Freigeben über


Planen von Authentifizierungsmethoden (Office SharePoint Server)

Inhalt dieses Artikels:

  • Authentifizierung

  • Unterstützte Authentifizierungsmethoden

  • Konfigurieren der Authentifizierung

  • Planen der Authentifizierung für das Crawling von Inhalten

  • Planen von Zonen für den Authentifizierungsentwurf

  • Auswählen der in der Umgebung zulässigen Authentifizierungsmethoden

  • Arbeitsblatt

In diesem Artikel werden die Authentifizierungsmethoden beschrieben, die von Microsoft Office SharePoint Server 2007 unterstützt werden. Nach dem Lesen dieses Artikels verfügen Sie über folgende Fähigkeiten:

  • Kenntnisse in der Implementierung der Authentifizierung in Microsoft Office SharePoint Server 2007

  • Benennen der für Ihre Umgebung geeigneten Authentifizierungsmethoden

Authentifizierung

Als Authentifizierung wird das Verfahren zur Überprüfung der Identität eines Benutzers bezeichnet. Nachdem die Identität eines Benutzers überprüft wurde, wird im Autorisierungsverfahren ermittelt, auf welche Standorte, Inhalte und anderen Features der Benutzer zugreifen kann.

In Microsoft Office SharePoint Server 2007 wird der Authentifizierungsprozess durch Internetinformationsdienste (Internet Information Services, IIS) verwaltet. Nachdem die Benutzerauthentifizierung durch IIS ausgeführt wurde, führen die Sicherheitsfeatures in Microsoft Office SharePoint Server 2007 den Autorisierungsvorgang aus.

Weitere Informationen zum Implementieren der Autorisierung in Microsoft Office SharePoint Server 2007 finden Sie unter Planen von Website- und Inhaltssicherheit (Office SharePoint Server).

Das Planen der Authentifizierung ist nicht nur zum Schutz Ihrer Lösung durch die Überprüfung der Identität von Benutzern wichtig, sondern auch zum Schutz der Anmeldeinformationen im Netzwerk.

Unterstützte Authentifizierungsmethoden

In Microsoft Office SharePoint Server 2007 ist ein flexibles und erweiterbares Authentifizierungssystem enthalten, das die Authentifizierung für Identitätsverwaltungssysteme unterstützt, die auf dem Betriebssystem Microsoft Windows basieren können, aber nicht müssen. Durch die Integration mit der austauschbaren Authentifizierung von ASP.NET wird in Microsoft Office SharePoint Server 2007 eine Vielzahl von formularbasierten Authentifizierungsschemas unterstützt. Die Authentifizierungsunterstützung in Microsoft Office SharePoint Server 2007 ermöglicht unterschiedliche Authentifizierungsszenarien, darunter die folgenden:

  • Verwenden der Windows-Standardauthentifizierungsmethoden

  • Verwenden einer einfachen Datenbank aus Benutzernamen und Kennwörtern

  • Direktverbindung mit dem Identitätsverwaltungssystem einer Organisation

  • Verwenden einer Kombination aus mindestens zwei Authentifizierungsmethoden für den Zugriff auf Partneranwendungen (z. B. aus dem Herstellen einer Verbindung mit dem Identitätsverwaltungssystem eines Partnerunternehmens zur Authentifizierung der Mitarbeiter des Partnerunternehmens und aus den Windows-Authentifizierungsmethoden zur Authentifizierung der eigenen Mitarbeiter).

  • Verwenden von Verbund-Identitätsverwaltungssystemen

In der folgenden Tabelle werden die unterstützten Authentifizierungsmethoden aufgeführt:

Authentifizierungsmethode Beschreibung Beispiele

Windows

Die Windows-Standardauthentifizierungsmethoden über IIS werden unterstützt.

  • Anonym

  • Standard

  • Digest

  • Zertifikate

  • Kerberos (in Windows integriert)

  • NTLM (in Windows integriert)

ASP.NET-Formulare

In Microsoft Office SharePoint Server 2007 steht durch die Integration mit dem Formularauthentifizierungssystem von ASP.NET zusätzlich Unterstützung für Identitätsverwaltungssysteme zur Verfügung, die nicht auf Windows basieren. Die ASP.NET-Authentifizierung ermöglicht die Verwendung von Microsoft Office SharePoint Server 2007 mit Identitätsverwaltungssystemen, die die MembershipProvider-Schnittstelle implementieren. Sie müssen die Sicherheitsverwaltungsseiten nicht neu schreiben und keine Schattenkonten für Active Directory-Verzeichnisdienst verwalten.

  • LDAP (Lightweight Directory Access Protocol)

  • SQL-Datenbank oder andere Datenbank

  • Andere ASP.NET-basierte Formularauthentifizierungslösungen

Web-SSO

In Microsoft Office SharePoint Server 2007 wird die Verbundauthentifizierung über SSO-Webanbieter unterstützt. Web-SSO ermöglicht SSO in Umgebungen mit Diensten auf verschiedenen Plattformen. Sie müssen keine separaten Active Directory-Konten verwalten.

  • Active Directory-Verbunddienste (AD FS)

  • Andere Identitätsverwaltungssysteme

Authentifizierung von Systemkonten

Mit der ASP.NET-Formularauthentifizierung und Web-SSO können nur Benutzerkonten authentifiziert werden. Bei den Verarbeitungskonten, mit denen eine Verbindung zur Microsoft SQL Server-Datenbanksoftware hergestellt und die Webfarm ausgeführt wird, muss es sich um Windows-Konten handeln, selbst wenn die Authentifizierung von Benutzern mit einer anderen Methode erfolgt.

In Microsoft Office SharePoint Server 2007 werden die SQL Server-Authentifizierung und Verarbeitungskonten des lokalen Computers für Farmen unterstützt, auf denen Active Directory nicht ausgeführt wird. Beispielsweise können Sie mithilfe identischer Benutzernamen und Kennwörter lokale Konten auf allen Servern innerhalb einer Webfarm implementieren.

Konfigurieren der Authentifizierung

Obwohl das Konfigurieren der Windows-Authentifizierung ein einfacher Vorgang ist, erfordert die Konfiguration der Authentifizierung für die Verwendung von ASP.NET-Formularen oder Web-SSO mehr Planung. Dieser Abschnitt enthält eine Zusammenfassung zur Konfiguration der Authentifizierung in Microsoft Office SharePoint Server 2007. Diese Information unterstützen Sie bei der Erstellung einer Authentifizierungsstrategie für die Lösung und bei der Bestimmung der Personen, die in der Organisation an der Planung für die Authentifizierung beteiligt sein müssen.

Konfigurieren der Authentifizierung für SharePoint-Webanwendungen

Die Authentifizierung in Microsoft Office SharePoint Server 2007 wird auf der SharePoint-Anwendungsebene konfiguriert. Das folgende Diagramm veranschaulicht eine Windows SharePoint Services-Serverfarm, die für das Hosten von Websites mehrerer Unternehmen konfiguriert ist. Die Authentifizierung ist für jedes Unternehmen separat konfiguriert.

Hostingauthentifizierung für zwei unterschiedliche Unternehmen

Beim ersten Erstellen oder Erweitern einer Webanwendung kann nur eine begrenzte Anzahl von Authentifizierungsoptionen (Kerberos, NTLM und anonym) ausgewählt werden. Wenn Sie eine dieser Methoden verwenden, können Sie die Authentifizierung beim Erstellen oder Erweitern der Webanwendung konfigurieren.

Die folgende Abbildung zeigt die begrenzten Authentifizierungsoptionen beim ersten Erstellen oder beim Erweitern einer Webanwendung:

Standardauthentifizierungseinstellungen

Wenn Sie verschiedene Authentifizierungseinstellungen verwenden, wählen Sie die Standardauthentifizierungsoptionen aus, und konfigurieren Sie die Authentifizierung erst nach dem Erstellen oder Erweitern der Webanwendung. (Wählen Sie hierzu in der Zentraladministration auf der Seite Anwendungsverwaltung im Abschnitt Anwendungssicherheit die Option Authentifizierungsanbieter aus, und klicken Sie dann auf die entsprechende Zone, um die Seite Authentifizierung bearbeiten zu öffnen.) Welche Einstellungen auf dieser Seite konfiguriert werden können, hängt vom ausgewählten Authentifizierungstyp ab: Windows, formularbasiert oder Web-SSO.

Die folgende Abbildung zeigt die Seite Authentifizierung bearbeiten:

Seite 'Authentifizierung bearbeiten'

Je nach den in der Zentraladministration ausgewählten Authentifizierungsoptionen können weitere Konfigurationsschritte erforderlich sein. In der folgenden Tabelle sind die je nach Authentifizierungsmethode erforderlichen Konfigurationsschritte zusammengefasst. Ferner ist dort angegeben, ob außer dem SharePoint-Administrator weitere spezielle Rollen benötigt werden.

Authentifizierungsmethode Zusätzliche Konfigurationsschritte Spezielle Rollen

Anonym

Keine

Keine

Standard

Keine

Keine

Digest

Direktes Konfigurieren der Digestauthentifizierung in IIS

Keine

Zertifikate

  1. Wählen Sie in der Zentraladministration die Windows-Authentifizierung aus.

  2. Konfigurieren Sie IIS für die Zertifikatauthentifizierung.

  3. Aktivieren Sie SSL (Secure Sockets Layer).

  4. Rufen Sie Zertifikate aus einer Zertifizierungsstelle ab, und konfigurieren Sie die Zertifikate.

Windows Server 2003-Administrator, zum Abrufen und Konfigurieren von Zertifikaten

NTLM (in Windows integriert)

Keine

Keine

Kerberos (in Windows integriert)

  1. Konfigurieren Sie die Webanwendung für die Kerberos-Authentifizierung.

  2. Konfigurieren Sie einen Dienstprinzipalnamen (Service Principal Name, SPN) für das Domänenbenutzerkonto, das für die Anwendungspoolidentität (das Verarbeitungskonto im Anwendungspool) verwendet wird.

  3. Registrieren Sie den SPN für das Domänenbenutzerkonto in Active Directory.

IIS-Administrator

Formulare

  1. Registrieren Sie den Mitgliedschaftsanbieter in der Datei Web.config für die SharePoint-Webanwendung.

  2. Registrieren Sie den Rollen-Manager in der Datei Web.config für die SharePoint-Webanwendung (optional).

  3. Registrieren Sie den Mitgliedschaftsanbieter in der Datei Web.config für die Website für die Zentraladministration.

  • ASP.NET-Entwickler

  • Administrator des Identitätsverwaltungssystems, mit dem eine Verbindung hergestellt wird

Web-SSO

Registrieren Sie zusätzlich zu den für die ASP.NET-Formularauthentifizierung erforderlichen Konfigurationsschritten ein HTTP-Modul für den Web-SSO-Anbieter.

  • ASP.NET-Entwickler

  • Administrator des Identitätsverwaltungssystems, mit dem eine Verbindung hergestellt wird

Herstellen einer Verbindung mit externen oder nicht Windows-basierten Identitätsverwaltungssystemen

Zur Verwendung von ASP.NET-Formularen oder Web-SSO für die Benutzerauthentifizierung mit einem Identitätsverwaltungssystem, das nicht auf Windows basiert oder extern ist, müssen Sie den Mitgliedschaftsanbieter in der Datei web.config registrieren. Zusätzlich zur Registrierung eines Mitgliedschaftsanbieters können Sie auch einen Rollen-Manager registrieren. In Microsoft Office SharePoint Server 2007 wird die Standardschnittstelle für den ASP.NET Rollen-Manager verwendet, um Gruppeninformationen zum aktuellen Benutzer zu erfassen. Jede ASP.NET-Rolle wird von der Autorisierung in Microsoft Office SharePoint Server 2007 wie eine Domänengruppe behandelt. Sie registrieren Rollen-Manager in der Datei web.config auf dieselbe Weise, wie Sie Mitgliedschaftsanbieter für die Authentifizierung registrieren.

Wenn Sie auf der Website für die Zentraladministration Mitgliedschaftsbenutzer oder -rollen verwalten möchten, können Sie optional den Mitgliedschaftsanbieter und den Rollen-Manager in der Datei Web.config für die Website für die Zentraladministration registrieren (zusätzlich zu deren Registrierung in der Datei Web.config für die Webanwendung, die den Inhalt hostet).

Stellen Sie sicher, dass die Namen des Mitgliedschaftsanbieters und des Rollen-Managers, die in der Datei Web.config registriert werden, mit dem Namen identisch sind, den Sie in der Zentraladministration auf der Seite Authentication.aspx eingegeben haben. Wenn Sie den Rollen-Manager nicht in der Datei Web.config eingeben, wird stattdessen möglicherweise der in der Datei machine.config angegebene Standardanbieter verwendet.

Beispielsweise wird mit der folgenden Zeichenfolge in einer Web.config-Datei ein SQL-Mitgliedschaftsanbieter angegeben:

<membership defaultProvider="AspNetSqlMembershipProvider">

Weitere Informationen zur Verwendung der ASP.NET-Formularauthentifizierung zum Verbinden mit einem SQL Server-Authentifizierungsanbieter finden Sie unter Authentifizierungsbeispiele.

Wenn Sie über eine Web-SSO eine Verbindung mit einem externen Identitätsverwaltungssystem herstellen, müssen Sie auch ein HTTP-Modul für die Web-SSO registrieren. Ein HTTP-Modul ist eine Assembly, die bei jeder Anforderung an die Anwendung aufgerufen wird. HTTP -Module werden als Teil der ASP.NET-Anforderungspipeline aufgerufen. Weitere Informationen finden Sie unter Einführung in HTTP-Module (https://go.microsoft.com/fwlink/?linkid=77954&clcid=0x407).

Die Integration mit der ASP.NET-Formularauthentifizierung stellt zusätzliche Anforderungen an den Authentifizierungsanbieter. Zusätzlich zur Registrierung der verschiedenen Elemente in der Datei web.config müssen der Mitgliedschaftsanbieter, der Rollen-Manager und das HTTP-Modul für die Interaktion mit Microsoft Office SharePoint Server 2007 und ASP.NET-Methoden programmiert werden, wie in der folgenden Tabelle angegeben:

Kategorie Beschreibung

Mitgliedschaftsanbieter

Zum Arbeiten mit Microsoft Office SharePoint Server 2007 muss der Mitgliedschaftsanbieter die folgenden Methoden implementieren:

  • GetUser (String) Diese Methode wird von Microsoft Office SharePoint Server 2007 aufgerufen, um Benutzernamen bei Einladungen aufzulösen und den Anzeigenamen des Benutzers abzurufen.

  • GetUserNameByEmail Diese Methode wird von Microsoft Office SharePoint Server 2007 aufgerufen, um Benutzernamen in Einladungen aufzulösen.

  • FindUsersByName, FindUsersByEmail Diese Methoden werden von Microsoft Office SharePoint Server 2007 aufgerufen, um auf der Seite Benutzer hinzufügen das Steuerelement für die Benutzerauswahl aufzufüllen. Wenn der Mitgliedschaftsanbieter keine Benutzer zurückgibt, kann das Auswahlsteuerelement nicht ordnungsgemäß ausgeführt werden, und Administratoren müssen den Benutzernamen oder die E-Mail-Adresse in das Textfeld Benutzer hinzufügen eingeben.

Rollen-Manager

Der Rollen-Manager muss die folgenden Methoden implementieren:

  • RoleExists Diese Methode wird von Microsoft Office SharePoint Server 2007 bei Einladungen aufgerufen, um zu überprüfen, ob ein Rollenname vorhanden ist.

  • GetRolesForUser Diese Methode wird von Microsoft Office SharePoint Server 2007 bei der Zugriffsüberprüfung aufgerufen, um die Rollen für den aktuellen Benutzer zu erfassen.

  • GetAllRoles Diese Methode wird von Microsoft Office SharePoint Server 2007 aufgerufen, um die Gruppe und die Rollenauswahl aufzufüllen. Wenn der Rollenanbieter keine Gruppen oder Rollen zurückgibt, kann die Microsoft Office SharePoint Server 2007-Auswahl nicht ordnungsgemäß ausgeführt werden, und der Administrator muss den Namen der Rolle in das Textfeld Benutzer hinzufügen eingeben.

HTTP-Modul

Im HTTP-Modul müssen folgende Ereignisse behandelt werden:

  • AuthenticateRequest   Dieses Ereignis wird aufgerufen, wenn ASP.NET zur Authentifizierung des Benutzers bereit ist. Das Web-SSO-Modul muss das Authentifizierungscookie des Benutzers entpacken und das HttpContext.User-Objekt auf die Identität des aktuellen Benutzers festlegen.

  • EndRequest Dies ist das letzte Ereignis in der ASP.NET-Pipeline. Es wird unmittelbar vor der Rückgabe des Codes an den Client aufgerufen. Das Web-SSO-Modul muss 401-Antworten von Microsoft Office SharePoint Server 2007 erfassen und diese für die Authentifizierung am Web-SSO-Anmeldeserver in eine entsprechende 302-Umleitung umwandeln.

Aktivieren des anonymen Zugriffs

Neben dem Konfigurieren einer sichereren Authentifizierungsmethode können Sie auch den anonymen Zugriff auf eine Webanwendung aktivieren. In dieser Konfiguration können Websiteadministratoren in einer Webanwendung auch den anonymen Zugriff zulassen. Wenn anonyme Benutzer auf geschützte Ressourcen und Funktionen zugreifen möchten, können sie auf eine Anmeldeschaltfläche klicken, um ihre Anmeldeinformationen zu senden.

Verwenden anderer Authentifizierungsmethoden für den Zugriff auf eine Website

Sie können Webanwendungen in Microsoft Office SharePoint Server 2007 für den Zugriff von bis zu fünf verschiedenen Authentifizierungsmethoden oder Identitätsverwaltungssystemen konfigurieren. In der folgenden Abbildung ist eine Partneranwendung, die für den Zugriff von Benutzern aus zwei unterschiedlichen Identitätsverwaltungssystemen konfiguriert ist, dargestellt. Interne Mitarbeiter werden mithilfe einer der standardmäßigen Windows-Authentifizierungsmethoden authentifiziert. Mitarbeiter des Partnerunternehmens werden mit dem Identitätsverwaltungssystem ihres eigenen Unternehmens authentifiziert.

Diagramm mit Optionen zum Verwalten der Authentifizierung

Zum Konfigurieren einer Webanwendung für den Zugriff mit mehreren verschiedenen Authentifizierungssystemen müssen Sie zusätzliche Zonen für die Webanwendung einrichten. Zonen stellen verschiedene logische Pfade für den Zugriff auf dieselbe physische Anwendung dar. Mit einer gängigen Partneranwendung können die Mitarbeiter eines Partnerunternehmens über das Internet auf die Anwendung zugreifen, während die internen Mitarbeiter direkt über das Intranet auf die Anwendung zugreifen.

Erweitern Sie zum Erstellen einer neuen Zone die Webanwendung. Geben Sie auf der Seite Webanwendung auf eine andere IIS-Website erweitern im Abschnitt Lastenausgleich-URL die URL und den Zonentyp an. Der Zonentyp ist ein Kategoriename für die Zone, der sich nicht auf die Konfiguration der Zone auswirkt.

Nach dem Erweitern der Webanwendung können Sie eine eigene Authentifizierungsmethode für die neue Zone konfigurieren. Die folgende Abbildung zeigt die Seite Authentifizierungsanbieter für eine Webanwendung, die mit zwei verschiedenen Zonen konfiguriert wurde. Die Standardzone ist die Zone, die von den internen Mitarbeitern verwendet wird. Die Internetzone wurde für den Partnerzugriff konfiguriert. Die Authentifizierung der Mitarbeiter des Partnerunternehmens erfolgt anhand des Identitätsverwaltungssystems mithilfe von ASP.NET-Formularen.

Eine Webanwendung mit zwei konfigurierten Zonen

Planen der Authentifizierung für das Crawling von Inhalten

Zum erfolgreichen Crawlen von Inhalt in einer Webanwendung müssen Sie die Authentifizierungsanforderungen der Indexkomponente des Indexservers kennen (auch als Crawler bezeichnet). Dieser Abschnitt beschreibt die Konfiguration der Authentifizierung für Webanwendungen, damit sichergestellt wird, dass Inhalt in den Anwendungen erfolgreich gecrawlt werden kann.

Wenn ein Farmadministrator eine Webanwendung mit allen Standardeinstellungen erstellt, ist die Standardzone dieser Webanwendung für die Verwendung von NTLM konfiguriert. Der Farmadministrator kann die Authentifizierungsmethode für die Standardzone in jede Authentifizierungsmethode ändern, die von Microsoft Office SharePoint Server 2007 unterstützt wird.

Der Farmadministrator kann eine Webanwendung auch ein oder mehrere Male erweitern, um zusätzliche Zonen zu aktivieren. Einer einzelnen Webanwendung können bis zu fünf Zonen zugeordnet sein, und jede Zone kann für die Verwendung einer beliebigen Authentifizierungsmethode konfiguriert werden, die von Microsoft Office SharePoint Server 2007 unterstützt wird.

Standardmäßig verwendet der Crawler NTLM beim Crawlen von Inhalt. Ein Suchdienstadministrator kann auch eine Crawlregel erstellen, um den Crawler beim Crawlen eines bestimmten URL-Bereichs für die Verwendung der Standardauthentifizierung oder eines Clientzertifikats anstelle von NTLM zu konfigurieren. Weitere Informationen zu Crawlregeln finden Sie unter Planen des Crawlens von Inhalten (Office SharePoint Server).

Reihenfolge des Crawlerzugriffs auf Zonen

Berücksichtigen Sie beim Planen der Zonen für eine Webanwendung die Abrufreihenfolge, in der der Crawler während der Authentifizierung auf Zonen zugreift. Die Abrufreihenfolge ist wichtig, da bei der Authentifizierung ein Fehler auftritt, wenn der Crawler auf eine Zone stößt, die für die Verwendung der Digestauthentifizierung oder der Kerberos-Authentifizierung konfiguriert ist, die keinen Standardport verwendet (80 oder 443). In diesem Fall erfolgt kein Zugriff des Crawlers auf die nächste Zone in der Abrufreihenfolge, und der Inhalt der entsprechenden Webanwendung wird nicht gecrawlt.

Tipp

Stellen Sie sicher, dass die für den Crawler konfigurierte Authentifizierungsmethode in der Abrufreihenfolge vor der Zone steht, die für Kerberos an einem Nicht-Standardport oder für Digestauthentifizierung konfiguriert ist.

Die Crawler fragt die Zonen in der folgenden Reihenfolge ab:

  • Standardzone

  • Intranetzone

  • Internetzone

  • Benutzerdefinierte Zone

  • Extranetzone

Die folgende Abbildung zeigt die Entscheidungen des Authentifizierungssystems bei Authentifizierungsversuchen durch den Crawler:

Abfrage von Zonen durch den Crawler

Vom Crawler verwendete Abrufreihenfolge

In der folgenden Tabelle werden die einzelnen Aktionen beschrieben, die in der Legende der Abbildung genannt sind.

Legende Aktion

1

Der Crawler versucht, die Authentifizierung in der Standardzone durchzuführen.

Hinweis

Die Crawler versucht, beim Authentifizieren zunächst immer die Standardzone zu verwenden.

2

Wenn die für den Crawler und die Zone konfigurierten Authentifizierungsmethoden identisch sind, authentifiziert der Crawler und setzt den Vorgang mit der Autorisierungsphase fort. Andernfalls fahren Sie mit Schritt 3 fort.

3

Wenn die Zone für Kerberos-Authentifizierung konfiguriert ist, fahren Sie mit Schritt 4 fort. Andernfalls fahren Sie mit Schritt 5 fort.

4

Wenn die Zone für die Verwendung von Port 80 oder Port 443 konfiguriert ist, wird der Crawler authentifiziert und fährt mit der Autorisierungsphase fort. Andernfalls schlägt die Authentifizierung fehl, und der Crawler versucht keine Authentifizierung über eine andere Zone Dies bedeutet, dass der Inhalt nicht gecrawlt wird.

5

Wenn laut Abfragereihenfolge keine weiteren Zonen vorhanden sind, schlägt die Authentifizierung fehl, und der Inhalt wird nicht gecrawlt. Fahren Sie andernfalls mit Schritt 6 fort.

6

Der Crawler führt einen Authentifizierungsversuch in der nächsten Zone in der Abfragereihenfolge durch. Kehren Sie zu Schritt 2 zurück.

Wenn Sie die Standardzone für die Verwendung einer Authentifizierungsmethode konfigurieren, die der Crawler nicht unterstützt, beispielsweise Web-SSO, müssen Sie mindestens eine zusätzliche Zone erstellen und diese Zone für die Verwendung von Zertifikaten, Standardauthentifizierung, Kerberos an einem Standardport oder NTLM konfigurieren. Wenn Zertifikate oder Standardauthentifizierung zum Crawlen der Webanwendung verwendet werden, muss der Suchdienstadministrator eine Crawlregel erstellen, um den Crawler für die Verwendung der geeigneten Authentifizierungsmethode beim Crawlen dieser Webanwendung zu konfigurieren. Berücksichtigen Sie das folgende Szenario.

Authentifizierungsszenario

Der Farmadministrator erstellt eine Webanwendung und konfiguriert diese für die Verwendung der Formularauthentifizierung. Der Farmadministrator möchte den Inhalt der Webanwendung crawlen und indizieren. Deshalb erweitert dieser die Webanwendung und konfiguriert die Intranetzone für die Verwendung von NTLM, da er weiß, dass der Crawler eine mit NTLM, Standardauthentifizierung oder Zertifikaten konfigurierte Zone erfordert.

Wenn der Crawler versucht, mithilfe der Standardzone zu authentifizieren, ermittelt das Authentifizierungssystem, dass der Crawler und die Zone nicht für die Verwendung derselben Authentifizierungsmethode konfiguriert sind. Da die Zone nicht für Kerberos über einen Standardport oder Digestauthentifizierung konfiguriert ist und mindestens eine zusätzliche Zone in der Abrufreihenfolge vorhanden ist, versucht der Crawler, die Authentifizierung mithilfe der Intranetzone auszuführen. Da die Intranetzone mit NTLM konfiguriert ist und der Crawler auch NTLM verwendet, ist die Authentifizierung dann normalerweise erfolgreich.

Beachten Sie, dass bei der Konfiguration der Intranetzone für die Standardauthentifizierung anstelle von NTLM durch den Farmadministrator der Suchdienstadministrator eine Crawlregel erstellen muss, um den Crawler beim Crawlen dieser bestimmten Webanwendung für die Verwendung der Standardauthentifizierung zu konfigurieren. Andernfalls tritt bei der Authentifizierung ein Fehler auf, und der Inhalt wird nicht gecrawlt. Ebenso muss der Suchdienstadministrator eine Crawlregel erstellen, um den Crawler beim Crawlen dieser bestimmten Webanwendung für die Verwendung eines Clientzertifikats zu konfigurieren, wenn der Farmadministrator die Intranetzone für die Verwendung eines Clientzertifikats konfiguriert hat. Darüber hinaus muss ein Serveradministrator das Clientzertifikat beim Indexserver registrieren. Andernfalls tritt bei der Authentifizierung ein Fehler auf, und der Inhalt wird nicht gecrawlt.

Tipp

Eine effektive Planung der Authentifizierung für Webanwendungen und die Planung des Crawlens von Inhalt dieser Webanwendungen erfordert die Zusammenarbeit von Farmadministratoren, die die Webanwendungen erstellen, und Suchdienstadministratoren, die die Crawler konfigurieren.

Beachten Sie, dass der Suchdienstadministrator eine Crawlregel erstellen muss, wenn Sie eine Zone mit Standardauthentifizierung oder Zertifikaten konfigurieren und der Crawler mithilfe dieser Zone authentifizieren soll, damit der Crawler für die Verwendung derselben Authentifizierungsmethode konfiguriert ist wie die Zone, mit der authentifiziert werden soll. Andernfalls versucht der Crawler, die nächste verfügbare Zone zu verwenden.

Neben der ordnungsgemäßen Konfiguration der Authentifizierungsmethode müssen Sie sicherstellen, dass der Crawler zum Crawlen von Inhalt innerhalb der Webanwendung autorisiert ist. Der Suchdienstadministrator muss sicherstellen, dass das Konto für den Inhaltszugriff über die Berechtigungsebene Lesen für Inhalt verfügt, auf den über diese Zone zugegriffen wird. Farmadministratoren erreichen dies durch Erstellen einer Richtlinie, die dem Konto für den Inhaltszugriff die Berechtigungsebene Lesen für eine bestimmte Webanwendung erteilt.

Planen von Zonen für den Authentifizierungsentwurf

Wenn Sie mehrere Authentifizierungsmethoden für eine Webanwendung mithilfe von Zonen implementieren möchten, verwenden Sie die folgenden Richtlinien:

  • Implementieren Sie in der Standardzone die sichersten Authentifizierungseinstellungen. Wenn eine Anforderung keiner bestimmten Zone zugeordnet werden kann, werden die Authentifizierungseinstellungen und andere Sicherheitsrichtlinien der Standardzone angewendet. Die Standardzone wird bei der anfänglichen Erstellung einer Webanwendung erstellt. Die sichersten Authentifizierungseinstellungen werden i. d. R. für den Endbenutzerzugriff entwickelt. Folglich ist die Standardzone wahrscheinlich die Zone, auf die die Endbenutzer zugreifen.

  • Verwenden Sie die minimale Anzahl von Zonen, die für die Anwendung erforderlich sind. Jeder Zone ist eine neue IIS-Website und -Domäne für den Zugriff auf die Webanwendung zugeordnet. Fügen Sie neue Zugriffspunkte nur dann hinzu, wenn diese benötigt werden.

  • Wenn Inhalt in der Webanwendung in den Suchergebnissen enthalten sein soll, müssen Sie sicherstellen, dass mindestens eine Zone für die NTLM-Authentifizierung konfiguriert ist. NTLM-Authentifizierung ist für die Indexkomponente erforderlich, um den Inhalt zu crawlen. Erstellen Sie keine dedizierte Zone für die Indexkomponente, sofern dies nicht erforderlich ist.

Auswählen der in der Umgebung zulässigen Authentifizierungsmethoden

Zusätzlich zu den Kenntnissen des Verfahrens zum Konfigurieren der Authentifizierung umfasst die Authentifizierungsplanung folgende Aufgaben:

  • Berücksichtigen des Sicherheitskontexts oder der Umgebung der Webanwendung in Microsoft Office SharePoint Server 2007

  • Auswerten der Empfehlungen und Nachteile der einzelnen Methoden

  • Kenntnis der Zwischenspeicherung und Verwendung von Benutzeranmeldeinformationen und entsprechenden Identitätsdaten durch Microsoft Office SharePoint Server 2007

  • Kenntnisse der Verwaltung von Benutzerkonten

  • Sicherstellen der Kompatibilität der Authentifizierungsmethoden mit den von den Benutzern verwendeten Browsern

Arbeitsblattaktion

Verwenden Sie das Dokument Arbeitsblatt "Authentifizierungsmethoden" (in englischer Sprache) (https://go.microsoft.com/fwlink/?linkid=77970&clcid=0x407), um die Authentifizierungsmethoden zu bestimmen, die Sie in der Umgebung verwenden möchten, und um die entsprechenden Entscheidungen und Empfehlungen festzuhalten. Dieses Arbeitsblatt wird für die Planung von Authentifizierungsmethoden für einzelne Webanwendungen in Microsoft Office SharePoint Server 2007 verwendet.

Empfehlungen für bestimmte Sicherheitsumgebungen

Entscheiden Sie hauptsächlich anhand des Sicherheitskontexts der Anwendung über die zu verwendenden Authentifizierungsmethoden. Die folgende Tabelle enthält Empfehlungen auf der Grundlage der häufigsten Sicherheitsumgebungen:

Umgebung Überlegungen

Internes Intranet

Schützen Sie die Benutzeranmeldeinformationen zumindest vor der Volltextdarstellung. Stellen Sie die Integration im Benutzerverwaltungssystem sicher, das in der Umgebung implementiert ist. Wenn Active Directory implementiert ist, verwenden Sie die in IIS integrierten Windows-Authentifizierungsmethoden.

Sichere Zusammenarbeit mit externen Benutzern

Konfigurieren Sie für jedes Partnerunternehmen, das eine Verbindung mit der Website herstellt, eine eigene Zone. Authentifizieren Sie die entsprechenden Benutzer mithilfe des Identitätsverwaltungssystems des jeweiligen Partners über Web-SSO. Dadurch entfällt die Notwendigkeit, Benutzerkonten im eigenen Identitätsverwaltungssystem zu erstellen. Außerdem wird sichergestellt, dass die Identitäten weiterhin durch das Partnerunternehmen verwaltet und überprüft werden. Wenn ein Benutzer nicht mehr bei einem Partnerunternehmen beschäftigt ist, kann dieser auch nicht mehr auf die Partneranwendung zugreifen.

Externer anonymer Zugriff

Aktivieren Sie den anonymen Zugriff (ohne Authentifizierung), aber gewähren Sie Benutzern aus dem Internet ausschließlich Lesezugriff. Wenn Sie zielgruppenorientierte oder rollenbasierte Inhalte bereitstellen möchten, können Sie Benutzer mithilfe der ASP.NET-Formularauthentifizierung anhand einer einfachen Datenbank mit Benutzernamen und -rollen registrieren. Identifizieren Sie die Benutzer beim Registrierungsvorgang nach ihrer Rolle (z. B. Arzt, Patient, Apotheker usw.). Bei der Anmeldung kann den Benutzern rollenspezifischer Inhalt angezeigt werden. In diesem Szenario werden mithilfe der Authentifizierung weder die Anmeldeinformationen überprüft noch der Zugriff auf den Inhalt beschränkt, sondern mit diesem Authentifizierungsverfahren werden lediglich zielgruppenorientierte Inhalte bereitgestellt.

Empfehlungen und Nachteile von Authentifizierungsmethoden

Wenn Sie mit den Vorteilen, Empfehlungen und Nachteilen der einzelnen Authentifizierungsmethoden vertraut sind, können Sie die für Ihre Umgebung geeigneten Methoden besser bestimmen. In der folgenden Tabelle sind die Empfehlungen und Nachteile der einzelnen Authentifizierungsmethoden dargestellt. Weitere Informationen zu den einzelnen von IIS unterstützten Windows-Authentifizierungsmethoden finden Sie unter IIS-Authentifizierung (https://go.microsoft.com/fwlink/?linkid=78066&clcid=0x407).

Authentifizierungsmethode Vorteile und Empfehlungen Vor- und Nachteile

Windows

  • Die Authentifizierung erfolgt anhand der vorhandenen Active Directory-Konten.

  • Vereinfacht die Benutzerverwaltung.

  • Nutzen Sie Active Directory-Gruppen beim Konfigurieren der Microsoft Office SharePoint Server 2007-Autorisierung.

  • Vermeiden Sie das Schreiben von benutzerdefiniertem Code.

  • Jede Methode hat eigene Vor- und Nachteile.

  • Einige IIS-Authentifizierungsprotokolle werden nicht von allen Webbrowsern unterstützt.

ASP.NET-Formulare

  • Richten Sie Microsoft Office SharePoint Server 2007 in einer Umgebung ein, die nicht Active Directory verwendet (keine Windows-Konten erforderlich).

  • Führen Sie beim Erstellen von Partneranwendungen die Authentifizierung mit mindestens zwei verschiedenen Identitätsverwaltungssystemen durch.

  • Implementieren Sie ein benutzerdefiniertes Authentifizierungsschema mithilfe beliebiger Kriterien.

  • Authentifizieren Sie Benutzer aus dem Internet.

  • Erfordert die Anpassung der Datei Web.config.

  • Ist während der Lebensdauer des Cookies Wiederholungsangriffen ausgesetzt, es sei denn, SSL TLS (Transport Layer Security) wird verwendet.

Web-SSO

  • Implementieren Sie Microsoft Office SharePoint Server 2007 in einer Umgebung, die zum Schutz digitaler Identitäten zwischen Organisationen und Sicherheitsumgebungen Verbundauthentifizierung verwendet.

  • Implementieren Sie Microsoft Office SharePoint Server 2007 in einer Umgebung, die SSO für Dienste bereitstellt, die auf verschiedenen Plattformen ausgeführt werden, einschließlich Umgebungen ohne Active Directory.

  • Nutzen Sie die Active Directory-Verbunddienste.

  • Führen Sie beim Erstellen von Partneranwendungen die Authentifizierung mit mindestens zwei verschiedenen Identitätsverwaltungssystemen durch.

  • Erfordert ein Verbundauthentifizierungssystem.

  • Erfordert die Anpassung der Datei Web.config.

  • Für die Active Directory-Verbunddienste ist SSL erforderlich. Für andere SSO-Systeme gelten möglicherweise andere Anforderungen.

Verwaltung der Benutzeridentitätsdaten

Wie Anmeldeinformationen und andere Identitätsinformationen von Microsoft Office SharePoint Server 2007 verarbeitet und verwendet werden, kann Ihre Entscheidung über die für Ihren Zweck geeigneten Authentifizierungsoptionen beeinflussen. Dieser Abschnitt beschreibt, wie Benutzeridentitätsinformationen in den folgenden Kategorien verarbeitet werden:

  • Binäre IDs Erstellung oder Verwendung von binären IDs durch Microsoft Office SharePoint Server 2007.

  • Zwischenspeicherung   Das Verfahren zum vorübergehenden Speichern einer Benutzeridentität, mit dem die Wiederholung des Authentifizierungsverfahrens bei jeder Anforderung vermieden werden soll.

  • Rollen- und Gruppenmitgliedschaft Zusätzlich zur Bestimmung, wer die Benutzer sind, ermittelt der Authentifizierungsvorgang auch die Gruppen oder Rollen eines Benutzers. Diese Informationen werden beim Autorisierungsvorgang verwendet, um zu ermitteln, für welche Aktionen ein Benutzer Berechtigungen besitzt. Für die Autorisierung werden Active Directory-Gruppen und ASP.NET-Rollen in Microsoft Office SharePoint Server 2007 als derselbe Entitätstyp behandelt.

In der folgenden Tabelle ist dargestellt, wie in Microsoft Office SharePoint Server 2007 binäre Benutzer-IDs, zwischengespeicherte Benutzerdaten sowie Rollen- und Gruppenmitgliedschaftsdaten verwaltet werden, je nach verwendeter Authentifizierungsmethode:

Element Windows-Authentifizierung ASP.NET-Formulare und Web-SSO

Binäre IDs

In Microsoft Office SharePoint Server 2007 wird die Windows-Sicherheits-ID (SID) verwendet.

In Microsoft Office SharePoint Server 2007 wird eine eindeutige binäre ID durch Kombination des Anbieternamens mit dem Benutzernamen erstellt.

Zwischenspeicherung

Anmeldeinformationen werden von IIS, Internet Explorer und Windows zwischengespeichert und verwaltet.

ASP.NET verwendet zum Speichern der Anmeldeinformationen des Benutzers für die Dauer der Sitzung ein verschlüsseltes Cookie.

Rollen- und Gruppenmitgliedschaft

Die Liste der Active Directory-Domänengruppen, denen der Benutzer im Zugriffstoken angehört, wird von Windows verwaltet. In Microsoft Office SharePoint Server 2007 werden Informationen verwendet, die im Zugriffstoken gespeichert sind.

Bei der Registrierung eines Rollen-Managers erfasst Windows SharePoint Services die Gruppeninformationen zum aktuellen Benutzer über die Standardschnittstelle für Rollen-Manager. Jede ASP.NET-Rolle wird während der Authentifizierung wie eine Domänengruppe behandelt. ASP.NET kann die Rollen, denen eine Benutzer angehört, in einem Cookie zwischenspeichern. Dies hängt von den Einstellungen ab, die in der Datei Web.config konfiguriert sind.

Verwaltung von Benutzerkonten

Die Kenntnis der Behandlung typischer Aufgaben der Benutzerkontenverwaltung durch Microsoft Office SharePoint Server 2007 kann sich auch auf die Auswahl der Authentifizierungsmethode auswirken. Im Allgemeinen können Benutzer, die Mitglieder des Authentifizierungsanbieters in einer Zone sind, Konten über alle Zonen verwalten, solange die entsprechenden Berechtigungen gewährt werden. Die Informationen in der folgenden Liste gelten unabhängig von der implementierten Authentifizierungsmethode:

  • Neue Benutzer hinzufügen und einladen Sie können aus einer beliebigen Zone einen neuen Benutzer sowie alle Authentifizierungsmethoden, die konfiguriert sind, wenn der Mitgliedschaftsanbieter und der Rollen-Manager in der aktuellen Datei web.config registriert sind, hinzufügen oder einladen. Beim Hinzufügen eines neuen Benutzers wird der Benutzername durch Microsoft Office SharePoint Server 2007 anhand der folgenden Quellen und in der folgenden Reihenfolge aufgelöst:

    • Die von Microsoft Office SharePoint Server 2007 gespeicherte UserInfoList-Tabelle. Benutzerinformationen werden in dieser Liste aufgeführt, wenn Benutzer bereits zu einer anderen Website hinzugefügt wurden.

    • Der Authentifizierungsanbieter, der für die aktuelle Zone konfiguriert ist. Wenn ein Benutzer beispielsweise Mitglied des Authentifizierungsanbieters ist, der für die Standardzone konfiguriert ist, wird von Microsoft Office SharePoint Server 2007 zuerst dieser zugeordnete Mitgliedschaftsanbieter überprüft.

    • Alle anderen Authentifizierungsanbieter.

  • Löschen von Benutzern Benutzerkonten werden in der Microsoft Office SharePoint Server 2007-Datenbank als gelöscht gekennzeichnet. Der Benutzerdatensatz wird jedoch nicht entfernt.

Einige Verhaltensweisen der Benutzerkontenverwaltung in Microsoft Office SharePoint Server 2007 unterscheiden sich in Abhängigkeit vom Authentifizierungsanbieter. In der folgenden Tabelle werden einige häufige Aufgaben für Benutzerkonten aufgeführt, die sich abhängig von der implementierten Authentifizierungsmethode unterscheiden:

Aufgabe Konten mit Windows-Authentifizierung Über ASP.NET-Formulare und Web-SSO authentifizierte Konten

Hinzufügen und Einladen neuer Benutzer

Die Benutzeridentitäten werden von Microsoft Office SharePoint Server 2007 mithilfe von Active Directory überprüft.

Mitgliedschaftsanbieter und Rollen-Manager werden von Microsoft Office SharePoint Server 2007 aufgerufen, um zu überprüfen, ob der Benutzer und die Rollen vorhanden sind.

Änderungen an Anmeldenamen

Aktualisierte Benutzernamen werden von Microsoft Office SharePoint Server 2007 automatisch erkannt. Neue Einträge werden der UserInfoList-Tabelle nicht hinzugefügt.

Sie müssen den alten Kontonamen löschen und dann den neuen Kontonamen hinzufügen. Berechtigungen können nicht migriert werden.

Anmeldung

Wenn die integrierte Windows-Authentifizierung (Kerberos oder NTLM) verwendet wird und der Browser für die automatische Anmeldung konfiguriert ist, müssen sich die Benutzer an SharePoint-Websites nicht manuell anmelden. Standardmäßig ist Internet Explorer für die automatische Anmeldung bei Intranetsites konfiguriert. Wenn eine Anmeldung erforderlich ist (z. B. auf Websites, auf denen andere Anmeldeinformationen erforderlich sind), werden die Benutzer aufgefordert, einen Benutzernamen und ein Kennwort einzugeben. Wenn jedoch die Standardauthentifizierung oder ein Browser verwendet wird, der nicht für die automatische Anmeldung konfiguriert ist, werden die Benutzer möglicherweise aufgefordert, beim Zugriff auf eine SharePoint-Website Anmeldeinformationen einzugeben.

Mit Microsoft Office SharePoint Server 2007 wird eine Standardanmeldeseite für die Verwendung bei der Formularauthentifizierung bereitgestellt. Diese Seite enthält die folgenden Felder: Benutzername, Kennwort, automatische Anmeldung (zur Beibehaltung des Cookies). Sie können eine eigene Anmeldeseite erstellen, um zusätzliche Anmeldesteuerelemente hinzuzufügen (z. B. ein neues Konto erstellen oder Kennwort zurückzusetzen).

Browserunterstützung

Nicht alle Browser arbeiten mit allen unterstützten Authentifizierungsmethoden. Bevor Sie die Authentifizierungsmethoden auswählen, die in der Umgebung erlaubt sein sollen, ermitteln Sie, welche Browser unterstützt werden müssen. Anschließend bestimmen Sie, welche Authentifizierungsmethoden durch den Browser unterstützt werden. Internet Explorer kann mit allen unterstützten Authentifizierungsmethoden ausgeführt werden. Folgende Browser werden ebenfalls von Microsoft Office SharePoint Server 2007 unterstützt:

  • Netscape 8.0

  • Netscape 7.2

  • Mozilla 1.7.12

  • Firefox 1.5

  • Safari 2.02

Arbeitsblatt

Erfassen Sie auf dem folgenden Arbeitsblatt die für eine Umgebung geeigneten Authentifizierungsmethoden:

Die folgende Tabelle enthält ein Beispiel eines ausgefüllten Arbeitsblatts:

Authentifizierungsmethode Zulässig Nicht zulässig Hinweise und Empfehlungen

Anonym

x

Standard

x

Digest

x

Zertifikate

x

NTLM (in Windows integriert)

x

*"Verwenden Sie NTLM für alle Abteilungswebsites bis auf die der Finanzabteilung."*

Kerberos (in Windows integriert)

x

*"Verwenden Sie die Kerberos-Authentifizierung für Websites mit einer Vereinbarung zum Servicelevel mit hoher Sicherheitsstufe."*

ASP.NET-Formulare

x

*"Ermöglichen Sie Partnerunternehmen über die Formularauthentifizierung den Zugriff auf im Partnerextranet gehostete Websites. Die Authentifizierung ist derzeit mit folgenden Identitätsverwaltungssystemen möglich: Active Directory, LDAP. Entwickeln Sie mit Gerhard Goeschl die Authentifizierungseinstellungen für die Formularauthentifizierung."*

Web-SSO

x

*"Verwenden Sie diese Methode für Partneranwendungen nur, wenn das entsprechende Partnerunternehmen ein föderiertes Identitätsverwaltungssystem verwendet. Wenden Sie sich an Walter Weinfurter, um weitere Informationen zu erhalten."*

Weitere Hinweise: "Lassen Sie sämtliche Authentifizierungseinstellungen für SharePoint-Webanwendungen vor der Implementierung von Anja Richter genehmigen."

Herunterladen dieses Buchs

Dieses Thema wurde zum leichteren Lesen und Ausdrucken in das folgende Buch zum Herunterladen aufgenommen:

Die vollständige Liste der verfügbaren Bücher finden Sie unter Bücher zum Herunterladen für Office SharePoint Server 2007.

Siehe auch

Konzepte

Logisches Architekturmodell: Unternehmensbereitstellung