Konfigurieren der Server-zu-Server-Authentifizierung zwischen Office Online Server und SharePoint Server 2016

  • Artikel

Zusammenfassung: Konfigurieren der Server-zu-Server-Authentifizierung zwischen Office Online Server und SharePoint 2016

Die Server-zu-Server-Authentifizierung zwischen Office Online Server und SharePoint Server 2016 stellt eine Vertrauensstellung zwischen den beiden Servern her. Diese Vertrauensstellung ist eine erforderliche Voraussetzung für einige Excel Online-Features, z. B. odc-Dateiunterstützung (Office Data Connection) und das IT-Verwaltungsdashboard, das Teil von SQL Server Power Pivot für SharePoint ist. Dieser Artikel führt Sie durch die Schritte zum Einrichten dieser Vertrauensstellung.

Wenn Sie Server-zu-Server-Authentifizierung konfigurieren möchten, müssen sich Ihre Office Online Server- und SharePoint Server-Farm in der gleichen Active Directory-Gesamtstruktur befinden. Außerdem benötigen Sie eine Benutzerprofil-Dienstanwendung auf der SharePoint Server-Farm konfiguriert haben.

Die grundlegenden Aktionen sind zum Konfigurieren der Server-zu-Server-Authentifizierung erforderlich:

  1. Importieren Sie das Zertifikat auf Office Online-Server
  2. Exportieren Sie das Zertifikat für den Einsatz auf SharePoint Server
  3. Konfigurieren Sie Office Online-Server, um das Zertifikat für die Server-zu-Server-Authentifizierung zu verwenden
  4. Konfigurieren Sie SharePoint-Server, um das Zertifikat für die Server-zu-Server-Authentifizierung zu verwenden

Beginnen wir mit dem Import des Zertifikats in Office Online Server.

Importieren Sie das Zertifikat auf Office Online-Server

Im ersten importieren Sie Ihr Zertifikat für die Verwendung durch Office Online Server. Befolgen Sie die Anweisungen unter Importieren Ihres Zertifikats und Erteilen der Netzwerkdienstberechtigung, um die Schlüsselprozeduren auf jedem Server in Ihrer Office Online Server Farm zu verwenden.

Importieren des Zertifikats

Sie können entweder ein SSL-Zertifikat mit privatem Schlüssel oder ein selbstsigniertes Zertifikat verwenden. Es wird dringend empfohlen, ein SSL-Zertifikat mit privatem Schlüssel zu verwenden. In den folgenden Abschnitten werden Verfahren zum Ausführen dieser Schritte erläutert. Wählen Sie die Website, die die von Ihnen verwendet wird.

Verwenden eines SSL-Zertifikats mit privatem Schlüssel

Installieren Sie das Zertifikat auf jedem Server mit Office Online Server.

So installieren Sie das Zertifikat auf Office Online Server

  1. Öffnen Sie IIS-Manager auf dem Server mit .
  2. Klicken Sie im linken Bereich auf den Servernamen.
  3. Doppelklicken Sie auf Serverzertifikate.
  4. Klicken Sie im Bereich Aktionen auf Importieren.
  5. Geben Sie den Pfad und dateinamen des SSL-Zertifikats ein, das Sie verwenden möchten.
  6. Geben Sie im Feld Kennwort das Kennwort für das Zertifikat ein.
  7. Stellen Sie in der Dropdown-Liste Zertifikat Store wählen sicher, dass Persönlich ausgewählt ist.
  8. Klicken Sie auf OK.

Wiederholen Sie dieses Verfahren auf jedem Server mit Office Online.

Verwenden eines selbstsignierten Zertifikats

Wenn Sie ein selbstsigniertes Zertifikat verwenden, müssen Sie es den Vertrauenswürdige StammzertifizierungsstellenTrusted Root-Zertifizierungsstellen hinzufügen.

Importieren des Zertifikats in die „Vertrauenswürdige Stammzertifizierungsstellen“

  1. Öffnen Sie die Microsoft Management Console (MMC).
  2. Klicken Sie im Menü Datei auf Snap-In hinzufügen/entfernen.
  3. Klicken Sie auf Zertifikate, und klicken Sie dann auf Hinzufügen.
  4. Wählen Sie die Option Computerkonto aus, klicken Sie auf Weiter, und klicken Sie dann auf Fertig stellen.
  5. Klicken Sie auf OK.
  6. Erweitern Sie den Eintrag Zertifikate (Lokaler Computer), klicken Sie mit der rechten Maustaste auf Vertrauenswürdige Stammzertifizierungsstellen zeigen Sie auf Alle Aufgaben, und klicken Sie anschließend auf Importieren.
  7. Klicken Sie auf Weiter.
  8. Wechseln Sie zum Speicherort des Zertifikats, wählen Sie es aus, und klicken Sie dann auf Weiter.
  9. Geben Sie das Kennwort des Zertifikats ein, klicken Sie auf Weiter, und klicken Sie dann auf Fertig stellen.

Halten Sie die Microsoft Management Console für die nächsten Schritte geöffnet.

Erteilen von Networkserviceberechtigung zum Verwenden des Schlüssels

Im nächsten Schritt verwenden Sie die Microsoft Management Console (MMC), um Netzwerkserviceberechtigungen für die Verwendung des den privaten Schlüssels zu gewähren.

Erteilen von Networkserviceberechtigung zum Verwenden des privaten Schlüssels

  1. Öffnen Sie die Microsoft Management Console (MMC).
  2. Klicken Sie im Menü Datei auf Snap-In hinzufügen/entfernen.
  3. Klicken Sie auf Zertifikate, und klicken Sie dann auf Hinzufügen.
  4. Wählen Sie die Option Computerkonto aus, klicken Sie auf Weiter, und klicken Sie dann auf Fertig stellen.
  5. Klicken Sie auf OK.
  6. Erweitern Sie Zertifikate - Aktueller Benutzer, erweitern Sie Persönlich, und klicken Sie dann auf Zertifikate.
  7. Klicken Sie mit der rechten Maustaste auf das Zertifikat, das Sie gerade importiert haben, klicken Sie auf Alle Vorgänge, und klicken Sie dann auf Privatschlüssel verwalten.
  8. Klicken Sie im Dialogfeld Berechtigungen auf Hinzufügen.
  9. Klicken Sie auf den Netzwerkdienst und anschließend auf OK.
  10. Klicken Sie auf OK.

Achten Sie darauf, dass Sie die Schritte Importieren Ihres Zertifikats und Erteilen der Netzwerkdienstberechtigung befolgen, um die Schlüsselprozeduren auf jedem Server in Ihrer Office Online Server Farm zu verwenden.

Halten Sie die Microsoft Management Console für die nächsten Schritte geöffnet.

Exportieren Sie das Zertifikat für den Einsatz auf SharePoint Server

Im nächsten Schritt exportieren Sie das Zertifikat, um es für die Registrierung von Office Online Server als ein vertrauenswürdiger Herausgeber des Tokens zu verwenden.

So exportieren Sie das Zertifikat für die Verwendung mit SharePoint Server 2016

  1. Klicken Sie mit der rechten Maustaste auf das Zertifikat, das Sie gerade importiert haben, klicken Sie auf Alle Vorgänge, und klicken Sie dann auf Exportieren.
  2. Klicken Sie auf der Seite Willkommen auf Weiter.
  3. Wählen Sie die Option Nein, privaten Schlüssel nicht exportieren aus, und klicken Sie auf Weiter.
  4. Wählen Sie die Option DER-codiert-binär X.509 (.CER) aus, und klicken Sie dann auf Weiter.
  5. Geben Sie den Pfad und den Namen der Datei ein, die Sie exportieren möchten, und klicken Sie dann auf Weiter.
  6. Klicken Sie auf Fertig stellen, und klicken Sie dann auf OK.

Kopieren Sie die Zertifikatdatei, die Sie erstellt haben, an einen Speicherort, an dem Sie aus SharePoint Server auf die Datei zugreifen können.

Als Nächstes müssen Sie dieses Zertifikat als das S2S Zertifikat für Office Online Server angeben.

Konfigurieren Sie Office Online-Server, um das Zertifikat für die Server-zu-Server-Authentifizierung zu verwenden

Angeben des S2S-Zertifikats für Office Online Server

  1. Öffnen Sie ein Microsoft PowerShell-Fenster als Administrator.
  2. Geben Sie Folgendes ein, wobei <friendlyName> der Anzeigename des verwendeten Zertifikats ist.
Set-OfficeWebAppsFarm -S2SCertificateName "<friendlyName>" -Confirm:$false -Force

Verwenden von HTTP mit Office Online-Server

Wenn Sie für Ihre Office Online Server-Farm HTTP anstelle von HTTPS verwenden, müssen Sie ausgehende HTTP-Verbindungen aus zulassen. (Wenn Sie SSL verwenden, können Sie dieses Verfahren überspringen.)

Um ausgehende HTTP-Verbindungen aus Office Online Server zu aktivieren, führen Sie den folgenden PowerShell-Befehl aus:

Set-OfficeWebAppsFarm -AllowOutboundHttp:$True
iisreset

Wichtig

Es wird dringend empfohlen, unabhängig von der Umgebung HTTPS (TLS) zu verwenden, da Office Online Server OAuth-Token für die Kommunikation mit externen Diensten wie SharePoint oder Exchange Server verwendet. OAuth-Token enthalten Informationen, die möglicherweise von einem Angreifer abgefangen und wiedergegeben werden können, und dem Angreifer die gleichen Berechtigungen einräumt, wie dem Benutzer, der die Anforderung an Office Online Server sendet.

Verwenden von HTTP-Pfaden mit ODC-Dateien

Wenn Sie beabsichtigen, ODC-Dateien in einem HTTP-Pfad zu speichern, müssen Sie Office Online Server so konfigurieren , dass Secure Store-Verbindungen über HTTP zulässig sind.

Wichtig

Wenn Sie Secure Store-Verbindungen über HTTP verwenden, wird der Inhalt der ODC-Datei als Klartext übergeben. ODC-Dateien enthalten Datenbankverbindungsinformationen und können Kennwörter enthalten. Microsoft-Kommentar über HTTPS.

Um Office Online Server so aktivieren, dass HTTP-Pfade mit Secure Store verwendet werden, führen Sie den folgenden PowerShell-Befehl aus:

Set-OfficeWebAppsFarm -AllowHttpSecureStoreConnections:$true
iisreset

Konfigurieren Sie SharePoint-Server, um das Zertifikat für die Server-zu-Server-Authentifizierung zu verwenden

Sie müssen SharePoint Server und SQL Server als vertrauenswürdiger Aussteller von Token registrieren. Diese erfolgt über PowerShell. Hier sind die Parameter, die Sie verwenden müssen:

  • <SPSiteURL> : Die URL Ihrer Websitesammlung auf oberster Ebene.
  • <CertificateIssuer> : Der Name des Zertifikatausstellers. You can find this by viewing the Details tab of the certificate in IIS Manager.
  • <X509Certificate> : Pfad und Dateiname der zertifikatsdatei, die Sie exportiert haben.
  • <RegisteredIssuer> : Die GUID des vertrauenswürdigen Tokenausstellers. SharePoint Server is 67e3df25-268a-4324-a550-0de1c7f97287@bd2372e4-0a11-495c-9541-8377c6def195 and SQL Server is 67e3df25-268a-4324-a550-0de1c7f97287@ffab2d74-c6ae-4375-819a-8555d49b699a

Führen Sie das folgende Verfahren zweimal aus – einmal für jede <RegisteredIssuer-GUID> .

Registrieren eiens vertrauenswürdigen Tokenausstellers

  1. Öffnen Sie die SharePoint 2016-Verwaltungsshell als Administrator.
  2. Führen Sie das folgende Skript unter Verwendung der oben aufgeführten Parameter aus:
$issuer = New-SPTrustedSecurityTokenIssuer -Name <CertificateIssuer> -Certificate <X509Certificate> -RegisteredIssuerName <RegisteredIssuer>
$app = Get-SPAppPrincipal -Site <SPSiteURL> -NameIdentifier $issuer.NameId
$site = Get-SPSite <SPSiteURL>
Set-SPAppPrincipalPermission -appPrincipal $app -Site $site.RootWeb -Scope SiteSubscription -Right FullControl -EnableAppOnlyPolicy
  1. Wenn Sie ein selbstsigniertes Zertifikat verwenden, führen Sie den folgenden Befehl aus:
New-SPTrustedRootAuthority -Name <CertificateIssuer> -Certificate <X509Certificate>

Siehe auch

New-SPTrustedSecurityTokenIssuer

New-SPTrustedRootAuthority

Get-SPAppPrincipal

Set-SPAppPrincipalPermission