Eingehende Ansprüche: Anmelden bei SharePoint
Anmelden bei SharePoint
Wenn sich ein Benutzer bei SharePoint Server anmeldet, wird sein Token geprüft und anschließend für die Anmeldung bei SharePoint verwendet. Bei dem Token handelt es sich um ein von einem Forderungsanbieter bereitgestelltes Sicherheitstoken.
Hinweis
Informationen zur Anspruchsauthentifizierung für eine einzelne SharePoint-Farm und zur farmübergreifenden SharePoint-Anspruchsauthentifizierung finden Sie unter Planen der Anspruchsauthentifizierung auf TechNet.
Anmelden im Windows-Anspruchsmodus
Bei der Anmeldung im Windows-Forderungsmodus erfolgt die Anmeldung mit einer Negotiate-Abfrage der integrierten Windows-Authentifizierung (NTLM/Kerberos). Nachdem jedoch das WindowsIdentity-Objekt (das einen Windows-Benutzer darstellt) erstellt wurde, konvertiert SharePoint Server das WindowsIdentity-Objekt in ein ClaimsIdentity-Objekt (das eine anspruchsbasierte Darstellung eines Benutzers darstellt).
SharePoint Server führt dann die Anspruchserweiterung durch und verarbeitet das resultierende Token, das von SharePoint Server ausgestellt wird. Dies bedeutet, dass einige Features (z. B. mehrinstanzenfähige Unterstützung für Dienstanwendungen und benutzerdefinierte Anspruchsanbieter) in SharePoint Server funktionieren, obwohl die Clients glauben, dass sich SharePoint Server im nativen Windows-Anmeldemodus befindet. Die Windows-Anmeldeumgebung im Anspruchsmodus ist die integrierte Standardeinstellung für SharePoint Server.
Alle Forderungsanmeldungstypen nutzen die passive Anmeldung. Die passive Anmeldung erfolgt über eine Windows-Abfrage, allerdings über eine eigene Anmeldeseite, die über eine 302-Umleitung aufgerufen wird. Dieser Modus ist nützlich, wenn mehrere Anmeldemethoden aktiviert sind und der Benutzer unter mehreren unterstützten Forderungsanbietern wählen muss. Win32-Clients müssen die formularbasierte Authentifizierung in Office-Clients unterstützen. Einige Office-Clients folgen einem anderen Protokoll.
Passiver SAML-Anmeldungsmodus
Bei der passiven SAML-Anmeldung (Security Assertion Markup Language) wird der Client (z. B. eine Webseite) bei der Benutzeranmeldung an den festgelegten Forderungsanbieter (z. B. den Windows Live ID-Forderungsanbieter) umgeleitet. Nachdem der Anspruchsanbieter den Benutzer authentifiziert hat, übernimmt SharePoint Server das vom Anspruchsanbieter bereitgestellte SAML-Token, verarbeitet das SAML-Token und erweitert dann die Ansprüche.
Bei SAML-basierten Forderungsanbietern wie dem Forderungsanbieter der Active Directory-Verbunddienste und dem Windows Live ID-Forderungsanbieter wird nur die Anmeldung im passiven SAML-Anmeldungsmodus unterstützt. Die passive SAML-Anmeldung ist das SharePoint Online-Identitätsmodell.
Hinweis
SAML passiven Anmeldung beschreibt den Prozess der anmelden. Wenn die Anmeldung für eine Webanwendung konfigurationsgemäß Token von einem vertrauenswürdigen Anmeldeanbieter akzeptiert, wird dieser Anmeldungstyp als passive SAML-Anmeldung bezeichnet. Ein vertrauenswürdiger Anmeldeanbieter ist ein externer (außerhalb von SharePoint befindlicher) Sicherheitstokendienst, der von SharePoint als vertrauenswürdig eingestuft wird.
Win32-Clients müssen die in Office-Clients implementierte formularbasierte Authentifizierung unterstützen.
Passive Anmeldung von Mitgliedern und Rollen in ASP.NET
Bei der passiven Anmeldung von Mitgliedern und Rollen in ASP.NET erfolgt die Anmeldung durch das Umleiten des Clients an eine Webseite, auf der die ASP.NET-Anmeldesteuerelemente gehostet sind. Nachdem das Identitätsobjekt, das eine Benutzeridentität darstellt, erstellt wurde, konvertiert SharePoint Server es in ein ClaimsIdentity-Objekt (das eine anspruchsbasierte Darstellung eines Benutzers darstellt).
SharePoint Server führt dann eine Forderungsaugmentation durch. Win32-Clients müssen die formularbasierte Authentifizierung in Office-Clients unterstützen.
Anmeldung im klassischen Windows-Modus
Die Anmeldung im klassischen Windows-Modus wird in dieser Version nicht mehr unterstützt. Bei der Anmeldung im klassischen Windows-Modus erfolgt die Anmeldung mit einer Negotiate-Abfrage der integrierten Windows-Authentifizierung (NTLM/Kerberos). Es gibt keine Forderungsaugmentation, deshalb funktionieren einige Features (z. B. die Mehrinstanzenunterstützung für Dienstanwendungen und benutzerdefinierte Forderungsanbieter), wenn sich ein Benutzer in diesem Modus anmeldet.
Einige Dienstanwendungen erfordern möglicherweise auch den Anspruchsmodus für einige Features.
Anonymer Zugriff
Sie können den anonymen Zugriff für eine Webanwendung aktivieren. Die Administratoren der Websites innerhalb der Webanwendung können den anonymen Zugriff gestatten. Wenn anonyme Benutzer auf geschützte Ressourcen zugreifen möchten, können sie auf eine Anmeldeschaltfläche klicken, um ihre Anmeldeinformationen zu übertragen.
SharePoint Server führt dann eine Forderungsaugmentation durch. Win32-Clients müssen die formularbasierte Authentifizierung in Office-Clients unterstützen.