Server-zu-Server-Authentifizierung und Benutzerprofile in SharePoint Server

  • Artikel

 

**Gilt für:**SharePoint Server 2013, SharePoint Server 2016

**Letztes Änderungsdatum des Themas:**2017-08-24

Zusammenfassung: In diesem Artikel wird die Planung von Benutzerprofilen für die Server-zu-Server-Authentifizierung in SharePoint Server 2013 und SharePoint Server 2016 erläutert.

Server, die Server-zu-Server-Authentifizierung unterstützen, können über diese Option im Namen von Benutzern auf Ressourcen auf dem jeweils anderen Server zugreifen und Ressourcen vom jeweils anderen Server anfordern. Der Server, der SharePoint Server ausführt und eingehende Ressourcenanforderungen bearbeitet, muss daher zwei Tasks ausführen können:

  • Auflösen der Anforderung für einen bestimmten SharePoint-Benutzer

  • Ermitteln der Rollenansprüche, die dem Benutzer zugeordnet sind (als Aktivieren der Benutzeridentität bezeichnet)

Zur Aktivierung einer Benutzeridentität fordert ein Server mit Unterstützung für Server-zu-Server-Authentifizierung Zugriff auf SharePoint-Ressourcen an. SharePoint Server extrahiert die Ansprüche aus dem eingehenden Sicherheitstoken und löst auf einen spezifischen SharePoint-Benutzer auf. Standardmäßig verwendet SharePoint Server die integrierte Benutzerprofildienst-Anwendung, um die Identität aufzulösen.

Die wichtigsten Benutzerattribute zum Ermitteln der entsprechenden Benutzerprofile lauten:

  • Windows-Sicherheits-ID (SID)

  • Der Benutzerprinzipalname (UPN) für Active Directory-Domänendienste (AD DS)

  • Die SMTP-Adresse (Simple Mail Transfer Protocol)

  • SIP-Adresse (Session Initiation Protocol)

Daher muss mindestens eines dieser Benutzerattribute in den Benutzerprofilen aktuell sein.

Hinweis

Wir empfehlen eine regelmäßige Synchronisierung der Identitätsspeicher mit der Benutzerprofildienst-Anwendung (nur für SharePoint Server 2013). Weitere Informationen finden Sie unter Planen der Profilsynchronisierung für SharePoint Server 2013 Preview.

Außerdem erwartet SharePoint Server für eine auf diesen vier Attributen basierende Suchanfrage nur einen einzigen passenden Eintrag in der Benutzerprofildienst-Anwendung. Andernfalls wird ein Fehler mit der Meldung zurückgegeben, dass mehrere Benutzerprofile gefunden wurden. Aus diesem Grund ist es ratsam, regelmäßig veraltete Benutzerprofile aus der Benutzerprofildienst-Anwendung zu löschen, damit nicht mehrere Benutzerprofile dieselben vier Attribute verwenden.

Wenn ein Benutzerprofil und die zugehörigen Gruppenmitgliedschaften des Benutzers nicht synchronisiert werden, verweigert SharePoint Server womöglich fälschlicherweise den Zugriff auf die angeforderte Ressource. Stellen Sie deshalb sicher, dass Gruppenmitgliedschaften mit der Benutzerprofildienst-Anwendung synchronisiert werden. Bei Windows-Ansprüchen importiert die Benutzerprofildienst-Anwendung die vier oben beschriebenen Hauptbenutzerattribute und die Gruppenmitgliedschaften.

Für die formularbasierte und Security Assertion Markup Language (SAML)-basierte Anspruchsauthentifizierung müssen Sie einen der folgenden Schritte ausführen:

  • Erstellen Sie eine Synchronisierungsverbindung zu einer Datenquelle, die von der Benutzerprofil-Dienstanwendung unterstützt wird, und ordnen Sie die Verbindung einem bestimmten Anbieter einer formularbasierten oder SAML-basierten Authentifizierung zu. Außerdem müssen Sie Attribute aus dem Benutzerspeicher den oben beschriebenen vier Benutzerattributen zuordnen (bzw. so viele, wie Sie aus der Datenquelle abrufen können).

  • Erstellen Sie eine benutzerdefinierte Komponente, und stellen Sie diese bereit, um die Synchronisierung manuell durchzuführen. Dies ist die gängigste Möglichkeit für Benutzer, die Windows nicht verwenden. Beachten Sie, dass der Anbieter der formularbasierten oder SAML-basierten Authentifizierung aufgerufen wird, wenn die Identität des Benutzers zum Abrufen seiner Rollenansprüche aktiviert wird.

Benutzeraktivierung für anfordernde Server

Wenn auf dem anfordernden Server Exchange Server 2016 oder Skype for Business Server 2015 ausgeführt wird (beide verwenden standardmäßige Windows-Authentifizierungsmethoden), enthält das vom anfordernden Server gesendete eingehende Sicherheitstoken den UPN des Benutzers sowie gegebenenfalls weitere Attribute wie SMTP, SIP und die SID der Benutzeridentität. Diese Informationen werden vom empfangenden Server, also SharePoint Server, zur Lokalisierung des Benutzerprofils verwendet.

Wird auf dem anfordernden Server SharePoint Server ausgeführt, aktiviert der empfangende Server den Benutzer mithilfe der folgenden anspruchsbasierten Authentifizierungsmethoden:

  • Zur Authentifizierung von Windows-Ansprüchen verwendet SharePoint Server AD DS-Attribute, um das Benutzerprofil des Benutzers (z. B. UPN- oder SID-Wert) und seine Rollenansprüche (Gruppenmitgliedschaft) zu ermitteln.

  • Bei der formularbasierten Authentifizierung verwendet SharePoint Server das Attribut „Account“ zur Lokalisierung des Benutzerprofils und ruft dann den Rollenanbieter sowie alle weiteren benutzerdefinierten Anspruchsanbieter auf, um den zugehörigen Satz Rollenansprüche abzurufen. SharePoint Server verwendet beispielsweise Attribute in AD DS, in einer Datenbank wie einer SQL Server-Datenbank oder in einem Lightweight Directory Access Protocol (LDAP)-Datenspeicher, um nach dem Benutzerprofil zu suchen, das den Benutzer repräsentiert (z. B. UPN- oder SID-Wert). Die Komponente, die Sie zur Synchronisierung Ihrer formularbasierten Anbieter verwenden, sollte in Benutzerprofile mindestens den Kontonamen des Benutzers eintragen. Sie können auch einen benutzerdefinierten Anspruchsanbieter erstellen, um zusätzliche Ansprüche als Attribute in Benutzerprofile zu importieren.

  • Für die SAML-basierte Anspruchsauthentifizierung verwendet SharePoint Server das Attribut „AccountName“ zur Lokalisierung des Benutzerprofils und ruft dann den SAML-Anbieter und alle weiteren benutzerdefinierten Anspruchsanbieter auf, um den zugehörigen Satz Rollenansprüche abzurufen. Der Benutzeridentitätsanspruch sollte durch den entsprechenden SAML-Anspruchsanbieter dem Attribut „Account“ in Benutzerprofilen zugeordnet werden. Der SAML-Anspruchsanbieter sollte so konfiguriert sein, dass er die Benutzerprofile ausfüllt. Ebenso sollte ein UPN-Anspruch dem UPN-Attribut und der SMTP-Anspruch dem SMTP-Attribut zugeordnet werden. Zum Duplizieren des Satzes von Ansprüchen, die der Benutzer normalerweise von seinem Identitätsanbieter erhalten würde, müssen Sie diese Ansprüche einschließlich der Rollenansprüche über die so genannte Anspruchserweiterung hinzufügen. Ein benutzerdefinierter Anspruchsanbieter muss diese Ansprüche als Attribute in Benutzerprofile importieren.

See also

Planen der Server-zu-Server-Authentifizierung in SharePoint Server
Authentifizierungsübersicht für SharePoint Server