Hier ein Beitrag von unserem Christian Lapacka (nachzulesen auch auf www.sharepoint2010.at) …
Bei SharePoint 2007 und früheren Versionen musste man in Sachen Identity und Authorization sehr viel zurückstecken. In SharePoint 2010 wurde das Security Modell komplett überarbeitet und basiert jetzt auf der neuen Windows Identity Foundation.
Claims Based Authorization
Windows Identity Foundation (WIF) ist eine Sammlung von .NET Framework Klassen die Anwendungen für Claims Based Authorization (CBA) aktivieren. In CBA besteht eine Benutzeridentität aus mehreren Claims.
What the F*** are Claims?
Ein Claim ist Grundsätzlich nur eine Information über einen User der mehrere Eigenschaften enthalten kann. Zum Beispiel kann der Claim das Alter oder den Abteilungsnamen eines Benutzers enthalten und genau diese Eigenschaften zum Authentifizieren verwenden.
Das ist auch viel Intuitiver als Rollen-basierte Authentifizierung weil das erstellen verschiedener Securitygruppen für das Alter oder den Abteilungsnamen ist ziemlich unhandlich.
Mit CBA kann man einfach Security Regeln erstellen, die “checken”, ob ein User in einer gewissen Abteilung arbeitet oder ein Manager ist und sich je nach dem für verschiedene Abteilungsseiten autorisiert.
Warum nennen die das nicht “facts” oder irgendwie anders?
Weil es Sachlich einfach nicht passt! Ein gutes Beispiel sind zum Beispiel Internetforen in denen man sich auch als Bill Gates anmelden kann – in einem Forum ist das vielleicht Akzeptabel, aber wenn ich mich an einer Unternehmens-Website anmelde, muss ich etwas benutzen was wie meine Sozialversicherungsnummer wirkt, also etwas was zeigt, dass ich nicht Bill Gates bin. Ein kleines Beispiel:
Eine Identity wird von einem Identity Provider (IP <- Doofe Abkürzung eigentlich) bereitgestellt. Eine Applikation oder ein Service akzeptiert die Identität von einem (externen) IP (Vorsicht des heißt Identity Provider :P) der auch als Relying Party (RP) bekannt ist, weil er auf Trusts des IP angewiesen ist. Also das Forum vertraut also einem IP, der erlaubt sich mit fake Namen anzumelden. (Weil ein Forum zum diskutieren ist, ist´s dort auch egal) Eine Seite wie zB. FinanzOnline würde nie so einem IP vertrauen sondern nur einem IP der zB. die Sozialversicherungsnummern hält, was als vertrauenswürdig eingestuft wird.
Wie sieht so ein Sign In aus?
Security Token Service Applikation
SharePoint 2010 unterstützt jetzt 2 verschiedene “Modes”. Zum einen “classic mode” für die Standard Windows Authentication (Default) und zum anderen “claims mode” um WIF Szenarien zu unterstützen.
WIF hat den Vorteil das es auf Standards basiert und im SharePoint 2010 ermöglicht mit Benutzern die nicht in der selben Domain sind zu arbeiten. Ein Szenario wo so etwas Hilfreich wäre, sind Beispielsweise “business-to-business communications” wo Organisation A den Usern der Organisation B zugriff aufs Portal gewähren möchte.
In SharePoint 2007 oder früher, setzte dies Voraus, das ein User von Organisation B einen Account im Active Directory von Organisation A hat. In SharePoint 2010 ist das nicht notwendig, weil SharePoint 2010 kann so konfiguriert werden das es dem STS auf Organisation B vertraut, oder der STS von Organisation B kann auf den STS in Organisation A verweisen. Claims können somit verwendet werden um User zuzulassen oder abzulehnen. Diese Methode ist sehr viel einfacher zu verwenden, weil ein User der in Organisation B gesperrt wird, kann somit nicht mehr auf das SharePoint 2010 Portal von Organisation A – In SharePoint 2007 musste die Organisation B, dem Administrator der Organisation A über dies in Kenntnis setzen um den User auch in Organisation A zu sperren.
Claims in SharePoint 2010 Features
Welche Standards benutzt die Windows Identity Foundation?
Es gibt noch sehr viel mehr über Windows Identity Foundation im SharePoint 2010 zu lernen. Für mehr Information schaut mal unter:
http://msdn.microsoft.com/en-us/security
http://microsoftpdc.com/Sessions/SVC26
Ich hoffe ich konnte euch einen kleinen Einblick in die WIF geben ;)
Feel free to Xing me
