Freigeben über


Planen der Server-zu-Server-Authentifizierung in SharePoint Server

 

**Gilt für:**SharePoint Server 2013, SharePoint Server 2016

**Letztes Änderungsdatum des Themas:**2018-03-02

Zusammenfassung: Hier erhalten Sie Informationen zum Planen der Server-zu-Server-Authentifizierung in SharePoint 2013 und UNRESOLVED_TOKEN_VAL(SharePoint Server).

Die Server-zu-Server-Authentifizierung ermöglicht Servern, die zur Server-zu-Server-Authentifizierung fähig sind, das gegenseitige Zugreifen auf und Anfordern von Ressourcen im Namen von Benutzern. Auf Servern, die zur Server-zu-Server-Authentifizierung fähig sind, wird SharePoint Server, Exchange Server 2016, Skype for Business Server 2015, Azure Workflow Service oder andere Software ausgeführt, die das Server-zu-Server-Protokoll von Microsoft unterstützt. Die Server-zu-Server-Authentifizierung ermöglicht eine Reihe von neuen Funktionen und Szenarien, die durch serverübergreifende Ressourcenfreigabe und serverübergreifenden Zugriff erzielt werden.

Zum Bereitstellen der angeforderten Ressourcen von einem anderen Server, der die Server-zu-Server-Authentifizierung durchführen kann, müssen auf dem Server, auf dem SharePoint Server ausgeführt wird, die folgenden Aktionen ausgeführt werden:

  • Überprüfen Sie die Vertrauenswürdigkeit des anfordernden Servers. Zum Authentifizieren des anfordernden Servers müssen Sie den Server, auf dem SharePoint Server ausgeführt wird, so konfigurieren, dass er dem Server vertraut, der ihm Anforderungen sendet. Dies ist eine unidirektionale Vertrauensstellung.

  • Überprüfen Sie, dass der vom Server angeforderte Zugriffstyp autorisiert ist. Zum Autorisieren des Zugriffs müssen Sie den Server, auf dem SharePoint Server ausgeführt wird, für die geeigneten Berechtigungen für die angeforderten Ressourcen konfigurieren.

Beachten Sie, dass das Protokoll für die Server-zu-Server-Authentifizierung in SharePoint Server nichts mit der Benutzerauthentifizierung zu tun hat und von SharePoint-Benutzern nicht als Authentifizierungsprotokoll für die Anmeldung verwendet wird. Das Protokoll für die Server-zu-Server-Authentifizierung verwendet das Open Authorization (OAuth) 2.0-Protokoll und gehört nicht zu den Benutzeranmeldeprotokollen wie z. B. WS-Federation. In SharePoint Server werden keine neuen Protokolle für die Benutzerauthentifizierung eingeführt. Das Protokoll für die Server-zu-Server-Authentifizierung ist nicht in der Liste der Identitätsanbieter enthalten.

Inhalt dieses Artikels:

  • Einführung

  • Identifizieren des Vertrauensstellungssatzes

Informationen zum Planen der Server-zu-Server-Authentifizierung für die Benutzerprofildienst-Anwendung finden Sie unter Server-zu-Server-Authentifizierung und Benutzerprofile in SharePoint Server.

Einführung

Die Planung der Server-zu-Server-Authentifizierung umfasst folgende Aufgaben:

Wichtig

Die Webanwendungen, die Server-zu-Server-Authentifizierungsendpunkte (für eingehende Server-zu-Server-Anforderungen) enthalten oder ausgehende Server-zu-Server-Anforderungen an andere Server stellen, müssen zur Verwendung von SSL (Secure Sockets Layer) konfiguriert werden.

Hinweis

Sie müssen die Server-zu-Server-Authentifizierung auf einem Server mit SharePoint Server nur dann planen, wenn Sie mindestens ein Server-zu-Server-Szenario konfigurieren, das deren Verwendung erfordert.

Identifizieren des Vertrauensstellungssatzes

Aus der Perspektive eines Servers mit SharePoint Server umfasst eine Vertrauensstellung mit einem anderen Server, der die Server-zu-Server-Authentifizierung durchführen kann, Folgendes:

  • Der Server mit SharePoint Server vertraut Anforderungen von einem Server, der Server-zu-Server-Authentifizierung durchführen kann (auf dem Server mit SharePoint Server eingehende Anforderungen).

    Dies erfordert eine Konfiguration auf dem Server mit SharePoint Server, damit dieser dem anfordernden Server vertraut.

  • Der Server, der die Server-zu-Server-Authentifizierung durchführen kann, vertraut Anforderungen von einem Server, auf dem SharePoint Server ausgeführt wird (von dem Server mit SharePoint Server ausgehende Anforderungen).

    Dies erfordert eine Konfiguration auf dem Server, der Server-zu-Server-Authentifizierung durchführen kann, damit dieser dem anfordernden Server vertraut, auf dem SharePoint Server ausgeführt wird.

Erstellen Sie für jede Farm mit SharePoint Server eine Liste der Server, die Server-zu-Server-Authentifizierung durchführen können und basierend auf den Server-zu-Server-Szenarien, die die Farm betreffen, eingehende Anforderungen erhalten werden. Zwei Fälle von Server-zu-Server-Authentifizierungsbeziehungen müssen untersucht werden.

Fall 1: Die Farmen befinden sich in der lokalen Umgebung

Wenn sich die Farm, von der die Server-zu-Server-Authentifizierung ausgeführt werden kann, in der lokalen Umgebung befindet, müssen Sie die Farm konfigurieren, auf der SharePoint Server ausgeführt wird. Verwenden Sie das New-SPTrustedSecurityTokenIssuer PowerShell-Cmdlet, um dem Server, auf dem SharePoint Server ausgeführt wird, einen JSON (JavaScript Object Notation)-Metadatenendpunkt des Servers hinzuzufügen, von dem die Server-zu-Server-Authentifizierung ausgeführt werden kann. Wenn der Server, von dem die Server-zu-Server-Authentifizierung ausgeführt werden kann, ein weiterer Server mit SharePoint Server ist, hat der JSON-Metadatenendpunkt das folgende Format: „https://<Hostname>/_layouts/15/metadata/json/1“.

Fall 2: Die Farmen sind Teil einer Office 365-Instanz

Wenn die Farm mit SharePoint Server und der andere Server, der eine Server-zu-Server-Authentifizierung durchführen kann, beide Teil einer Office 365-Instanz sind, ist für die Server-zu-Server-Authentifizierung keine weitere Konfiguration erforderlich.

Nachdem Sie die Server ermittelt haben, die Server-zu-Server-Authentifizierung erfordern, konfigurieren Sie die Server-zu-Server-Vertrauensstellungen gemäß den Anleitungen in Konfigurieren der Server-zu-Server-Authentifizierung in SharePoint 2013.

See also

Authentifizierungsübersicht für SharePoint Server
Server-zu-Server-Authentifizierung und Benutzerprofile in SharePoint Server