Jan26

SharePoint 2010 & Windows Live ID Authentication

von Lapacka Christian

Wer Externe Userzugriffe hat kennt das Problem, diese mittels Active Directory zu verwalten. Dies kann ziemlich mühsam werden, wenn es sich um mehrere 100 oder 1000 handelt! Ich habe mich mit diesem Thema beschäftigt und mich in diesem Fall für die Claims Authentication mit Windows Live ID entschieden! (Windows Live ID hat ja hoffentlich schon ein jeder wenn nicht, kann man sich einfach Hier anmelden)

Also gut wir starten wir mit dem ganzen! Zu aller erst muss man sich im Microsoft Service Manager eine Integration Site anlegen. Bei Live ID Integration (INT) handelt es sich um die Developer Stufe der Windows Live ID. Man muss dann noch einige Zertifikate und einen Claims Provider für den SharePoint konfigurieren und siehe da, die Seite lässt sich mittels einer Windows Live ID (INT) erreichen. Hier kann man nun seinen SharePoint registrieren und zur Compliance anmelden. Für die Compliance Prüfung muss man bestimmte Richtlinien erfüllen die nicht immer leicht umzusetzen sind. Nach dem anmelden zur Compliance darf man erst mal in Ruhe in den Urlaub gehen – Ja da sitzt echt noch ein Microsoftianer der die Compliance Richtlinien der Website überprüft – nach in etwa 4 Wochen (nach dem Motto “nur kan Stress”) bekommt man eine Success Meldung die in etwas so aussieht (das soll jetzt ein Ansporn für alle jene sein die den Test nicht bestehen)

LiveID1

Wenn man diesen Schritt geschafft hat muss man nur noch den SharePoint 2010 & die Zertifikate für die PROD Umgebung einrichten und die INT Konfiguration auf die Production übertragen und dann sollte das in etwa so aussehen:

LiveID2 

Will man nun einen User berechtigen muss man diesen nur nach seiner Unique ID fragen. Diese findet man auf folgender Seite https://account.live.com/summarypage.aspx.

LiveID3

und diese entsprechend im SharePoint 2010 berechtigen

LiveID4

und schon kann man sich auf seinem SharePoint 2010 mit einer Live ID anmelden.

Nach dem aufrufen des Links kommt entweder die Standard anmeldeseite des SharePoint´s oder eine angepasst. Ich hab mich im Moment für die Standardvariante entschieden:

LiveID4

wenn man hier Live ID wählt kommt man zuerst auf die Live Login Seite

 

LiveID5

und nach erfolgreicher Anmeldung auf seine SharePoint Seite

LiveID6

Somit tu ich mir nun leichter beim einbinden von Externen Usern in unser System und auf unsere Projektplattformen!

Wenn ihr Unterstützung beim Thema Windows Live ID Authentication und SharePoint 2010 benötigt können wir übrigens auch gern mal einen Termin vereinbaren ;)

LG

Christian Lapacka

Feel free to Xing me

Kategorien: Claims Based Authorization, Security, SharePoint 2010, Windows Identity Foundation, Windows Phone 7

 
Jan21

Von Amsterdam nach Wien: Understanding Identity in SharePoint 2010

von Lapacka Christian

Ich hab mir einiges zu diesem komplexen Thema im Flugzeug zusammen geschrieben und hab nun endlich Zeit dies zu bloggen *juhu*. Bei SharePoint 2007 und früheren Versionen musste man in Sachen Identity und Authorization sehr viel zurückstecken. In SharePoint 2010 wurde das Security Modell komplett überarbeitet und basiert jetzt auf der neuen Windows Identity Foundation.

Claims Based Authorization

Windows Identity Foundation (WIF) ist eine Sammlung von .NET Framework Klassen die Anwendungen für Claims Based Authorization (CBA) aktivieren. In CBA besteht eine Benutzeridentität aus mehreren Claims.

 What the F*** are Claims?

Ein Claim ist Grundsätzlich nur eine Information über einen User der mehrere Eigenschaften enthalten kann. Zum Beispiel kann der Claim das Alter oder den Abteilungsnamen eines Benutzers enthalten und genau diese Eigenschaften zum Authentifizieren verwenden.

Das ist auch viel Intuitiver als Rollen-basierte Authentifizierung weil das erstellen verschiedener Securitygruppen für das Alter oder den Abteilungsnamen ist ziemlich unhandlich.

Mit CBA kann man einfach Security Regeln erstellen, die “checken”, ob ein User in einer gewissen Abteilung arbeitet oder ein Manager ist und sich je nach dem für verschiedene Abteilungsseiten autorisiert.

Warum nennen die das nicht “facts” oder irgendwie anders?

Weil es Sachlich einfach nicht passt! Ein gutes Beispiel sind zum Beispiel Internetforen in denen man sich auch als Bill Gates anmelden kann – in einem Forum ist das vielleicht Akzeptabel, aber wenn ich mich an einer Unternehmens-Website anmelde, muss ich etwas benutzen was wie meine Sozialversicherungsnummer wirkt, also etwas was zeigt, dass ich nicht Bill Gates bin. Ein kleines Beispiel:

Eine Identity wird von einem Identity Provider (IP <- Doofe Abkürzung eigentlich) bereitgestellt. Eine Applikation oder ein Service akzeptiert die Identität von einem (externen) IP (Vorsicht des heißt Identity Provider :P) der auch als Relying Party (RP) bekannt ist, weil er auf Trusts des IP angewiesen ist. Also das Forum vertraut also einem IP, der erlaubt sich mit fake Namen anzumelden. (Weil ein Forum zum diskutieren ist, ist´s dort auch egal) Eine Seite wie zB. FinanzOnline würde nie so einem IP vertrauen sondern nur einem IP der zB. die Sozialversicherungsnummern hält, was als vertrauenswürdig eingestuft wird.

 Wie sieht so ein Sign In aus?

CIMG1428

 

Security Token Service Applikation

SharePoint 2010 unterstützt jetzt 2 verschiedene “Modes”. Zum einen “classic mode” für die Standard Windows Authentication (Default) und zum anderen “claims mode” um WIF Szenarien  zu unterstützen.

WIF hat den Vorteil das es auf Standards basiert und im SharePoint 2010 ermöglicht mit Benutzern die nicht in der selben Domain sind zu arbeiten. Ein Szenario wo so etwas Hilfreich wäre, sind Beispielsweise “business-to-business communications” wo Organisation A den Usern der Organisation B zugriff aufs Portal gewähren möchte.

In SharePoint 2007 oder früher, setzte dies Voraus, das ein User von Organisation B einen Account im Active Directory von Organisation A hat. In SharePoint 2010 ist das nicht notwendig, weil SharePoint 2010 kann so konfiguriert werden das es dem STS auf Organisation B vertraut, oder der STS von Organisation B kann auf den STS in Organisation A verweisen. Claims können somit verwendet werden um User zuzulassen oder abzulehnen. Diese Methode ist sehr viel einfacher zu verwenden, weil ein User der in Organisation B gesperrt wird, kann somit nicht mehr auf das SharePoint 2010 Portal von Organisation A – In SharePoint 2007 musste die Organisation B, dem Administrator der Organisation A über dies in Kenntnis setzen um den User auch in Organisation A zu sperren.

Claims in SharePoint 2010 Features

CIMG1448

Welche Standards benutzt die Windows Identity Foundation?

CIMG1455

Es gibt noch sehr viel mehr über Windows Identity Foundation im SharePoint 2010 zu lernen. Für mehr Information schaut mal unter:

http://msdn.microsoft.com/en-us/security

http://microsoftpdc.com/Sessions/SVC26

Ich hoffe ich konnte euch einen kleinen Einblick in die WIF geben ;)

Feel free to Xing me

Kategorien: SharePoint 2010, Claims Based Authorization, Windows Identity Foundation, IT-Pros

 
Home