Successfully reported this slideshow.

SharePoint 2013 Security (IT Pro)

595 Aufrufe

Veröffentlicht am

  • Als Erste(r) kommentieren

SharePoint 2013 Security (IT Pro)

  1. 1. SharePoint Security
  2. 2. Identitäten App Pool Farm System Benutzer
  3. 3. Classic Authentifizierungsarten NT Token Windows Identität Claims NT Token Windows Identität ASP.NET (FBA) LDAP, Custom, etc. SAML 1.1 ADFS, Live ID, etc. SAML Token Claims Identität SPUser Nur noch via PowerShell
  4. 4. Authentifizierungsprozess Windows FBA SAML Authentication Page WebApp STS
  5. 5. Identität vs. Claims Identität Claims Herausgeber
  6. 6. Claims Terminologie Identität Informationen zu einer Person / einem Objekt (AD, Facebook, Microsoft ID etc.) Claims Token STS Attribute der Identität (Nutzername, E- Mail, Alter, Schuhgröße etc.) Binäre Repräsentanz der Identität Enthält einen Satz an Claims Secure Token Service Herausgeber von Nutzer-Token
  7. 7. SharePoint Claims Encoding i:0#.w|itacsfabian Claim Identität c = andere Identitäten i:/c: Reserviert für zukünftige Claim Typen 0 #/./?/S etc. Claim Typ # = Logon, 5 = e-mail, - = role + = group % = farm ! = identity provider Herausgeber w = windows, s = local STS m = membership r = role t = trusted STS p = personal c = claim provider f = forms w/s/m/r/t/c/f etc. Claim Wert Bei Forms mit weiteren | für den Namen des Herausgebers Login Name
  8. 8. Claims Encoding Beispiele i:0#.w|contosofabianm Windows Account contosofabianm c:0!.s|windows Alle authentifizieten Windows-Nutzer c:0+.w|s-1-5-21… Windows-Sicherheitsgruppe i:0#.f|membership|fm Form-based Membership Provider i:05.t|azure|fm@itacs.de Federated Location mit E-Mail als Login Namen
  9. 9. Identität ermitteln • Der alte Weg HttpContext.Current.Identity; • Weiterhin möglich SPContext.Current.Web.CurrentUser; • Der Claims Weg IClaimsIdentity identity = (ClaimsIdentity)Thread .CurrentPrincipal.Identity;
  10. 10. SPWeb.EnsureUser • Der alte Weg • Der Weg mit Claims SPUser theOldWay = SPContext.Current.Web.EnsureUser(@"contosofritzh"); SPClaimProviderManager claimProviderManager = SPClaimProviderManager.Local; if (claimProviderManager != null) { SPClaim claim = new SPClaim( SPClaimTypes.UserLogonName, "fritzh", "http://www.w3.org/2001/XMLSchema#string", SPOriginalIssuers.Format(SPOriginalIssuerType.Forms, "ldapmember")); string encodedClaimString = claimProviderManager.EncodeClaim(claim); SPUser user = SPContext.Current.Web.EnsureUser(encodedClaimString); }
  11. 11. Demo Formular-basierte Authentifizierung
  12. 12. SharePoint Security
  13. 13. Die Rolle der Site Collection • Sicherheitsgrenze • Gruppendefinition • Höchste Ebene der Berechtigungsvererbung • Backup / Recovery • Papierkorb
  14. 14. Das Berechtigungsdreieck Identität Objekt Rech t
  15. 15. Berechtigungen Best Practices AD / SP Gruppen sinnvoll einsetzen Lockdown Feature anwenden Single Item Permissions vermeiden (wenn möglich) Freigeben ausblenden (oder passend schulen) Code ggf. heraufstufen / impersonifizieren
  16. 16. Demo Berechtigungen Best Practices
  17. 17. Daten klassifizieren Öffentlich Keine besonderen Schutzbestimmungen Intern Vertraulich Absicherung über Berechtigungen Verschlüsselung für erforderlich Privat Sensible persönliche Daten
  18. 18. Daten verschlüsseln SQL Verschlüsselung Dateiverschlüsselung Rights Management Services Inhaltsdatenbanken BitLocker & EFS Auf Dokumentenebene
  19. 19. Richts Management Services Autor Active DirectorySQL Server AD RMS Empfänger PL PL UL Read Print Modify
  20. 20. Rights Management Services SharePoint WFE Active DirectorySQL Server AD RMS Empfänger PL UL
  21. 21. RMS Key Features SharePoint Online und On-Premise Support für Office Web Applications Gruppenschutz PDF Support
  22. 22. Demo Rights Management Services in SharePo
  23. 23. SharePoint Security
  24. 24. SharePoint 2013 Apps
  25. 25. App Architektur On Premises SharePoint & Exchange Server On-Premise Plattformen IIS Workflow SQL Cloud Office 365 Azure Runtime Azure Websites Azure Workflows SQL Azure REST, OAuth, OData, Remote Events
  26. 26. Apps Authentifizierung OAuth
  27. 27. Authentifizierungsprozess Browser App
  28. 28. App-Berechtigungen • App-Berechtigungen…  sind anders als Nutzer-Berechtigungen  gelten für sämtliche Nutzer  haben keine Hierarchie • Apps haben eine Standard-Berechtigung  Limitierte Leserechte auf das Host Web  Apps können weitere Rechte beantragen  Der installierende Nutzer vergibt die Rechte
  29. 29. Rechte definieren • Wird über das App-Manifest gesteuert <AppPermissionRequests> <AppPermissionRequest Scope="http://sharepoint/content/sitecollection/web/list" Right="FullControl" /> <AppPermissionRequest Scope="http://sharepoint/content/sitecollection/web" Right="Read" /> <AppPermissionRequest Scope="http://sharepoint/search" Right="QueryAsUserIgnoreAppPrincipal" /> <AppPermissionRequest Scope="http://sharepoint/taxonomy" Right="Write" /> </AppPermissionRequests>
  30. 30. SharePoint Security
  31. 31. Fabian Moritz ITaCS GmbH MVP SharePoint Server Fabian.Moritz@itacs.d e http://www.itacs.de @FabianMoritz http://sharepointcommunity.de/fabianm

×