Authentifizierungsprovider konfigurieren

Online bearbeiten

Sie müssen den Adapter mit einem der Authentifizierungsprovider konfigurieren, der von der Microsoft SharePoint -Webanwendung unterstützt wird. Authentifizierungsprovider können AD-Domänen oder ein Schadensprovider sein.

In den folgenden Tabellen sind die unterstützten Microsoft SharePoint Server, Authentifizierungsmodi und Authentifizierungsprovider für Accounts aufgelistet, die über den Adapter IBM Security Verify Microsoft SharePoint bereitgestellt wurden.

Tabelle 1 Unterstützte Microsoft SharePoint Server, Authentifizierungsmodi und Authentifizierungsprovider für bereitgestellte Konten
Serverversion Authentifizierungsmodus Authentifizierungsprovider
Microsoft SharePoint 2013 und Microsoft SharePoint 2016
  1. Klassischer Modus
  2. Anspruchsbasierte Authentifizierung (NTLM)
  1. Integriertes Windows (AD)
  2. Formularbasierte Authentifizierung (FBA)

Informationen zu Authentifizierungsprovidern werden in einer Konfigurationsdatei im JSON-Format gespeichert. Der Adapter liest diese Datei und gleicht die Liste der Authentifizierungsprovider als unterstützende Daten ab.

Die Konfigurationsdatei darf nur ein einziges JSON-Array enthalten. Jeder Authentifizierungsprovider wird als JSON-Objektelement im Array mit den folgenden Schlüsseln gespeichert:
  • DisplayName
  • NameOfOriginalIssuer
  • IssuerType
  • ClaimsValueType
  • ClaimsType
  • Präfix
Beispiel einer Konfigurationsdatei mit Informationen zu den Authentifizierungsprovidern.
Hinweis: Zur besseren Lesbarkeit wurden Leerzeichen hinzugefügt.
[
	{
		"DisplayName" : "Windows Authentication (EXAMPLEDOMAIN)",
		"NameOfOriginalIssuer" : "EXAMPLEDOMAIN",
		"IssuerType" : "w",
		"ClaimsValueType" : ".",
		"ClaimsType" : "#",
		"Prefix" : "i:0#.w|EXAMPLEDOMAIN"
	}, 
	{
		"DisplayName" : "Some Membership Provider",
		"NameOfOriginalIssuer" : "SomeMembershipProvider",
		"IssuerType" : "f",
		"ClaimsValueType" : ".",
		"ClaimsType" : "#",
		"Prefix" : "i:0#.f|SomeMembershipProvider|"
	}, 
	{
		"DisplayName" : "Example ACS",
		"NameOfOriginalIssuer" : "Example ACS",
		"IssuerType" : "t",
		"ClaimsValueType" : ".",
		"ClaimsType" : "5",
		"Prefix" : "i:05.t|Example ACS|"
	}
]
Tabelle 2. Im Beispiel aufgelistete Authentifizierungsprovider
JSON-Objektelement im vorherigen Beispiel Authentifizierungsprovider
Element Nr. 1 Windows-Authentifizierungsprovider
Element #2 Formularbasierter Authentifizierungsprovider, der einen Zeichenfolgenanmeldenamen als Anspruchswert verwendet
Element #3 Vertrauenswürdiger Identitätsprovider, der E-Mail als Anspruchswert verwendet
Eine vollständige Erklärung der gültigen Werte für IssuerType, NameOfOriginalIssuer, ClaimsValueType, und ClaimsType, finden Sie in der Microsoft SharePoint Products and Technologies Protocol Documentation. Mit den vier Werten ist es dann trivial, das Präfix zu erstellen. Wenn die Site in einer Webanwendung für die Authentifizierung im klassischen Modus ausgeführt wird, sieht die Konfigurationsdatei normalerweise wie im folgenden Beispiel aus:
[
	{
		"DisplayName" : "EXAMPLEDOMAIN",
		"NameOfOriginalIssuer" : "",
		"IssuerType" : "",
		"ClaimsValueType" : "",
		"ClaimsType" : "",
		"Prefix" : "EXAMPLEDOMAIN"
	}
]

Konfigurationsdatei generieren

Es wird ein Powershell-Script bereitgestellt, das Sie beim Generieren der Konfigurationsdatei unterstützt.

Führen Sie das Script auf dem SharePoint -Server mit Administratorberechtigung in einer Eingabeaufforderung aus:
powershell authprovimport.ps1 -WebApplication http://[sharepointserver]:[port] 
	-SaveAs [filename.json]

Kopieren Sie die Konfigurationsdatei an eine Position auf dem Server, auf dem der Adapter-Dispatcher-Service ausgeführt wird. Speichern Sie die Datei beispielsweise im Ordner TDI_HOME\timsol\SharePointAdapter . Erstellen Sie den Ordner SharePointAdapter, falls er nicht existiert.

SharePoint -Sitekonfiguration

Wenn die Microsoft SharePoint -Site mit einer anderen Authentifizierung (z. B. für formularbasierte Authentifizierung) konfiguriert ist, können Sie die Site über den Adapter verwalten, indem Sie entweder die Basisauthentifizierung oder die NTLM-Authentifizierung verwenden.

Die folgenden Schritte werden empfohlen, um sicherzustellen, dass der Adapter mit der Microsoft SharePoint -Site funktioniert.

  1. Erweitern Sie die SharePoint -Webanwendung auf eine neue IIS-Website.
  2. Konfigurieren Sie den Authentifizierungsprovider für die neu erweiterte Site.
    1. Wählen Sie das Kontrollkästchen Windows-Authentifizierung aktivierenaus.
    2. Wählen Sie das Kontrollkästchen Integrierte Windows-Authentifizierung (NTLM) /Basisauthentifizierungaus.
      Hinweis Diese Konfigurationsoption hängt von der Authentifizierung ab, mit der der Adapter in IBM Security Verify Governance Identity Manager oder IBM Security Verify Governancekonfiguriert wird.
  3. Konfigurieren Sie die neue IIS-Website für SSL.
  4. Importieren Sie das SSL-Zertifikat in den Truststore des Adapterdispatchers (zeigen Sie die Datei IDI_HOME/timsol/solution.properties an und suchen Sie nach der Eigenschaft javax.net.ssl.trustStore , um die Position der Truststore-Datei zu ermitteln).

Detailliertere Anweisungen finden Sie in der Dokumentation zu Microsoft SharePoint .

Wichtig: Die Basisauthentifizierung enthält Berechtigungsnachweise, die in Klartext gesendet werden. Es wird dringend empfohlen, den Adapter für die Kommunikation mit SharePoint über Secure Sockets Layer (SSL) zu konfigurieren, um die Berechtigungsnachweise zu schützen.