Claims Based Authentication

Die Claims Based Authentication ist eine "neue" Authentifizierungsmethode in SharePoint 2010. Gut, sie ist eigentlich weder neu, noch eine wirkliche Authentifizierungsmethode, denn darunter fällt der gesamte Authentifizierungsmechanismus. Aber zu diesem Zeitpunkt möchte ich noch nicht so sehr ins Detail gehen.

Grundsätzlich besteht bei einer WebApplikation im Modus "Claims Based Authentication" die Möglichkeit mittels drei Authenfizierungsarten einen Benutzer zu authentifizieren:

  1. Windows Authentication: Klassisch, einfach und nichts zu erklären
  2. Forms Based Authentication: Authentifizierung mit einem Eingabeformular gegen einen MembershipProvider, z.B. LDAP, SQL oder ein eigener
  3. Active Directory Federation Services

Bei den ersten beiden besteht die Problematik darin, dass die komplette Benutzerverwaltung im Bereich des SharePoint-Servers liegt, d.h. z.B  im eigenen AD. Zwei Beispiele, in denen das hinderlich ist:

  • Meine Firma möchte mit einem Partnerunternehmen auf unserem SharePoint arbeiten. Hier müssen in der eigenen Firma Benutzer angelegt werden und die Passwörter verwaltet werden.
  • Ich möchte die Benutzerverwaltung nicht in meiner Hand haben, sondern ein bereits bestehendes Directory nutzen, z.B. FaceBook oder Windows Live.

Hierfür gibt es mit den Federation Services eine Lösung, da hierbei der Benutzer zur Authentifizierung an eine URL weitergeleitet wird. Diese URL kann z.B. im internen Netz des Partners sein. Dort wird der Benutzer dann per Windows Authentication authentifiziert, seine Daten (welche bestimmt das Partnerunternehmen) werden in ein Token gepackt und der Benutzer wird zum SharePoint zurückgeleitet, der das Token erkennt. Hierbei ist kein Datenaustausch zwischen den beiden Netzwerken notwendig, lediglich der Client muss Zugriff haben.

Auf den folgenden Seiten möchte ich nun ein paar Details bei meiner Arbeit mit ADFS preisgeben und welche Möglichkeiten man hat. Diese erheben natürlich keinen Anspruch auf Vollständigkeit oder Korrektheit, sie geben lediglich meine Erfahrungen wieder ;).

Artikel

SharePoint und die Claims Based Authentication
Dieser Artikel vermittelt ein paar Grundlagen von SharePoint 2010 im Claims Based Mode, wie man ihn aktiviert und was (außerhalb von ADFS) damit möglich ist.
Claim Values vorgeben mit einer statischen Liste
Dieser Artikel zeigt, wie man per PowerShell eine statische Liste an Claim Values angeben kann, um den Benutzern im Principal Picker eine Hilfe zu geben.