Freigeben über

Team Foundation Server, Authentifizierung und Zugriff

  • Artikel

Sie können Ihre Bereitstellung so konfigurieren, dass zwischen den Benutzern und der Visual Studio 2010-Bereitstellung eine sichere Verbindung besteht. Von Visual Studio Team Foundation Server werden Standardauthentifizierung, Digestauthentifizierung und Zertifikate unterstützt. Daher können Sie die Bereitstellung von Team Foundation Server für die Verwendung von HTTPS (Hypertext Transfer Protocol Secure) mit SSL (Secure Sockets Layer) und entweder Standard- oder Digestauthentifizierung konfigurieren. Bei Anwendung dieser Strategie können die Benutzer eine sicherere Verbindung mit der Bereitstellung herstellen, ohne ein VPN (Virtuelles Privates Netzwerk) verwenden zu müssen.

Konfigurationen

Zur Erhöhung der Sicherheit bei externen Verbindungen mit der Team Foundation Server-Bereitstellung muss mithilfe von Internetinformationsdienste (IIS) die Standard- bzw. die Digestauthentifizierung aktiviert werden. Zudem empfiehlt es sich, für sämtliche externe Verbindungen die Verwendung von Zertifikaten erforderlich zu machen.

Standardauthentifizierung und Digestauthentifizierung

Die Standardauthentifizierung ist Teil der HTTP 1.0-Spezifikation und verwendet Windows-Benutzerkonten. Bei der Standardauthentifizierung wird der Benutzer vom Browser zur Angabe eines Benutzernamens und eines Kennworts aufgefordert. Diese Informationen werden dann per HTTP mit Base64-Codierung übertragen. Standardmäßig werden für die Standardauthentifizierung Windows-Benutzerkonten mit lokalen Anmelderechten am Webserver benötigt. Die Standardauthentifizierung kann sowohl in Arbeitsgruppen- als auch in Domänenbereitstellungen verwendet werden. Die Standardauthentifizierung wird zwar von den meisten Webservern, Proxyservern und Webbrowsern unterstützt, sie ist jedoch nicht sicher. Da sich Daten mit Base64-Codierung auf einfache Weise dekodieren lassen, wird bei der Standardauthentifizierung das Kennwort im Grunde im Nur-Text-Format gesendet. Diese Kennwörter können durch die Überwachung der Netzwerkkommunikation mithilfe öffentlich verfügbarer Tools problemlos von einem böswilligen Benutzer abgefangen und entschlüsselt werden. Ein höheres Maß an Sicherheit lässt sich durch die Verwendung von HTTPS mit SSL erreichen.

Die Digestauthentifizierung ist ein auf Abfrage und Rückmeldung basierender Mechanismus, von dem anstelle eines Kennworts ein Digest (auch: Hash) über das Netzwerk gesendet wird. Bei der Digestauthentifizierung wird von IIS eine Abfrage an den Client gesendet, um ein Digest zu erstellen und dieses anschließend an den Server zu senden. Als Rückmeldung auf die Abfrage werden vom Client ein auf dem Kennwort des Benutzers basierendes Digest sowie Daten gesendet, die sowohl dem Client als auch dem Server bekannt sind. Vom Server wird auf die gleiche Weise ein eigenes Digest mit den Benutzerinformationen aus Active Directory erstellt. Der Client wird nur dann von IIS authentifiziert, wenn das vom Server erstellte Digest dem vom Client erstellten Digest entspricht. Die Digestauthentifizierung kann ausschließlich in Active Directory-Bereitstellungen verwendet werden. Die Digestauthentifizierung stellt im Grunde nur eine geringe Verbesserung gegenüber der Standardauthentifizierung dar. Ein böswilliger Benutzer kann die Kommunikation zwischen Client und Server aufzeichnen und diese Informationen nutzen, um die Transaktion wiederzugeben. Die Digestauthentifizierung ist außerdem vom HTTP 1.1-Protokoll abhängig, das nicht von allen Webbrowsern unterstützt wird. Darüber hinaus kann nicht auf Team Foundation Server zugegriffen werden, wenn die Digestauthentifizierung nicht ordnungsgemäß konfiguriert wurde. Entscheiden Sie sich nur dann für die Digestauthentifizierung, wenn Ihre Bereitstellung alle Anforderungen an diesen Modus erfüllt. Weitere Informationen finden Sie auf der folgenden Seite der Microsoft-Website: Digestauthentifizierung (IIS 6.0) (möglicherweise in englischer Sprache).

Einschränkungen

Zusätzlich zu den in diesem Thema erwähnten Domänen- und Arbeitsgruppenanforderungen sind sowohl die Standard- als auch die Digestauthentifizierung alleine nicht ausreichend, um Netzwerksicherheit für externe Clients zu gewährleisten. Daher sollten Sie die Unterstützung externer Clients für Team Foundation Server nur konfigurieren, wenn Sie für diese Verbindungen auch die Nutzung von HTTPS mit SSL vorschreiben.

Siehe auch

Konzepte

Architektur von Team Foundation Server

Weitere Ressourcen

Securing Team Foundation Server with HTTPS and Secure Sockets Layer (SSL)