Freigeben über

Authentifizierungsbeispiele

  • Artikel

Inhalt dieses Artikels:

  • SQL-Mitgliedschaftsanbieter

  • Active Directory-Mitgliedschaftsanbieter

  • LDAP-Mitgliedschaftsanbieter

  • Web-SSO mit AD FS

Dieser Artikel enthält Beispiele von Konfigurationseinstellungen für mehrere häufig verwendete Formularauthentifizierungsanbieter und Authentifizierungsanbieter für die einmalige Webanmeldung.

SQL-Mitgliedschaftsanbieter

Die folgende Tabelle enthält Beispiele von Einträgen aus der Datei Web.config für die Verwendung der ASP.NET-Formularauthentifizierung zum Herstellen der Verbindung mit einem SQL-Mitgliedschaftsanbieter.

Konfigurationsschritte Beschreibung und Beispiele von Einträgen aus der Datei "Web.config"

Aktivieren Sie die ASP.NET-Formularauthentifizierung.

Sie können den Authentifizierungstyp für eine bestimmte Zone auf der Website für die SharePoint-Zentraladministration auf der Seite Authentifizierung bearbeiten auf die Formularauthentifizierung festlegen.

Dadurch wird automatisch der im Authentifizierungselement der Datei Web.config angegebene Modus für die Zone in Forms geändert.

Beispiel:

<authentication mode="Forms">
</authentication>

Registrieren Sie den Mitgliedschaftsanbieter.

Wenn Sie die Datenbanksoftware Microsoft SQL Server auf dem lokalen Server als Datenbank des Mitgliedschaftsanbieters verwenden und als Name des Mitgliedschaftsanbieters AspNetSqlMembershipProvider angeben, müssen Sie u. U. keine weiteren Änderungen an der Datei Web.config vornehmen. Wenn in diesem Szenario die Datei machine.config die korrekte Konfiguration für AspNetSqlMembershipProvider aufweist, kann sie für Windows SharePoint Services verwendet werden, ohne dass Sie Änderungen vornehmen müssen.

Wenn die Standardkonfiguration in der Datei machine.config nicht zutreffend ist (z. B. wenn Sie eine SQL Server-Datenbank auf einem Remoteserver verwenden möchten), müssen Sie jeweils die Datei Web.config für die Webanwendung und für die Zentraladministrationswebsite bearbeiten, um die Verbindungsinformationen im connectionStrings-Element für die Datenbank des Mitgliedschaftsanbieters anzugeben.

Beispiel:

<connectionStrings>
<add name="SqlProviderConnection" connectionString="server=SQLSERVERMACHINE;database=aspnetdb;Trusted_Connection=True" />
</connectionStrings>

Ersetzen Sie *SQLSERVERMACHINE* durch den Namen des Servercomputers, auf dem die Datenbank für die SQL Server-Mitgliedschaft installiert wurde.

Fügen Sie dann die Elemente membership und providers hinzu, um den Mitgliedschaftsanbieter in der Datei Web.config zu registrieren. Da bereits ein Standardanbieter in der Datei machine.config registriert ist, müssen Sie vor dem 

<membership defaultProvider="AspNetSqlMembershipProvider">
<providers>
<remove name="AspNetSqlMembershipProvider" />
<add connectionStringName="SqlProviderConnection" name="AspNetSqlMembershipProvider" type="System.Web.Security.SqlMembershipProvider, System.Web, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a" />
</providers>
  </membership>

Das membership-Element muss in das system.web-Element der Datei Web.config für die Webanwendung und für die Website für die Zentraladministration eingeschlossen werden.

Registrieren Sie den Rollen-Manager (optional).

Sie können den Standardrollenanbieter für ASP.NET verwenden, indem Sie dem system.web-Element der Datei Web.config ein roleManager-Element hinzufügen. Beispiel:

<roleManager enabled="true" />

In der vorstehenden Syntax wird AspNetSqlRoleProvider verwendet, der in der Datei machine.config definiert ist. Dieser Rollen-Manager kann eine Verbindung mit der ASPNETDB-Datenbank entweder in der lokalen oder in der Remoteinstanz von SQL Server herstellen. Wenn Sie eine SQL Server-Datenbank auf einem Remoteserver als Datenbank für den Rollenanbieter verwenden möchten, müssen Sie die Datei Web.config bearbeiten und die Verbindungsinformationen für den Remotedatenbankserver angeben.

Beispiel:

<connectionStrings>
  <add 
    name="SqlProviderConnection"
    connectionString="server=SQLSERVERMACHINE; database=aspnetdb; Trusted_Connection=True" 
    />
</connectionStrings>

Ersetzen Sie *SQLSERVERMACHINE* durch den Namen des Remoteservers, auf dem die SQL-Datenbank gehostet wird. Sie können für den Mitgliedschaftsanbieter und den Rollen-Manager denselben connectionStringName-Elementwert angeben, sodass Sie für den Rollenanbieter kein neues connectionStrings-Element hinzufügen müssen. Wenn Sie jedoch eine andere Datenbank für den Rollenanbieter verwenden möchten, müssen Sie ein separates connectionStrings-Element für den Rollenanbieter hinzufügen.

Im nächsten Schritt müssen Sie die Elemente roleManager und providers hinzufügen, um den roleManager-Anbieter in der Datei Web.config zu registrieren. Da bereits ein Standardanbieter in der Datei machine.config registriert ist, müssen Sie vor dem 

<roleManager enabled="true" defaultProvider="AspNetSqlRoleProvider">
<providers>
<remove name="AspNetSqlRoleProvider" />
<add connectionStringName="SqlProviderConnection" applicationName="/" description="Stores and retrieves roles data from the local Microsoft SQL Server database" name="AspNetSqlRoleProvider" type="System.Web.Security.SqlRoleProvider, System.Web, Version=2.0.3600.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a" />
</providers>
</roleManager>

Das roleManager-Element muss in das system.web-Element der Datei Web.config für die Webanwendung und für die Website für die Zentraladministration eingeschlossen werden.

Registrieren Sie das HTTP-Modul.

Nicht zutreffend

Active Directory-Mitgliedschaftsanbieter

Die folgende Tabelle enthält Beispiele von Einträgen aus der Datei Web.config für die Verwendung der ASP.NET-Formularauthentifizierung zum Verwenden eines Mitgliedschaftsanbieters für den Active Directory-Verzeichnisdienst.

Hinweis

Dies funktioniert nur in einem Szenario mit einer Domäne.

Konfigurationsschritte Beschreibung und Beispiele von Einträgen aus der Datei "Web.config"

Aktivieren Sie die ASP.NET-Formularauthentifizierung.

Sie können den Authentifizierungstyp für eine bestimmte Zone in der Zentraladministration auf der Seite Authentifizierung bearbeiten auf die Formularauthentifizierung festlegen.

Dadurch wird automatisch der im Authentifizierungselement der Datei Web.config angegebene Modus für die Zone in Forms geändert.

Beispiel:

<authentication mode="Forms">
</authentication>

Sie können im forms-Element auch die URL für die Anmeldeseite angeben, z. B.:

<authentication mode="Forms">
    <forms loginUrl="/_layouts/login.aspx"></forms>
</authentication>

Registrieren Sie den Mitgliedschaftsanbieter.

Wenn Sie für einen Mitgliedschaftsanbieter einen Active Directory-Server verwenden möchten, müssen Sie die Datei Web.config bearbeiten, um den Mitgliedschaftsanbieter zu registrieren. Dazu müssen Sie die Informationen für die Verbindung mit dem Active Directory-Server im connectionStrings-Element angeben.

Beispiel:

<connectionStrings>
  <add name="ADConnectionString" 
   connectionString=
   "LDAP://DirectoryServer/CN=Users,DC=DirectoryServer " />
</connectionStrings>

Ersetzen Sie *DirectoryServer* durch den Namen des Verzeichnisservers für die Mitgliedschaft.

<membership defaultProvider="MembershipADProvider">
    <providers>
       <add name="MembershipADProvider" type="System.Web.Security.ActiveDirectoryMembershipProvider, System.Web, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a"</code></p>
                connectionStringName="ADConnectionString"/></providers>
</membership>

Hinweis

Im vorstehenden Beispiel sind keine Kontoanmeldeinformationen angegeben. Wenn Sie keine Kontoanmeldeinformationen angeben, wird für den Zugriff auf Active Directory die Prozessidentität der Anwendung verwendet.

Wenn für den Zugriff auf Active Directory ein anderes Konto erforderlich ist, können Sie in den Attributen connectionUsername und connectionPassword andere Kontoanmeldeinformationen angeben, d. h., Sie geben den Benutzernamen und das Kennwort im Nur-Text-Format ein. Aus diesem Grund sollten Sie diesen Konfigurationsabschnitt verschlüsseln. Weitere Informationen finden Sie in den folgenden Artikeln:

Registrieren Sie den Rollen-Manager (optional).

Registrieren Sie das HTTP-Modul.

Nicht zutreffend

LDAP-Mitgliedschaftsanbieter

Die folgende Tabelle enthält Beispiele von Einträgen aus der Datei Web.config für die Verwendung der ASP.NET-Formularauthentifizierung mit einem LDAP-Mitgliedschaftsanbieter (Lightweight Directory Access Protocol).

Konfigurationsschritte Beschreibung und Beispiele von Einträgen aus der Datei "Web.config"

Aktivieren Sie die ASP.NET-Formularauthentifizierung.

Sie können den Authentifizierungstyp für eine bestimmte Zone in der Zentraladministration auf der Seite Authentifizierung bearbeiten auf die Formularauthentifizierung festlegen.

Dadurch wird automatisch der im Authentifizierungselement der Datei Web.config angegebene Modus für die Zone in Forms geändert.

<system.web>
 <!-mode=[Windows|Forms|Passport|None]>
 <authentication mode="Forms" />
</system.web>

Registrieren Sie den Mitgliedschaftsanbieter.

Das membership-Element muss in das system.web-Element der Datei Web.config eingeschlossen werden.

 <membership defaultProvider="LdapMembershipProvider">
  <providers>
    <add 
      name="LdapMembership" 
     type="Microsoft.Office.Server.Security.LDAPMembershipProvider, Microsoft.Office.Server, Version=12.0.0.0, Culture=neutral, PublicKeyToken=71E9BCE111E9429C" 
      server="DC" 
      port="389" 
      useSSL="false" 
      userDNAttribute="distinguishedName" 
      userNameAttribute="sAMAccountName" 
      userContainer="CN=Users,DC=userName,DC=local" 
     userObjectClass="person" 
      userFilter="(|(ObjectCategory=group)(ObjectClass=person))" 
      scope="Subtree" 
      otherRequiredUserAttributes="sn,givenname,cn" 
      />
  </providers>
</membership>

Sie müssen die für die Attribute server und userContainer angegebenen Werte entsprechend Ihrer Umgebung ändern.

Registrieren Sie den Rollen-Manager (optional).

 
 <roleManager defaultProvider="LdapRoleProvider" enabled="true" cacheRolesInCookie="true" cookieName=".PeopleDCRole">
  <providers>
    <add 
name="LdapRoleProvider" 
type="Microsoft.Office.Server.Security.LDAPRoleProvider, Microsoft.Office.Server, Version=12.0.0.0, Culture=neutral, PublicKeyToken=71E9BCE111E9429C"
server="DC"
port="389"
useSSL="false"
groupContainer="DC=userName,DC=local"
groupNameAttribute="cn"
groupMemberAttribute="member"
userNameAttribute="sAMAccountName"
dnAttribute="distinguishedName"
groupFilter="(ObjectClass=group)"
scope="Subtree"
/>
  </providers>
</roleManager>

Sie müssen die für die Attribute server und groupContainer angegebenen Werte entsprechend Ihrer Umgebung ändern.

Registrieren Sie das HTTP-Modul.

Nicht zutreffend

Web-SSO mit AD FS

Im Betriebssystem Microsoft Windows Server 2003 R2 werden die Active Directory-Verbunddienste (Active Directory Federation Services, AD FS) eingeführt, mit denen Organisationen die Identitätsinformationen eines Benutzers sicher freigeben können. AD FS stellen Technologien für die einmalige Webanmeldung bereit, um einen Benutzer während einer Onlinesitzung bei mehreren Webanwendungen zu authentifizieren.

Die beiden folgenden Paare von Mitgliedschafts- und Rollenanbietern sind in AD FS enthalten:

  • SingleSignOnMembershipProvider/SingleSignOnRoleProvider   Der Mitgliedschaftsanbieter und der Rollenanbieter, die mit Windows Server 2003 R2 standardmäßig bereitgestellt werden.

  • SingleSignOnMembershipProvider2/SingleSignOnRoleProvider2   Der Mitgliedschaftsanbieter und der Rollenanbieter, die in teilweise vertrauenswürdigen Umgebungen verwendet werden. Diese Anbieter sind in Service Pack 2 von Windows Server 2003 R2 enthalten.

SingleSignOnMembershipProvider/SingleSignOnRoleProvider

Die folgende Tabelle enthält Beispiele von Einträgen aus der Datei Web.config für eine Web-SSO-AD FS-Umgebung, in der der Standardanbieter verwendet wird.

Konfigurationsschritte Beschreibung und Beispiele von Einträgen aus der Datei "Web.config"

Aktivieren Sie die ASP.NET-Formularauthentifizierung.

 
<system.web>
 <!-mode=[Windows|Forms|Passport|None]>
 <authentication mode="Forms" />
</system.web>

Registrieren Sie den Mitgliedschaftsanbieter.

 
<membership defaultProvider="SingleSignOnMembershipProvider">
  <providers>
    <add
      name="SingleSignOnMembershipProvider"
      type="System.Web.Security.SingleSignOn.SingleSignOnMembershipProvider, System.Web.Security.SingleSignOn, Version=1.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35"
      fs="https://FEDERATIONSERVER/adfs/fs/federationserverservice.asmx"
      />
  </providers>
</membership>

Ersetzen Sie im fs-Attribut *FEDERATIONSERVER* durch den tatsächlichen Servernamen.

Das membership-Element muss in das system.web-Element der Datei Web.config eingeschlossen werden.

Registrieren Sie den Rollen-Manager (optional).

 
<roleManager enabled="true" defaultProvider="SingleSignOnRoleProvider">
  <providers>
    <add 
      name="SingleSignOnRoleProvider" 
      type="System.Web.Security.SingleSignOn.SingleSignOnRoleProvider, System.Web.Security.SingleSignOn, Version=1.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35" 
      fs="https://FEDERATIONSERVER/adfs/fs/federationserverservice.asmx" 
      />
  </providers>
</roleManager>

Im fs-Attribut müssen Sie *FEDERATIONSERVER* durch den tatsächlichen Servernamen ersetzen.

Registrieren Sie das HTTP-Modul.

SingleSignOnMembershipProvider2/SingleSignOnRoleProvider2

Wenn Sie das zweite AD FS-Anbieterpaar verwenden, weichen die Einstellungen zum Registrieren des Mitgliedschaftsanbieters und des Rollen-Managers voneinander ab. In der folgenden Tabelle finden Sie Beispiele von Einträgen aus der Datei Web.config für eine Web-SSO-AD FS-Umgebung, in der der Anbieter verwendet wird, der in teilweise vertrauenswürdigen Umgebungen ausgeführt wird.

Konfigurationsschritte Beschreibung und Beispiele von Einträgen aus der Datei "Web.config"

Aktivieren Sie die ASP.NET-Formularauthentifizierung.

 
<system.web>
 <!-mode=[Windows|Forms|Passport|None]>
 <authentication mode="Forms" />
</system.web>

Registrieren Sie den Mitgliedschaftsanbieter.

 
<membership defaultProvider="SingleSignOnMembershipProvider2">
  <providers>
    <add name="SingleSignOnMembershipProvider2"
      
type="System.Web.Security.SingleSignOn.SingleSignOnMembershipProvider2, System.Web.Security.SingleSignOn.PartialTrust, Version=1.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35" 
      
fs=https://FEDERATIONSERVER/adfs/fs/federationserverservice.asmx
      />
  </providers>
</membership>

Ersetzen Sie im fs-Attribut *FEDERATIONSERVER* durch den tatsächlichen Servernamen.

Das membership-Element muss in das system.web-Element der Datei Web.config eingeschlossen werden.

Registrieren Sie den Rollen-Manager (optional).

 
<roleManager enabled="true" defaultProvider="SingleSignOnRoleProvider2">
  <providers>
    <add 
      name="SingleSignOnRoleProvider2" 
      type="System.Web.Security.SingleSignOn.SingleSignOnRoleProvider2, System.Web.Security.SingleSignOn.PartialTrust, Version=1.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35" 
      fs="https://FEDERATIONSERVER/adfs/fs/federationserverservice.asmx" 
      />
  </providers>
</roleManager>

Im fs-Attribut müssen Sie "FEDERATIONSERVER" durch den tatsächlichen Servernamen ersetzen.

Registrieren Sie das HTTP-Modul.

Herunterladen dieses Buchs

Dieses Thema wurde zum leichteren Lesen und Ausdrucken in das folgende Buch zum Herunterladen aufgenommen:

Die vollständige Liste der verfügbaren Bücher finden Sie unter Bücher zum Herunterladen für Office SharePoint Server 2007.