Planen alternativer Zugriffszuordnungen für SharePoint Server
GILT FÜR:2013 2016 2019 Subscription Edition SharePoint in Microsoft 365
Alternative Zugriffszuordnungen leiten Benutzer während ihrer Interaktion mit SharePoint Server 2016 (z. B. beim Navigieren zur Startseite einer SharePoint Server 2016-Website) zu den richtigen URLs weiter. Durch alternative Zugriffszuordnungen kann SharePoint Server Webanforderungen den richtigen Webanwendungen und Websites zuordnen, und sharePoint Server kann dem Benutzer den richtigen Inhalt zurückgeben.
Da die Features für alternative Zugriffszuordnungen veraltet sind, empfehlen wir, anstatt alternativer Zugriffszuordnungen Websitesammlungen mit Hostnamen verwenden.
Zusätzliche Informationen zum Planen von Websitesammlungen mit Hostnamen finden Sie unter Websitesammlungsarchitektur mit Hostnamen und Bereitstellung in SharePoint Server.
Alternative Zugriffszuordnungen wurden implementiert, da es gängige Internetbereitstellungsszenarios gibt, in denen die von Internetinformationsdienste (IIS) erhaltene URL einer Webanforderung von der URL abweicht, die vom Benutzer eingegeben wurde. Dies tritt am ehesten in Bereitstellungsszenarios auf, die Reverseproxy-Veröffentlichung und Lastenausgleich enthalten.
Hinweis
[!HINWEIS] Alternative Zugriffszuordnungen müssen für Lastenausgleich konfiguriert sein, obwohl sich dieser normalerweise nicht auf Hostheader-Websitesammlungen bezieht. Die öffentliche Standardzonen-URL sollte auf eine Domänen-URL festgelegt werden, die alle Benutzer anzeigen dürfen. Nur dann können die Namen von Webservern oder deren IP-Adressen in Parametern angezeigt werden, die zwischen Seiten in SharePoint Server 2016 übergeben wurden.
Info zu alternativen Zugriffszuordnungen
Alternative Zugriffszuordnungen ermöglichen einer Webanwendung, die eine Anforderung für eine interne URL in einer der fünf Zonen erhält, Seiten zurückzugeben, die Links zur öffentlichen URL für die Zone enthalten. Sie können eine Webanwendung mithilfe einer Sammlung von Zuordnungen zwischen internen und öffentlichen URLs zuordnen. Intern bezieht sich auf die URL einer Webanforderung, die von SharePoint Server empfangen wird. Öffentlich bezieht sich auf die URL, mit der SharePoint Links formatiert, die Anforderungen entsprechen, die mit einer der internen URLs in dieser Zone übereinstimmen, wenn der Dienst eine Antwort zurückgibt. Die öffentliche URL ist die Basis-URL, die SharePoint Server auf den zurückgegebenen Seiten verwendet. Wenn die interne URL durch ein Reverseproxy-Gerät geändert wurde, kann sie von der öffentlichen URL abweichen.
Hinweis
[!HINWEIS] Websitesammlungen mit Hostnamen können alternative Zugriffszuordnungen nicht verwenden. Websitesammlungen mit Hostnamen werden automatisch in der Standardzone verarbeitet, und die URL der Anforderung darf zwischen dem Benutzer und dem Server nicht geändert werden.
Mehrere interne URLs können mit einer einzigen öffentlichen URL verknüpft werden. Zuordnungssammlungen können bis zu fünf Authentifizierungszonen enthalten. Jede Zone kann jedoch nur eine einzige öffentliche URL haben. Zuordnungssammlungen entsprechen den folgenden Authentifizierungszonen:
Standard
Intranet
Internet
Benutzerdefiniert
Extranet
Reverseproxy-Veröffentlichung
Ein Reverseproxy ist ein Gerät, das sich zwischen Benutzern und Ihrem Webserver befindet. Alle Anforderungen an Ihren Webserver werden zuerst vom Reverseproxy-Gerät empfangen, und wenn diese Anforderungen die Sicherheitsfilter des Proxy passieren, leitet der Proxy die Anforderungen an Ihren Webserver weiter.
Integration von alternativen Zugriffszuordnungen in Authentifizierungsanbieter
Alternative Zugriffszuordnungen erlauben Ihnen, eine Webanwendung in fünf verschiedenen Zonen zur Verfügung zu stellen, wobei jede Zone eine andere IIS-Website aufweist.
Hinweis
[!HINWEIS] Fälschlicherweise wird manchmal angenommen, dass bis zu fünf verschiedene Webanwendungen vorhanden sind, welche die gleichen Inhaltsdatenbanken teilen. In Wirklichkeit ist nur eine Webanwendung vorhanden.
Diese Zonen erlauben Ihnen nicht nur, ein und dieselbe Webanwendung über mehrere URLs aufzurufen, sondern auch, mehrere Authentifizierungsanbieter zu verwenden, um auf die gleiche Webanwendung zuzugreifen.
Wenn Sie eine Webanwendung in eine Zone erweitern, müssen Sie von IIS bereitgestellte Windows-Authentifizierung verwenden. Nachdem die Webanwendung in die Zone erweitert wurde, können Sie den von der Zone verwendeten Authentifizierungstyp ändern.
Verwenden Sie das folgende Verfahren, um die Authentifizierungskonfiguration für eine Zone zu ändern.
So ändern Sie den Authentifizierungstyp für eine Zone
Öffnen Sie unter Verwaltung die Zentraladministration.
Klicken Sie auf der Zentraladministration-Homepage auf Anwendungsverwaltung.
Klicken Sie auf der Seite Anwendungsverwaltung im Abschnitt Anwendungssicherheit auf Authentifizierungsanbieter.
Wählen Sie auf der Seite Authentifizierungsanbieter Ihre Webanwendung aus, die im Feld Webanwendung aufgeführt wird.
Klicken Sie auf den Namen der Zone, deren Authentifizierungskonfiguration Sie ändern möchten.
Hinweis
[!HINWEIS] Sie können nur Zonen auswählen, die eine unterstützende IIS-Website aufweisen. Diesen Zonen wurde im Rahmen des Verfahrens "Erweitern einer vorhandenen Webanwendung" eine IIS-Website zugeordnet.
Wählen Sie auf der Seite Authentifizierung bearbeiten im Abschnitt Forderungsauthentifizierungstypen den Authentifizierungstyp aus, den Sie für diese Zone verwenden möchten:
Windows-Authentifizierung (Standardwert)
Standardauthentifizierung
Formularbasierte Authentifizierung (FBA)
Vertrauenswürdiger Identitätsanbieter
Ändern Sie alle anderen Authentifizierungskonfigurationseinstellungen, die Sie ändern möchten, und klicken Sie auf Speichern.
Zu diesem Zeitpunkt können Sie Authentifizierungskonfigurationseinstellungen für jede andere Zone ändern. Sie können für unterschiedliche Zonen, die auf die gleichen Inhalte zugreifen, vollständig unabhängige Authentifizierungseinstellungen konfigurieren. So können Sie z. B. festlegen, dass einige Inhalte anonym verfügbar sind, während für andere Inhalte Anmeldedaten erforderlich sind. Sie könnten für eine Zone anonymen Zugriff aktivieren und alle anderen Authentifizierungsformen deaktivieren und dadurch sicherstellen, dass nur die anonymen Inhalte verfügbar sind. Gleichzeitig können Sie für eine andere Zone anonymen Zugriff deaktivieren und NTLM-Authentifizierung aktivieren und dadurch sicherstellen, dass nur authentifizierter Zugriff aktiviert ist. Darüber hinaus können Sie festlegen, dass auf die gleichen Inhalte über unterschiedliche Kontoarten zugegriffen wird: Eine Zone kann so konfiguriert werden, dass Active Directory-Konten in Windows verwendet werden, während eine andere Zone so konfiguriert wird, dass Nicht-Active Directory-Konten verwendet werden, die formularbasierte ASP.NET-Authentifizierung verwenden.
Integration von alternativen Zugriffszuordnungen in Webanwendungsrichtlinien
Webanwendungsrichtlinien erlauben Administratoren, Konten und Sicherheitsgruppen für alle durch eine Zone verfügbar gemachten Websites Zugriffsrechte zu gewähren oder zu verweigern. Dies kann für viele Szenarios hilfreich sein.
Beispielsweise muss der SharePoint Server-Suchcrawler dieselbe Autorisierungsinfrastruktur wie jeder andere Benutzer durchlaufen: Er kann nur Inhalte durchforsten, auf die er Zugriff hat. Benutzer möchten jedoch weiterhin, dass die Suche eingeschränkte Inhalte durchforsten soll, damit autorisierte Benutzer diese Inhalte in Suchergebnissen finden können. Der Suchdienst verwendet eine Richtlinie für vollständiges Lesen für die Webanwendungen, um seinem Crawler die Berechtigung zu erteilen, alle Inhalte in dieser Webanwendung zu lesen. Auf diese Weise kann es alle vorhandenen und zukünftigen Inhalte durchforsten und indizieren, auch inhalte, auf die der Websiteadministrator ihm nicht explizit Zugriff gewährt hatte.
Ein weiteres Beispiel wäre Helpdeskmitarbeiter, die Administratorzugriff auf SharePoint Server-Websites benötigen, damit sie Benutzern helfen können. Dazu können Sie eine Webanwendungsrichtlinie erstellen, die den Konten der Helpdeskmitarbeiter Vollzugriff gewährt, sodass sie vollständigen administrativen Zugriff auf alle derzeitigen und zukünftigen Websites in der Webanwendung haben.
Da Richtlinien sowohl mit Webanwendungen als auch deren Zonen verknüpft werden, können Sie sicherstellen, dass die Richtlinie, die Sie auf eine Zone anwendet haben, keine Auswirkung auf andere Zonen hat. Dies kann hilfreich sein, wenn Sie Inhalte sowohl im Unternehmensnetzwerk als auch im Internet bereitgestellt haben. Beispiel: Angenommen, Sie haben dem Konto eines Helpdeskmitarbeiters Vollzugriff auf die Zone einer Webanwendung erteilt, die dem Unternehmensnetzwerk zugewiesen ist. Würde ein Benutzer versuchen, die Website mit diesem Konto über das Internet aufzurufen, würde diese Vollzugriffsberechtigung nicht angewendet werden, da sie erkennt, dass sich die URL in einer anderen Zone befindet. Daher würden dem Konto nicht automatisch administrative Zugriffsrechte auf die Website erteilt.
Alternative Zugriffszuordnungen und externe Ressourcenzuordnung
Mit SharePoint Server können Sie die alternative Zugriffszuordnungsfunktion auf Inhalte erweitern, die nicht in der SharePoint Server-Farm gehostet werden. Navigieren Sie zum Konfigurieren dieser Funktion zur Seite Alternative Zugriffszuordnungen , und klicken Sie dann auf Externe Ressource zuordnen. Anschließend werden Sie aufgefordert, einen Eintrag für eine externe Ressource zu erstellen, den Sie sich als eine andere Webanwendung vorstellen können. Nachdem Sie über eine externe Ressource verfügen, können Sie ihr auf die gleiche Weise wie Webanwendungen unterschiedliche URLs und Zonen zuweisen. Dieses Feature wird nicht in SharePoint Server verwendet, aber Produkte von Drittanbietern, die auf SharePoint Server aufbauen, können es verwenden.
Beispielsweise kann die Suchtechnologie in SharePoint Server Inhalte außerhalb der Farm durchforsten, z. B. Dateifreigaben und Websites. Wenn diese Inhalte unter unterschiedlichen URLs in unterschiedlichen Netzwerken verfügbar sind, sollte die Suche Ergebnisse mithilfe der dem derzeitigen Netzwerk des Benutzers entsprechenden URLs zurückgeben. Mithilfe der Technologie für externe Ressourcenzuordnung der alternativen Zugriffszuordnung kann die Suche die externen URLs in den Ergebnisse entsprechend der Zone des Benutzers neu zuordnen.
Siehe auch
Konzepte
Konfigurieren alternativer Zugriffszuordnungen für SharePoint Server