Fabian Moritz - SharePoint 2013 Security V2

1.658 Aufrufe

Veröffentlicht am

  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Fabian Moritz - SharePoint 2013 Security V2

  1. 1. SharePoint Security
  2. 2. Identitäten Farm App Pool System Benutzer
  3. 3. Authentifizierungsarten Classic NT Token Windows Identität Nur noch via PowerShell Claims NT Token Windows Identität ASP.NET (FBA) LDAP, Custom, etc. SAML Token Claims Identität SPUser SAML 1.1 ADFS, Live ID, etc.
  4. 4. Authentifizierungsprozess Web App Authentication Page Windows FBA STS SAML
  5. 5. Identität vs. Claims Identität Herausgeber Claims
  6. 6. Claims Terminologie Identität Informationen zu einer Person / einem Objekt (AD, Facebook, Microsoft ID etc.) Claims Attribute der Identität (Nutzername, EMail, Alter, Schuhgröße etc.) Token Binäre Repräsentanz der Identität Enthält einen Satz an Claims STS Secure Token Service Herausgeber von Nutzer-Token
  7. 7. SharePoint Claims Encoding i:0#.w|itacsfabian Claim Identität c = andere Identitäten Reserviert für zukünftige Claim Typen 0 i:/c: Claim Typ # = Logon, 5 = e-mail, - = role + = group % = farm ! = identity provider #/./?/S etc. Herausgeber w = windows, s = local STS m = membership r = role t = trusted STS p = personal c = claim provider f = forms w/s/m/r/t/c/f etc. Claim Wert Bei Forms mit weiteren | für den Namen des Herausgebers Login Name
  8. 8. Claims Encoding Beispiele i:0#.w|contosofabianm c:0!.s|windows c:0+.w|s-1-5-21… i:0#.f|membership|fm i:05.t|azure|fm@itacs.de Windows Account contosofabianm Alle authentifizieten Windows-Nutzer Windows-Sicherheitsgruppe Form-based Membership Provider Federated Location mit E-Mail als Login Namen
  9. 9. Identität ermitteln • Der alte Weg HttpContext.Current.Identity; • Weiterhin möglich SPContext.Current.Web.CurrentUser; • Der Claims Weg IClaimsIdentity identity = (ClaimsIdentity)Thread .CurrentPrincipal.Identity;
  10. 10. SPWeb.EnsureUser • Der alte Weg SPUser theOldWay = SPContext.Current.Web.EnsureUser(@"contosofritzh"); • Der Weg mit Claims SPClaimProviderManager claimProviderManager = SPClaimProviderManager.Local; if (claimProviderManager != null) { SPClaim claim = new SPClaim( SPClaimTypes.UserLogonName, "fritzh", "http://www.w3.org/2001/XMLSchema#string", SPOriginalIssuers.Format(SPOriginalIssuerType.Forms, "ldapmember")); string encodedClaimString = claimProviderManager.EncodeClaim(claim); SPUser user = SPContext.Current.Web.EnsureUser(encodedClaimString); }
  11. 11. Demo Formular-basierte Authentifizierung
  12. 12. SharePoint Security
  13. 13. Die Rolle der Site Collection • • • • • Sicherheitsgrenze Gruppendefinition Höchste Ebene der Berechtigungsvererbung Backup / Recovery Papierkorb
  14. 14. Das Berechtigungsdreieck Identität Objekt Rech t
  15. 15. Berechtigungen Best Practices AD / SP Gruppen sinnvoll einsetzen Single Item Permissions vermeiden (wenn möglich) Freigeben ausblenden (oder passend schulen) Code ggf. heraufstufen / impersonifizieren Lockdown Feature anwenden
  16. 16. Demo Berechtigungen Best Practices
  17. 17. Daten klassifizieren Öffentlich Keine besonderen Schutzbestimmungen Intern Absicherung über Berechtigungen Vertraulich Verschlüsselung für erforderlich Privat Sensible persönliche Daten
  18. 18. Daten verschlüsseln SQL Verschlüsselung Inhaltsdatenbanken Dateiverschlüsselung BitLocker & EFS Rights Management Services Auf Dokumentenebene
  19. 19. Richts Management Services SQL Server AD RMS Active Directory Read Print Modify UL PL PL Autor Empfänger
  20. 20. Rights Management Services SQL Server AD RMS Active Directory UL PL SharePoint WFE Empfänger
  21. 21. RMS Key Features SharePoint Online und On-Premise Support für Office Web Applications Gruppenschutz PDF Support
  22. 22. Demo Rights Management Services in SharePo
  23. 23. SharePoint Security
  24. 24. SharePoint 2013 Apps
  25. 25. App Architektur REST, OAuth, OData, Remote Events SharePoint & Exchange Server Office 365 On-Premise Plattformen IIS Workflow SQL Azure Runtime Azure Websites Azure Workflows SQL Azure On Premises Cloud
  26. 26. Apps Authentifizierung OAuth
  27. 27. Authentifizierungsprozess Browser App
  28. 28. App-Berechtigungen • App-Berechtigungen…  sind anders als Nutzer-Berechtigungen  gelten für sämtliche Nutzer  haben keine Hierarchie • Apps haben eine Standard-Berechtigung  Limitierte Leserechte auf das Host Web  Apps können weitere Rechte beantragen  Der installierende Nutzer vergibt die Rechte
  29. 29. Rechte definieren • Wird über das App-Manifest gesteuert <AppPermissionRequests> <AppPermissionRequest Scope="http://sharepoint/content/sitecollection/web/list" Right="FullControl" /> <AppPermissionRequest Scope="http://sharepoint/content/sitecollection/web" Right="Read" /> <AppPermissionRequest Scope="http://sharepoint/search" Right="QueryAsUserIgnoreAppPrincipal" /> <AppPermissionRequest Scope="http://sharepoint/taxonomy" Right="Write" /> </AppPermissionRequests>
  30. 30. SharePoint Security
  31. 31. Fabian Moritz ITaCS GmbH MVP SharePoint Server Fabian.Moritz@itacs.d e http://www.itacs.de http://sharepointcommunity.de/fabianm @FabianMoritz

×