2. SharePoint Security

4. Identitäten
Farm
App Pool
System
Benutzer

5. Authentifizierungsarten
Classic
NT Token
Windows
Identität
Nur noch via
PowerShell
Claims
NT Token
Windows
Identität
ASP.NET (FBA)
LDAP, Custom,
etc.
SAML Token
Claims Identität
SPUser
SAML 1.1
ADFS, Live
ID, etc.

6. Authentifizierungsprozess
Web App
Authentication
Page
Windows
FBA
STS
SAML

7. Identität vs. Claims
Identität
Herausgeber
Claims

8. Claims Terminologie
Identität
Informationen zu einer Person / einem
Objekt (AD, Facebook, Microsoft ID etc.)
Claims
Attribute der Identität (Nutzername, EMail, Alter, Schuhgröße etc.)
Token
Binäre Repräsentanz der Identität
Enthält einen Satz an Claims
STS
Secure Token Service
Herausgeber von Nutzer-Token

9. SharePoint Claims Encoding
i:0#.w|itacsfabian
Claim Identität
c = andere
Identitäten
Reserviert für
zukünftige
Claim Typen
0
i:/c:
Claim Typ
# = Logon,
5 = e-mail,
- = role
+ = group
% = farm
! = identity
provider
#/./?/S etc.
Herausgeber
w = windows,
s = local STS
m = membership
r = role
t = trusted STS
p = personal
c = claim provider
f = forms
w/s/m/r/t/c/f etc.
Claim Wert
Bei Forms mit
weiteren | für
den Namen des
Herausgebers
Login Name

10. Claims Encoding Beispiele
i:0#.w|contosofabianm
c:0!.s|windows
c:0+.w|s-1-5-21…
i:0#.f|membership|fm
i:05.t|azure|fm@itacs.de
Windows Account
contosofabianm
Alle authentifizieten
Windows-Nutzer
Windows-Sicherheitsgruppe
Form-based Membership
Provider
Federated Location mit
E-Mail als Login Namen

11. Identität ermitteln
•
Der alte Weg
HttpContext.Current.Identity;
•
Weiterhin möglich
SPContext.Current.Web.CurrentUser;
•
Der Claims Weg
IClaimsIdentity identity =
(ClaimsIdentity)Thread
.CurrentPrincipal.Identity;

12. SPWeb.EnsureUser
•
Der alte Weg
SPUser theOldWay = SPContext.Current.Web.EnsureUser(@"contosofritzh");
•
Der Weg mit Claims
SPClaimProviderManager claimProviderManager = SPClaimProviderManager.Local;
if (claimProviderManager != null)
{
SPClaim claim = new SPClaim(
SPClaimTypes.UserLogonName,
"fritzh",
"http://www.w3.org/2001/XMLSchema#string",
SPOriginalIssuers.Format(SPOriginalIssuerType.Forms, "ldapmember"));
string encodedClaimString = claimProviderManager.EncodeClaim(claim);
SPUser user = SPContext.Current.Web.EnsureUser(encodedClaimString);
}

13. Demo
Formular-basierte Authentifizierung

14. SharePoint Security

16. Die Rolle der Site Collection
•
•
•
•
•
Sicherheitsgrenze
Gruppendefinition
Höchste Ebene der
Berechtigungsvererbung
Backup / Recovery
Papierkorb

17. Das Berechtigungsdreieck
Identität
Objekt
Rech
t

18. Berechtigungen Best Practices
AD / SP Gruppen sinnvoll einsetzen
Single Item Permissions vermeiden (wenn
möglich)
Freigeben ausblenden (oder passend schulen)
Code ggf. heraufstufen / impersonifizieren
Lockdown Feature anwenden

19. Demo
Berechtigungen Best Practices

20. Daten klassifizieren
Öffentlich
Keine besonderen Schutzbestimmungen
Intern
Absicherung über Berechtigungen
Vertraulich
Verschlüsselung für erforderlich
Privat
Sensible persönliche Daten

21. Daten verschlüsseln
SQL Verschlüsselung
Inhaltsdatenbanken
Dateiverschlüsselung
BitLocker & EFS
Rights Management
Services
Auf Dokumentenebene

22. Richts Management Services
SQL
Server
AD
RMS
Active Directory
Read
Print
Modify
UL
PL
PL
Autor
Empfänger

23. Rights Management Services
SQL
Server
AD
RMS
Active Directory
UL
PL
SharePoint WFE
Empfänger

24. RMS Key Features
SharePoint Online und On-Premise
Support für Office Web Applications
Gruppenschutz
PDF Support

25. Demo
Rights Management Services in SharePo

26. SharePoint Security

28. SharePoint 2013 Apps

29. App Architektur
REST, OAuth, OData, Remote Events
SharePoint & Exchange Server
Office 365
On-Premise Plattformen
IIS
Workflow
SQL
Azure Runtime
Azure Websites
Azure Workflows
SQL Azure
On Premises
Cloud

30. Apps Authentifizierung
OAuth

31. Authentifizierungsprozess
Browser
App

32. App-Berechtigungen
•
App-Berechtigungen…
 sind anders als Nutzer-Berechtigungen
 gelten für sämtliche Nutzer
 haben keine Hierarchie
•
Apps haben eine Standard-Berechtigung
 Limitierte Leserechte auf das Host Web
 Apps können weitere Rechte beantragen
 Der installierende Nutzer vergibt die Rechte

33. Rechte definieren
•
Wird über das App-Manifest gesteuert
<AppPermissionRequests>
<AppPermissionRequest Scope="http://sharepoint/content/sitecollection/web/list" Right="FullControl" />
<AppPermissionRequest Scope="http://sharepoint/content/sitecollection/web" Right="Read" />
<AppPermissionRequest Scope="http://sharepoint/search" Right="QueryAsUserIgnoreAppPrincipal" />
<AppPermissionRequest Scope="http://sharepoint/taxonomy" Right="Write" />
</AppPermissionRequests>

34. SharePoint Security

35. Fabian Moritz
ITaCS GmbH
MVP SharePoint Server
Fabian.Moritz@itacs.d
e
http://www.itacs.de
http://sharepointcommunity.de/fabianm
@FabianMoritz