(0) exportieren Drucken
Alle erweitern

Autorisierung und Authentifizierung für Apps in SharePoint 2013

apps for SharePoint

In diesem Artikel erhalten Sie einen Überblick über die Authentifizierung und Autorisierung in SharePoint, die verwendet wird, um Anforderungen einer App für SharePoint für den Zugriff auf SharePoint-Ressourcen zu autorisieren.

Letzte Änderung: Samstag, 13. September 2014

Gilt für: apps for SharePoint | Office 365 | SharePoint Foundation 2013 | SharePoint Server 2013

In diesem Artikel
App Authentifizierung in SharePoint
Autorisierungsrichtlinien: Richtlinie nur für Benutzer, Richtlinie für Benutzer und Apps oder Richtlinie nur für Apps
OAuth 2.0 in SharePoint 2013
Wann ist die Verwendung von OAuth erforderlich?
Zugriffstoken
App-Berechtigungen und App-Berechtigungsanforderungsbereiche
Weitere Informationsquellen

Sehen Sie sich ein Video über App-Identität an.

Videos

Wenn sich ein Benutzer bei SharePoint anmeldet, wird das Token des Benutzers überprüft und anschließend für die Anmeldung bei SharePoint verwendet. Bei dem Token handelt es sich um einen Sicherheitstoken, der von einem Identitätsanbieter ausgegeben wird. SharePoint unterstützt mehrere Arten der Authentifizierung. Weitere Informationen finden Sie unter Autorisierung und Authentifizierung.

Bei der App-Authentifizierung überprüft die Authentifizierung einen Anspruch eines Antragstellers (in diesem Fall einer App), ihm zu erlauben, Aufgaben im Auftrag eines bestimmten Prinzipals (in diesem Fall ein authentifizierter SharePoint-Benutzer) durchzuführen. Apps können auf verschiedene Weise authentifiziert werden. Beispielsweise wird beim Aufruf an ein App-Web der Aufruf nur dann der App zugeordnet, die mit dem App-Web verknüpft ist (zusätzlich zum authentifizierten Benutzer), wenn es sich nicht um einen OAuth-Aufruf handelt. Wenn es sich um einen OAuth-Aufruf handelt, verwendet SharePoint den Microsoft Azure-Zugriffssteuerungsdienst (ACS) oder ein digitales Zertifikat als App-Identitätsanbieter.

Weitere Informationen über OAuth-Aufrufe an SharePoint finden Sie unter Erstellen von Apps für SharePoint, die die ACS-Autorisierung verwenden und Richtlinien zur Verwendung des besonders vertrauenswürdigen Autorisierungssystems in Apps für SharePoint 2013.

Die Autorisierung überprüft, ob ein authentifizierter Antragsteller (eine App oder ein Benutzer oder beides) berechtigt ist, bestimmte Operationen durchzuführen oder auf bestimmte Ressourcen zuzugreifen (z. B. eine Liste oder einen SharePoint-Dokumentordner).

SharePoint verwendet drei Autorisierungsrichtlinientypen. Die authentifizierten Identitäten zu einem bestimmten Aufruf an SharePoint ermitteln, welche Autorisierungsrichtlinie SharePoint verwendet. Die authentifizierten Identitäten können nur die Identität des Benutzers, die Identität der App für SharePoint oder beide Identitäten sein. Entsprechend kann die Autorisierungsrichtlinie, die SharePoint verwendet, die nur-Benutzer-, die nur-App- oder die Benutzer + App-Richtlinie sein. Wenn ein Benutzer beispielsweise über die SharePoint-Benutzerfläche auf SharePoint-Ressourcen zugreift, statt über eine App, verwendet SharePoint die nur-Benutzer-Richtlinie. SharePoint verwendet immer die nur-App- oder die App + Benutze-Richtlinie für Aufrufe von einer App für SharePoint. Die App bestimmt, welche Richtlinie vom Zugriffstokentyp verwendet wird, die er in der Anforderung an SharePoint enthält. Wenn die Benutzer + App-Anforderung erfolgt, erfordert SharePoint, dass die App und der Benutzer die Berechtigung für die Ressource haben, auf die die App zugreift. Bei einer nur-App-Anforderung erfordert SharePoint, dass die App die Berechtigung für die Ressource hat, es spielt jedoch keine Rolle, ob der Benutzer über diese verfügt. (Eine App für SharePoint kann nur-App-Anforderungen nur durchführen, wenn sie die Berechtigung dazu vorab erhalten hat; in der Regel bei der Installation.)

Weitere Informationen über Autorisierungsrichtlinien und ihre Funktionsweise finden Sie unter Arten von App-Autorisierungsrichtlinien in SharePoint 2013.

Der Entwickler einer App für SharePoint muss über die App-Manifestdatei die Berechtigungen angeben, die eine App für SharePoint-Ressourcen außerhalb des App-Webs benötigt. (Die App erhält automatisch die Vollzugriffsberechtigung auf das gesamte App-Web). Wenn Die App darauf ausgelegt ist, direkt aus SharePoint gestartet zu werden, fordert die Installationsinfrastruktur der App den Benutzer, der die App installiert hat, dazu auf, der App die benötigten Berechtigungen zu gewähren oder zu verweigern. Nachdem die Berechtigungen gewährt wurden, können Benutzer der Website die App verwenden, ohne ihr die Berechtigungen erneut zu gewähren. Wenn die App jedoch dazu ausgelegt ist, außerhalb von SharePoint gestartet zu werden, fordert SharePoint den Benutzer, der die App ausführt, dazu auf, der App bei jeder Ausführung die erforderlichen Berechtigungen zu gewähren.

Nur ein Websitebesitzer kann eine App für SharePoint auf einer Website installieren (sofern keine benutzerdefinierte Rolle erstellt wurde, die über App-Installationsrechte verfügt). Ein Benutzer kann einer App nur die Berechtigungen erteilen, über die er oder sie auch selbst verfügt. Ein Benutzer kann also keine App installieren (oder ausführen, im Falle einer extern ausgeführten App), die Berechtigungen erfordert, über die der Benutzer nicht verfügt.

Zudem können Mandantenadministratoren oder SharePoint-Webanwendungsadministratoren der App Berechtigungen erteilen oder entziehen.

In der App-Manifestdatei verwendet eine App für SharePoint eine Berechtigungsanforderung, um die Berechtigungen anzugeben, die sie für ihre korrekte Ausführung benötigt. Die Berechtigungsanforderungen geben die Rechte an, die eine App benötigt, und den Bereich, in dem die Rechte benötigt werden. Bereiche geben an, wo in der SharePoint-Hierarchie eine Berechtigungsanforderung angewendet wird. SharePoint unterstützt vier unterschiedliche Inhaltsbereiche: einen Mandanten, eine Websitesammlung, eine Website und eine Liste. Außerdem gibt es spezielle Bereiche zum Ausführen von Suchabfragen, Zugreifen auf Taxonomiedaten, Features für soziale Netzwerke, Microsoft Business Connectivity Services (BCS)-Features und Project Server 2013-Features. Weitere Informationen zu App-Berechtigungen finden Sie unter Hinzufügen von Berechtigungen in SharePoint 2013.

OAuth 2.0 ist ein offenes Framework zur Autorisierung. OAuth ermöglicht die sichere Autorisierung von Desktop- und Webanwendungen auf einfache und standardmäßige Weise. OAuth ermöglicht es Benutzern, eine Anwendung in ihrem Auftrag Aufgaben durchführen zu lassen, ohne dass sie ihren Benutzernamen und ihr Kennwort angeben müssen. Beispielsweise ermöglicht OAuth Benutzern, ihre auf einer Website gespeicherten privaten Ressourcen oder Daten (Kontaktlisten, Dokumente, Fotos, Videos usw.) auf einer anderen Website freizugeben, ohne dass Anmeldeinformationen (in der Regel Benutzername und Kennwort) angegeben werden müssen.

Mit OAuth können Benutzer Zugriffstoken anstelle von Anmeldeinformationen (z. B. Benutzername und Kennwort) mit ihren Daten angeben, die von einem bestimmten Dienstanbieter gehostet werden (z. B. SharePoint). Jedes Token gewährt Zugriff auf einen bestimmten Ressourcenanbieter (z. B. eine SharePoint-Website) für bestimmte Ressourcen (z. B. Dokumente in einer SharePoint-Dokumentbibliothek) und einen definierten Zeitraum (z. B. 12 Stunden). Damit kann ein Benutzer einer Web- oder Desktop-Anwendung eines Drittanbieters Zugriff auf Informationen gewähren, die mit einer anderen Ressource oder einem anderen Dienstanbieter (z. B. SharePoint) gespeichert wurden, ohne seinen oder ihren Benutzernamen und das Kennwort anzugeben und ohne alle Daten freizugeben, die in SharePoint vorhanden sind.

Hinweis Hinweis

Weitere Informationen über OAuth finden Sie unter OAuth.net und Web-Autorisierungsprotokoll (oauth).

Ein typisches Apps für SharePoint-Szenario sieht so aus. Ein Benutzer meldet sich bei SharePoint an und wird authentifiziert. Der authentifizierte Benutzer installiert anschließend eine App für SharePoint aus dem Office Store oder dem App-Katalog. Die App wird von dem Benutzer berechtigt, auf SharePoint-Ressourcen zuzugreifen. Wenn ein authentifizierter Benutzer (nicht unbedingt der gleiche Benutzer, der die App installiert hat) die App startet, sendet SharePoint ein Kontext-Token an die App. Die App führt dann einen Rückruf an SharePoint durch, um im Auftrag des Benutzers mithilfe eines Zugriffstoken auf SharePoint-Ressourcen zuzugreifen.

Wenn Sie die Erstellung einer App für SharePoint planen, die in einer Remote-Webanwendung ausgeführt wird und mithilfe von serverseitigem Code an SharePoint zurückkommuniziert, müssen Sie OAuth verwenden. Wenn die Remote-Webanwendung extern bereitgestellt ist, verwenden Sie das ACS-Autorisierungssystem, das ACS ACS als Tokenaussteller verwendet. Wenn sie lokal bereitgestellt ist, verwenden Sie normalerweise das besonders vertrauenswürdige System, indem die App selbst und ein digitales Zertifikat als Tokenaussteller verwendet werden.

Das OAuth 2.0 Framework verwendet die Weitergabe von Token für folgende Vorgänge:

  • Zur Autorisierung von Anforderungen einer App für SharePoint für den Zugriff auf SharePoint-Ressourcen.

  • Zur Authentifizierung von Apps im Office Store, einem App-Katalog oder einem Entwicklermandanten.

Sie verwenden OAuth nicht, um einen Aufruf aus dem App-Web oder JavaScript einer Remote-Webseite mithilfe der domänenübergreifenden Domänenbibliothek durchzuführen.

Um auf Ressourcen zuzugreifen, muss eine App ein Zugriffstoken von einem OAuth-Sicherheitstokendienst (STS) anfordern, das zuvor von einem Ressourcenbesitzer als vertrauenswürdiger Tokenaussteller festgelegt wurde. Ein Beispiel eines OAuth-STS ist der Microsoft Azure Access Control Service (ACS). Im Gegensatz dazu sind die WS-Federation-STS und die passiven Anmelde-Security Assertion Markup Language (SAML)-STS vorrangig dazu gedacht, Anmeldetoken auszugeben. Weitere Informationen über ACS finden Sie unter Erstellen von Apps für SharePoint, die die ACS-Autorisierung verwenden und untergeordneten Themen.

In SharePoint wird ein OAuth-STS nicht für die Ausgabe von Anmeldetoken verwendet, d. h. sie werden nicht als Identitätsanbieter verwendet. Daher wird auf der Benutzeranmeldeseite, im Abschnitt Authentifizierungsanbieter der Zentraladministration oder in der Personenauswahl in SharePoint kein OAuth-STS aufgeführt.

SharePoint-Administratoren können Windows PowerShell-Befehle verwenden, um einen OAuth-STS zu aktivieren oder zu deaktivieren. SharePoint-Administratoren können OAuth für eine bestimmte Webanwendung aktivieren oder deaktivieren, wie sie auch vertrauenswürdige Anmeldeanbieter in SharePoint 2010 aktivieren oder deaktivieren können.

SharePoint implementiert das OAuth 2.0 Framework, um es außerhalb von SharePoint ausgeführten Apps zu ermöglichen, im Auftrag eines Ressourcenbesitzers auf geschützte SharePoint-Ressourcen zuzugreifen. In der SharePoint-Eingangsimplementierung des Protokolls werden die OAuth-Rollen von folgenden Komponenten übernommen:

  • Externe Apps übernehmen die Rolle des Clients.

  • SharePoint-Benutzer übernehmen die Ressourcenbesitzerrolle.

  • SharePoint übernimmt die Rolle des Ressourcenservers.

  • ACS übernimmt die Rolle des Autorisierungsservers, wenn das ACS-Autorisierungssystem verwendet wird. Wenn das besonders vertrauenswürdige System verwendet wird, wird die App selbst (zusammen mit einem digitalen Zertifikat) der Autorisierungsserver.

Anzeigen:
© 2014 Microsoft