SharePoint Security
Identitäten
Farm
App Pool
System
Benutzer
Authentifizierungsarten
Classic
NT Token
Windows
Identität

Nur noch via
PowerShell

Claims
NT Token
Windows
Identität

AS...
Authentifizierungsprozess

Web App

Authentication
Page
Windows

FBA

STS
SAML
Identität vs. Claims
Identität
Herausgeber

Claims
Claims Terminologie
Identität

Informationen zu einer Person / einem
Objekt (AD, Facebook, Microsoft ID etc.)

Claims

Att...
SharePoint Claims Encoding

i:0#.w|itacsfabian
Claim Identität
c = andere
Identitäten

Reserviert für
zukünftige
Claim Typ...
Claims Encoding Beispiele
i:0#.w|contosofabianm

c:0!.s|windows

c:0+.w|s-1-5-21…

i:0#.f|membership|fm

i:05.t|azure|fm@i...
Identität ermitteln
•

Der alte Weg
HttpContext.Current.Identity;

•

Weiterhin möglich
SPContext.Current.Web.CurrentUser;...
SPWeb.EnsureUser
•

Der alte Weg
SPUser theOldWay = SPContext.Current.Web.EnsureUser(@"contosofritzh");

•

Der Weg mit Cl...
Demo
Formular-basierte Authentifizierung
SharePoint Security
Die Rolle der Site Collection
•
•

•
•

•

Sicherheitsgrenze
Gruppendefinition
Höchste Ebene der
Berechtigungsvererbung
Ba...
Das Berechtigungsdreieck
Identität

Objekt

Rech
t
Berechtigungen Best Practices
AD / SP Gruppen sinnvoll einsetzen
Single Item Permissions vermeiden (wenn
möglich)
Freigebe...
Demo
Berechtigungen Best Practices
Daten klassifizieren
Öffentlich

Keine besonderen Schutzbestimmungen

Intern

Absicherung über Berechtigungen

Vertraulich...
Daten verschlüsseln
SQL Verschlüsselung
Inhaltsdatenbanken
Dateiverschlüsselung
BitLocker & EFS
Rights Management
Services...
Richts Management Services
SQL
Server

AD
RMS

Active Directory

Read
Print
Modify

UL
PL
PL

Autor

Empfänger
Rights Management Services
SQL
Server

AD
RMS

Active Directory

UL
PL

SharePoint WFE

Empfänger
RMS Key Features
SharePoint Online und On-Premise
Support für Office Web Applications

Gruppenschutz
PDF Support
Demo

Rights Management Services in SharePo
SharePoint Security
SharePoint 2013 Apps
App Architektur

REST, OAuth, OData, Remote Events

SharePoint & Exchange Server

Office 365

On-Premise Plattformen
IIS
W...
Apps Authentifizierung

OAuth
Authentifizierungsprozess

Browser

App
App-Berechtigungen
•

App-Berechtigungen…
 sind anders als Nutzer-Berechtigungen
 gelten für sämtliche Nutzer
 haben ke...
Rechte definieren
•

Wird über das App-Manifest gesteuert

<AppPermissionRequests>
<AppPermissionRequest Scope="http://sha...
SharePoint Security
Fabian Moritz
ITaCS GmbH
MVP SharePoint Server
Fabian.Moritz@itacs.d
e
http://www.itacs.de
http://sharepointcommunity.de/f...
Fabian Moritz - SharePoint 2013 Security V2
Fabian Moritz - SharePoint 2013 Security V2
Fabian Moritz - SharePoint 2013 Security V2
Fabian Moritz - SharePoint 2013 Security V2
Fabian Moritz - SharePoint 2013 Security V2
Upcoming SlideShare
Loading in...5
×

Fabian Moritz - SharePoint 2013 Security V2

979

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
979
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
20
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide
  • http://msdn.microsoft.com/en-us/library/hh394901(v=office.14).aspx
  • Industry leading unstructured data securityMature solution in the market since 2003Integrated with AD, Office, Exchange, SharePointCore to Microsoft cloud security strategy
  • Industry leading unstructured data securityMature solution in the market since 2003Integrated with AD, Office, Exchange, SharePointCore to Microsoft cloud security strategy
  • http://msdn.microsoft.com/en-us/library/fp142382.aspx
  • Fabian Moritz - SharePoint 2013 Security V2

    1. 1. SharePoint Security
    2. 2. Identitäten Farm App Pool System Benutzer
    3. 3. Authentifizierungsarten Classic NT Token Windows Identität Nur noch via PowerShell Claims NT Token Windows Identität ASP.NET (FBA) LDAP, Custom, etc. SAML Token Claims Identität SPUser SAML 1.1 ADFS, Live ID, etc.
    4. 4. Authentifizierungsprozess Web App Authentication Page Windows FBA STS SAML
    5. 5. Identität vs. Claims Identität Herausgeber Claims
    6. 6. Claims Terminologie Identität Informationen zu einer Person / einem Objekt (AD, Facebook, Microsoft ID etc.) Claims Attribute der Identität (Nutzername, EMail, Alter, Schuhgröße etc.) Token Binäre Repräsentanz der Identität Enthält einen Satz an Claims STS Secure Token Service Herausgeber von Nutzer-Token
    7. 7. SharePoint Claims Encoding i:0#.w|itacsfabian Claim Identität c = andere Identitäten Reserviert für zukünftige Claim Typen 0 i:/c: Claim Typ # = Logon, 5 = e-mail, - = role + = group % = farm ! = identity provider #/./?/S etc. Herausgeber w = windows, s = local STS m = membership r = role t = trusted STS p = personal c = claim provider f = forms w/s/m/r/t/c/f etc. Claim Wert Bei Forms mit weiteren | für den Namen des Herausgebers Login Name
    8. 8. Claims Encoding Beispiele i:0#.w|contosofabianm c:0!.s|windows c:0+.w|s-1-5-21… i:0#.f|membership|fm i:05.t|azure|fm@itacs.de Windows Account contosofabianm Alle authentifizieten Windows-Nutzer Windows-Sicherheitsgruppe Form-based Membership Provider Federated Location mit E-Mail als Login Namen
    9. 9. Identität ermitteln • Der alte Weg HttpContext.Current.Identity; • Weiterhin möglich SPContext.Current.Web.CurrentUser; • Der Claims Weg IClaimsIdentity identity = (ClaimsIdentity)Thread .CurrentPrincipal.Identity;
    10. 10. SPWeb.EnsureUser • Der alte Weg SPUser theOldWay = SPContext.Current.Web.EnsureUser(@"contosofritzh"); • Der Weg mit Claims SPClaimProviderManager claimProviderManager = SPClaimProviderManager.Local; if (claimProviderManager != null) { SPClaim claim = new SPClaim( SPClaimTypes.UserLogonName, "fritzh", "http://www.w3.org/2001/XMLSchema#string", SPOriginalIssuers.Format(SPOriginalIssuerType.Forms, "ldapmember")); string encodedClaimString = claimProviderManager.EncodeClaim(claim); SPUser user = SPContext.Current.Web.EnsureUser(encodedClaimString); }
    11. 11. Demo Formular-basierte Authentifizierung
    12. 12. SharePoint Security
    13. 13. Die Rolle der Site Collection • • • • • Sicherheitsgrenze Gruppendefinition Höchste Ebene der Berechtigungsvererbung Backup / Recovery Papierkorb
    14. 14. Das Berechtigungsdreieck Identität Objekt Rech t
    15. 15. Berechtigungen Best Practices AD / SP Gruppen sinnvoll einsetzen Single Item Permissions vermeiden (wenn möglich) Freigeben ausblenden (oder passend schulen) Code ggf. heraufstufen / impersonifizieren Lockdown Feature anwenden
    16. 16. Demo Berechtigungen Best Practices
    17. 17. Daten klassifizieren Öffentlich Keine besonderen Schutzbestimmungen Intern Absicherung über Berechtigungen Vertraulich Verschlüsselung für erforderlich Privat Sensible persönliche Daten
    18. 18. Daten verschlüsseln SQL Verschlüsselung Inhaltsdatenbanken Dateiverschlüsselung BitLocker & EFS Rights Management Services Auf Dokumentenebene
    19. 19. Richts Management Services SQL Server AD RMS Active Directory Read Print Modify UL PL PL Autor Empfänger
    20. 20. Rights Management Services SQL Server AD RMS Active Directory UL PL SharePoint WFE Empfänger
    21. 21. RMS Key Features SharePoint Online und On-Premise Support für Office Web Applications Gruppenschutz PDF Support
    22. 22. Demo Rights Management Services in SharePo
    23. 23. SharePoint Security
    24. 24. SharePoint 2013 Apps
    25. 25. App Architektur REST, OAuth, OData, Remote Events SharePoint & Exchange Server Office 365 On-Premise Plattformen IIS Workflow SQL Azure Runtime Azure Websites Azure Workflows SQL Azure On Premises Cloud
    26. 26. Apps Authentifizierung OAuth
    27. 27. Authentifizierungsprozess Browser App
    28. 28. App-Berechtigungen • App-Berechtigungen…  sind anders als Nutzer-Berechtigungen  gelten für sämtliche Nutzer  haben keine Hierarchie • Apps haben eine Standard-Berechtigung  Limitierte Leserechte auf das Host Web  Apps können weitere Rechte beantragen  Der installierende Nutzer vergibt die Rechte
    29. 29. Rechte definieren • Wird über das App-Manifest gesteuert <AppPermissionRequests> <AppPermissionRequest Scope="http://sharepoint/content/sitecollection/web/list" Right="FullControl" /> <AppPermissionRequest Scope="http://sharepoint/content/sitecollection/web" Right="Read" /> <AppPermissionRequest Scope="http://sharepoint/search" Right="QueryAsUserIgnoreAppPrincipal" /> <AppPermissionRequest Scope="http://sharepoint/taxonomy" Right="Write" /> </AppPermissionRequests>
    30. 30. SharePoint Security
    31. 31. Fabian Moritz ITaCS GmbH MVP SharePoint Server Fabian.Moritz@itacs.d e http://www.itacs.de http://sharepointcommunity.de/fabianm @FabianMoritz
    1. A particular slide catching your eye?

      Clipping is a handy way to collect important slides you want to go back to later.

    ×