Registerkarte "Sicherheit" des Websiteverwaltungs-Tools

Artikel
10/22/2014

Aktualisiert: November 2007

Mithilfe der Registerkarte Sicherheit des Websiteverwaltungs-Tools können Sie Regeln zur Absicherung bestimmter Ressourcen in der Webanwendung verwalten. In ASP.NET wird ein Sicherheitssystem verwendet, das es Ihnen ermöglicht, den Zugriff auf bestimmte Benutzerkonten oder die Rollen, zu denen die Benutzerkonten gehören, zu beschränken. Mit der Registerkarte Sicherheit verwalten Sie Benutzerkonten, Rollen, und Zugriffsregeln für die Website. Konfigurieren Sie mit dem Setup-Assistenten für Sicherheit grundlegende Sicherheitseinstellungen für die Website, bevor Sie die Registerkarte Sicherheit erstmals verwenden.

Die ASP.NET-Sicherheit basiert auf Benutzerkonten, Rollen und Zugriffsregeln und ermöglicht es Ihnen, den Zugriff auf Ihre Webanwendungsressourcen auf die angegebenen Benutzerkonten zu beschränken. Sicherheitseinstellungen werden aus einer Kombination von Konfigurationseinstellungen und in einer Datenbank (oder einem anderen Datenspeicher) gespeicherten Daten eingerichtet. Von Ihnen erstellte Benutzerkonten und Rollen werden in der Datenbank gespeichert, und Zugriffsregeln werden in der Datei Web.config gespeichert.

Sie können Ihre Anwendung so konfigurieren, dass je nach Verwendung der Website die folgenden Sicherheitstypen gelten:

Formularbasierte Authentifizierung (Aus dem Internet)

Formularbasierte Authentifizierung wird für Websites verwendet, die im Internet verfügbar gemacht werden. Bei der formularbasierten Authentifizierung werden mithilfe des ASP.NET-Mitgliedschaftssystems einzelne Benutzerkonten und Gruppen (Rollen) verwaltet. Benutzerkontoinformationen werden in einer lokalen Datenbank oder einer Microsoft SQL Server-Datenbank gespeichert. Sie können mithilfe der ASP.NET-Anmeldesteuerelemente eine Anmeldeseite erstellen, auf der Benutzer ihre Anmeldeinformationen eingeben können.
Integrierte Microsoft Windows-Authentifizierung (Von einem lokalen Netzwerk)

Die Windows-Authentifizierung interagiert mit der Windows-Sicherheit und verwendet dazu die Anmeldeinformationen, die Benutzer beim Anmelden in Windows eingeben. Deshalb eignet sich die Windows-Authentifizierung für Intranetszenarios, in denen sich Benutzer bei einem Windows-basierten Netzwerk angemeldet haben. Sie müssen keine Anmeldeseite erstellen, da die Benutzer automatisch mit ihren Windows-Anmeldeinformationen bei Ihrer Anwendung angemeldet werden.

Im Abschnitt Benutzer auf der Registerkarte Sicherheit können Sie die folgenden Aufgaben durchführen:

Erstellen, Bearbeiten und Löschen von registrierten Benutzerkonten für die Website.
Anzeigen einer Liste aller registrierten Benutzerkonten für die Website.
Ändern der Authentifizierungsmethode, die von der Website verwendet wird.

Hinweis:
Sie können Benutzerkonten erstellen und verwalten, wenn Sie die Option Aus dem Internet als Authentifizierungstyp auswählen (wenn Sie formularbasierte Authentifizierung verwenden). Falls Sie die Option Von einem lokalen Netzwerk als Authentifizierungstyp auswählen (wenn Sie die integrierte Windows-Authentifizierung verwenden), können Sie keine einzelnen Benutzerkonten verwalten. Wenn Sie den Authentifizierungstyp ändern, gehen alle Benutzerinformationen, die Sie erstellt haben, verloren. Des Weiteren funktionieren Ihre Zugriffsregeln möglicherweise nicht mehr so, wie Sie sie konfiguriert haben. Im Allgemeinen sollten Sie nur dann einen Authentifizierungstyp auswählen, wenn Sie die Website anfänglich konfigurieren.

Sie können Benutzerkonten erstellen und verwalten, wenn Sie die Option Aus dem Internet als Authentifizierungstyp auswählen (wenn Sie formularbasierte Authentifizierung verwenden). Falls Sie die Option Von einem lokalen Netzwerk als Authentifizierungstyp auswählen (wenn Sie die integrierte Windows-Authentifizierung verwenden), können Sie keine einzelnen Benutzerkonten verwalten. Wenn Sie den Authentifizierungstyp ändern, gehen alle Benutzerinformationen, die Sie erstellt haben, verloren. Des Weiteren funktionieren Ihre Zugriffsregeln möglicherweise nicht mehr so, wie Sie sie konfiguriert haben. Im Allgemeinen sollten Sie nur dann einen Authentifizierungstyp auswählen, wenn Sie die Website anfänglich konfigurieren.

Fassen Sie Benutzerkonten im Abschnitt Rollen auf der Registerkarte Sicherheit zu Gruppen zusammen. Das Zuweisen von Berechtigungen (Autorisierungen) gestaltet sich dadurch einfacher.

Im Abschnitt Zugriffsregeln der Registerkarte Sicherheit können Sie den Zugriff auf bestimmte Seiten für bestimmte Benutzerkonten oder für alle Benutzerkonten einer bestimmten Rolle zulassen oder verweigern. In der Regel werden Zugriffsregeln verwendet, um Seiten für einige Benutzerkonten zu beschränken.

Erstellen von Benutzern

Sie können Benutzerkonten erstellen und verwalten, wenn Sie den Authentifizierungstyp auf Aus dem Internet (formularbasierte Authentifizierung) festgelegt haben. Klicken Sie zum Ändern von Authentifizierungstypen auf Authentifizierungstyp auswählen.

So erstellen Sie Benutzerkonten

Klicken Sie auf Benutzer erstellen, und geben Sie die folgenden Informationen an.

Benutzername

Geben Sie den Namen für das zu erstellende Benutzerkonto ein.
Kennwort

Geben Sie das Kennwort für Benutzername ein. Bei Kennwörtern muss die Groß-/Kleinschreibung beachtet werden.
Kennwort bestätigen

Geben Sie das Kennwort erneut ein.
E-Mail

Geben Sie die E-Mail-Adresse für Benutzername ein.

Das Websiteverwaltungs-Tool bestätigt nicht, ob die von Ihnen eingegebene Adresse eine gültige E-Mail-Adresse ist. Es bestätigt jedoch, ob die E-Mail-Adresse das korrekte Format für E-Mail-Adressen aufweist.
Sicherheitsfrage

Geben Sie eine Frage ein, die der Benutzer beantworten muss, wenn er sein Kennwort zurücksetzen oder wiederherstellen muss.
Sicherheitsantwort

Geben Sie die Antwort auf die Sicherheitsfrage ein.
Aktueller Benutzer

Aktivieren Sie diese Option, um dieses Benutzerkonto als aktiver (aktueller) Benutzer der Website zu aktivieren. Wenn Sie diese Option nicht auswählen, werden die Benutzerinformationen in der Datenbank gespeichert, der Benutzer kann sich jedoch nicht auf der Website anmelden.
Roles

Wählen Sie die Rollen für Benutzername aus. Die Rollen werden getrennt erstellt. Weitere Informationen finden Sie im nächsten Abschnitt.

Erstellen von Rollen

So erstellen Sie Rollen

Klicken auf der Registerkarte Sicherheit auf Rollen aktivieren.
Klicken Sie auf Rollen erstellen oder verwalten.
Geben Sie im Feld Neuer Rollenname einen Namen für die zu erstellende Rolle ein, z. B. Administrator, Mitglied oder Gast, und klicken Sie dann auf Rolle hinzufügen.

So fügen Sie Benutzerkonten Rollen hinzu

Klicken Sie auf der Registerkarte Sicherheit auf Benutzer verwalten und dann auf Benutzer bearbeiten.
Wählen Sie unter Rollen die Rollen für das Benutzerkonto aus.

Erstellen von Zugriffsregeln

So erstellen Sie Zugriffsregeln

Klicken auf der Registerkarte Sicherheit auf Zugriffsregeln erstellen.

Geben Sie die folgenden Optionen an:

Verzeichnis für diese Regel auswählen

Sie können eine Regel erstellen, die für die gesamte Website oder nur für ein bestimmtes Unterverzeichnis gilt. Wählen Sie in der Verzeichnisstrukturanzeige für die Website das Verzeichnis aus, für das die Regel gilt.

Geben Sie unter Regel gilt für ein, wie die Regel angewendet werden soll.

Rolle

Wählen Sie Rolle aus, und wählen Sie dann in der Liste den Namen der Rolle aus, auf die die Zugriffsregel angewendet werden soll.
Benutzer

Wählen Sie Benutzer aus, und geben Sie dann den Namen des Benutzerkontos ein, für das die Zugriffsregel gelten soll. Wenn Sie die ASP.NET-Mitgliedschaft verwenden (Websitesicherheit ist auf Aus dem Internet festgelegt), können Sie auch das Feature für die Suche nach Benutzern verwenden.
Alle Benutzer

Wählen Sie diese Option aus, wenn die Regel auf alle Besucher der Website angewendet werden soll.

Hinweis:
Seien Sie vorsichtig, wenn Sie eine Regel mit der Option Alle Benutzer erstellen. Da Regeln entsprechend ihrer Reihenfolge angewendet werden, können Sie ungewollt eine Regel erstellen, die alle Benutzer daran hindert, auf einen Ordner zuzugreifen.

Anonyme Benutzer

Aktivieren Sie diese Option, wenn diese Regel nur auf anonyme (nicht registrierte) Benutzerkonten angewendet werden soll.

Üblicherweise wählen Sie die Option Anonyme Benutzer aus, um den Zugriff für nicht angemeldete Benutzer zu beschränken (zu verweigern).

Berechtigung

Wählen Sie Zulassen aus, um dem angegebenen Benutzerkonto oder der angegebenen Rolle Zugriff auf das angegebene Verzeichnis zu gewähren.

Wählen Sie Verweigern aus, um dem angegebenen Benutzerkonto oder der angegebenen Rolle den Zugriff auf das angegebene Verzeichnis zu verweigern.

Wenn Sie z. B. verhindern möchten, dass nicht angemeldete (anonyme) Benutzer Seiten in einem Ordner anzeigen, klicken Sie auf den Ordner, und wählen Sie Anonyme Benutzer und dann Verweigern aus.

In manchen Fällen müssen Sie mehrere Regeln für denselben Ordner erstellen, um die gewünschten Berechtigungen einzurichten. Zum Beispiel können Sie eine Regel erstellen, die anonymen Benutzerkonten den Zugriff verweigert, und eine weitere Regel, die Benutzerkonten mit Gastrolle den Zugriff verweigert. Auf diese Weise können nur Benutzer, die angemeldet sind und einer anderen Gruppe angehören, auf den Ordner zugreifen.

Hinter den Kulissen

Mit dem Websiteverwaltungs-Tool werden Sicherheitsinformationen an folgenden beiden Stellen verwaltet:

In der Datei Web.config im Stamm der Website
In der Datenbank des Websiteanbieters, in der Benutzer- und Gruppeninformationen gespeichert werden

Web.config-Einstellungen

Den über die Registerkarte Sicherheit verwalteten Einstellungen in der Datei Web.config entsprechen die Abschnitte <authorization>, <roleManager> und <authentication>.

Im folgenden Codebeispiel ist die Datei Web.config dargestellt, die vom Websiteverwaltungs-Tool in einem Unterverzeichnis mit eingeschränktem Zugriff erstellt wird. Der Zugriff auf dieses Unterverzeichnis ist für Administratoren erlaubt und wird anonymen Benutzern verweigert.

<?xml version="1.0" encoding="utf-8"?>
<configuration>
    <system.web>
        <authorization>            <allow roles="administrators" />            <deny users="?" />        </authorization>
    </system.web>
</configuration>

Datenbank

Wenn Sie den Standard-Datenanbieter verwenden, werden mit dem Websiteverwaltungs-Tool Einträge in der Standarddatenbank von ASP.NET erstellt. Das Websiteverwaltungs-Tool erstellt standardmäßig eine Datenbank im Ordner App_Data der Website. Sie können jedoch auf der Registerkarte Anbieter angeben, dass Anwendungsinformationen für Benutzerkonten und Rollen in einer anderen Datenbank gespeichert werden (sodass z. B. Rolleninformationen aus der Windows-Benutzerdatenbank abgerufen werden). Ausführliche Informationen finden Sie unter Registerkarte "Anbieter" des Websiteverwaltungs-Tools.

Weitere Informationen

Weitere Informationen zu Einstellungen, die über die Registerkarte Sicherheit verwaltet werden, finden Sie unter folgenden Themen in der .NET Framework-Dokumentation: