gruppe zusammenzufassen.

Benutzergruppenadressierung

Die Möglichkeit, dass Administratoren Inhalt für angegebene Benutzergruppen filtern und adressieren können, spielt bei einer Bereitstellung, von der etwa 90.000 Benutzer unterstützt werden, eine wichtige Rolle. Das Designteam für das Personalwesenportal implementierte SharePoint-Gruppen für die Benutzergruppenadressierung mithilfe der Benutzerprofildienst-Anwendung. Als das Designteam jedoch eine SharePoint-Gruppe erstellte, die Ansprüche eines benutzerdefinierten Anspruchsanbieters enthält, wies das Designteam der SharePoint-Gruppe keine Standardberechtigungsstufe zu. Verwenden Sie beim Erstellen von SharePoint-Gruppen die Gruppen für die Sicherheit, und weisen Sie keine Berechtigungsstufe zu. Den Gruppen wird automatisch die Berechtigungsstufe Eingeschränkter Zugriff zugewiesen. Der Zielgruppenprozessor ignoriert auf diese Weise erstellte SharePoint-Gruppen. Zur Behebung dieses Problems stellte das Designteam fest, dass durch das Zuweisen der Berechtigungsstufe Lesen zu einer SharePoint-Gruppe, die Ansprüche eines benutzerdefinierten Anspruchsanbieters enthält, und durch das anschließende Entfernen der Berechtigungsstufe Lesen die SharePoint-Gruppe ordnungsgemäß durch den Zielgruppenprozessor verarbeitet wurde. Sie müssen dieses Verfahren nur für eine SharePoint-Gruppe innerhalb der Vererbungsstruktur ausführen. Dieses Verfahren muss nicht für jede SharePoint-Gruppe ausgeführt werden, die einen Anspruch eines benutzerdefinierten Anspruchsanbieters enthält.

FAST-Suche

Das Portaldesignteam verwendete Microsoft FAST Search Server 2010 for SharePoint gehostet in einer Verbundumgebung, um die Auffindbarkeit von Inhalten und ein hohes Suchleistungsniveau für eine Bereitstellung mit einer sehr großen Anzahl von Benutzern und Netzwerkressourcen zu ermöglichen. Die Bereitstellung von FAST Search Server 2010 for SharePoint wies die folgenden Komponenten auf:

  • Abfragesuchdienstanwendungen

  • Eine Inhaltssuchdienstanwendung

  • Eine Inhaltsquelle

Das Designteam kam zu der Erkenntnis, dass benutzerdefinierte Anspruchstypzuordnungen in der FAST Search Server 2010 for SharePoint-Farm registriert werden müssen, um die Einschränkung aus Sicherheitsgründen für die Suche zu aktivieren, und dass jeder im Personalwesenportal verwendete benutzerdefinierte Anspruchsanbieter auch in der FAST Search Server 2010 for SharePoint-Farm bereitgestellt werden muss. Das Designteam stellte außerdem fest, dass bestätigt werden muss, dass die Anspruchstypzuordnungen registriert sind und dass alle Anspruchs-IDs in allen SharePoint Server 2010-Farmen für dasselbe Anspruchstyp-Wertpaar identisch sind. Darüber hinaus kam das Designteam zu der Erkenntnis, dass die folgenden Bedingungen erfüllt sein müssen, um sicherzustellen, dass das Personalwesenportal über andere Intranetportale innerhalb des Unternehmens durchsucht werden kann:

  • Alle anderen Intranetportale, von denen Inhalt für das Personalwesenportal gerendert wird, basieren auf SharePoint Server 2010 und verwenden anspruchsbasierte Webanwendungen und die Windows-Authentifizierungsmethode.

  • Alle anderen Intranetportale, von denen Inhalt aus dem Personalwesenportal gerendert wird, führen eine Abfrage für denselben FAST-Suchindex aus.

  • Für alle anderen Intranetportale, von denen Inhalt aus dem Personalwesenportal gerendert wird, wird der benutzerdefinierte Anspruchsanbieter für das Personalwesenportal installiert. Außerdem muss der benutzerdefinierte Anspruchsanbieter in derselben Reihenfolge wie beim Personalwesenportal installiert werden.

Das folgende Diagramm veranschaulicht die physische Architektur für das MSIT-Personalwesenportal, das auf SharePoint Server 2010 und FAST Search Server 2010 for SharePoint basiert und einen benutzerdefinierten Anspruchsanbieter verwendet.

MSIT-Netzwerkdiagramm zu SharePoint-Forderungen

Zusätzliche Ressourcen

Ausführlichere Informationen zur Implementierung dieses Bereitstellungsszenarios finden Sie unter Benutzerdefinierte anspruchsbasierte Sicherheit in SharePoint 2010 (https://go.microsoft.com/fwlink/?linkid=232558&clcid=0x407).

Die anspruchsbasierte Authentifizierung von SharePoint Server 2010 basiert auf Windows Identity Foundation (WIF), einem Satz von .NET Framework-Klassen. Eine weitere Grundlage für die anspruchsbasierte Authentifizierung sind Standards wie WS-Verbund und WS-Trust. Weitere Informationen zu WIF finden Sie unter Windows Identity Foundation vereinfacht den Benutzerzugriff für Entwickler (https://go.microsoft.com/fwlink/?linkid=198943&clcid=0x407).

Vorgaben zum Implementieren eines benutzerdefinierten Anspruchsanbieters finden Sie in den folgenden TechNet- und MSDN-Artikeln: