Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

7.-8. März 2013, Rosenheim SharePoint Security Das Sicherheitssystem von SharePoint 2013 Fabian Moritz | MVP SharePoint Server.

Veröffentlicht von:Gertraud Stockman Geändert vor über 9 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "7.-8. März 2013, Rosenheim SharePoint Security Das Sicherheitssystem von SharePoint 2013 Fabian Moritz | MVP SharePoint Server."—  Präsentation transkript:

1 7.-8. März 2013, Rosenheim SharePoint Security Das Sicherheitssystem von SharePoint 2013 Fabian Moritz | MVP SharePoint Server

2 Veranstalter: Agenda Identitäten und Authentifizierung Rollen, Rechte und Berechtigungen Heraufstufung und Impersonifizierung (Cloud) App Security mit OAuth

3 Veranstalter: Identitäten App Pool Farm System Benutzer

4 Veranstalter: SharePoint vs. Windows-Identität Webserver Worker Prozess SharePoint SystemApp Pool Account XML-Dateien und andere Ressourcen SharePoint-Objekte Listen, Bibliotheken, Dateien Backend-Datenbanken SQL Server

5 Veranstalter: Classic Authentifizierung NT Token Windows Identität Claims NT Token Windows Identität ASP.NET (FBA) LDAP, Custom, etc. SAML 1.1 ADFS, Live ID, etc. SAML Token Claims Identität SPUser Nur noch via PowerShell

6 Veranstalter: Authentifizierungs-Prozess Quelle: http://msdn.microsoft.com

7 Veranstalter: SharePoint Claims Encoding i:0#.w|contoso\fabian Claim Identität c = andere Identitäten i:/c: Reserviert für zukünftige Claim Typen 0 Claim Typ # = Logon, 5 = e-mail, - = role + = group % = farm ! = identity provider #/./?/S etc. Herausgeber w = windows, s = local STS m = membership r = role t = trusted STS p = personal c = claim provider f = forms w/s/m/r/t/c/f etc. Claim Wert Bei Forms mit weiteren | für den Namen des Herausgebers Login Name

8 Veranstalter: Claims Encoding Beispiele Windows Account CONTOSO\fabianm Alle authentifizierten Windows-Nutzer Windows- Sicherheitsgruppe Federated Location mit E-Mail als Login Namen Membership Provider i:0#.w|contoso\fabianm c:0!.s|windows c:0+.w|s-1-5-21… i:05.t|azure|fm@itacs.de i:0#.f|membership|fabianm

9 Veranstalter: Identität ermitteln Der alte Weg HttpContext.Current.Identity; Weiterhin möglich SPContext.Current.Web.CurrentUser; Der Claims Weg IClaimsIdentity identity = (ClaimsIdentity)Thread.CurrentPrincipal.Identity;

10 Demo Formular-basierte Authentifzierung

11 Veranstalter: Agenda Identitäten und Authentifizierung Rollen, Rechte und Berechtigungen Heraufstufung und Impersonifizierung (Cloud) App Security mit OAuth

12 Veranstalter: Die Rolle der Site Collection Sicherheitsgrenze Hierarchie von Webs Gruppendefinition Höchste Einheit der Berechtigungs- vererbung Backup / Recovery Site Coll. Papierkorb

13 Veranstalter: Berechtigungslevel

14 Veranstalter: SharePoint-Rechte

15 Veranstalter: Benutzerlisten in SharePoint Users - Benutzer, die explizit berechtigt wurden AllUsers - Authentifizierte Benutzer der Website SiteUsers - Alle Benutzer der Site Collection SPWeb currentWeb = SPContext.Current.Site.RootWeb; // Explizit berechtigte Nutzer SPUserCollection users = currentWeb.Users; // Authentifizierte Nutzer SPUserCollection allUsers = currentWeb.AllUsers; // Alle Nutzer SPUserCollection siteUsers = currentWeb.SiteUsers;

16 Veranstalter: SPWeb.EnsureUser Der alte Weg Der Weg mit Claims SPUser theOldWay = SPContext.Current.Web.EnsureUser(@"contoso\fritzh"); SPClaimProviderManager claimProviderManager = SPClaimProviderManager.Local; if (claimProviderManager != null) { SPClaim claim = new SPClaim( SPClaimTypes.UserLogonName, "fritzh", "http://www.w3.org/2001/XMLSchema#string", SPOriginalIssuers.Format(SPOriginalIssuerType.Forms, "ldapmember")); string encodedClaimString = claimProviderManager.EncodeClaim(claim); SPUser user = SPContext.Current.Web.EnsureUser(encodedClaimString); }

17 Veranstalter: Nutzer explizit berechtigen Verwaltung über Role Assignments Rechtezuweisung über Role Definition //SPRoleDefinition für Teilnehmen SPRoleDefinition roleContribute = currentWeb.RoleDefinitions.GetByType(SPRoleType.Contributor) ; //Neues RoleAssignment erzeugen SPRoleAssignment roleAssignment = new SPRoleAssignment( "i:0#.f|ldapmember|fabianm", "fabian.moritz@itacs.de", "Fabian Moritz", "SharePoint MVP"); //Teilnehmenrecht der Rolle zuweisen roleAssignment.RoleDefinitionBindings.Add(roleContribute); currentWeb.RoleAssignments.Add(roleAssignment);

18 Veranstalter: SharePoint-Gruppen Gruppierung von Benutzern Vergabe von Rechten für SP-Objekte Verwaltung auf Ebene der Site Collection SPWeb web = SPContext.Current.Web; web.SiteGroups.Add( "Demo Gruppe", web.SiteAdministrators[0], null, "Per Code generiert!"); SPGroup group = web.SiteGroups["Demo Gruppe"]; group.AddUser(SPContext.Current.Web.CurrentUser); web.AssociatedGroups.Add(group);

19 Veranstalter: SharePoint-Objekte absichern Jedes Objekt verfügt über eine ACL ACLs werden vererbt (der Parent wird genutzt) Aufbrechen möglich

20 Veranstalter: Vererbung aufbrechen SPWeb web = SPContext.Current.Web; // get list SPList docs = web.GetListFromUrl( web.Url + "/Freigegebene Dokumente/Forms/AllItems.aspx"); // get members group and assignment SPGroup group = web.SiteGroups["Mitglieder"]; SPRoleAssignment groupAssignment = new SPRoleAssignment(group); SPRoleDefinition roleRead = web.RoleDefinitions.GetByType(SPRoleType.Reader); // break role inheritance docs.BreakRoleInheritance(false); groupAssignment.RoleDefinitionBindings.Add(roleRead); docs.RoleAssignments.Add(groupAssignment); // reset role inheritance docs.ResetRoleInheritance();

21 Veranstalter: Auf Rechte prüfen SPSite site = SPContext.Current.Site; SPUser user = SPContext.Current.Web.EnsureUser("i:#0.f|pdapmember|fritzh"); using (SPSite impersonatedSite = new SPSite(site.ID, user.UserToken)) { using (SPWeb impersonatedWeb = impersonatedSite.OpenWeb()) { foreach (SPList list in impersonatedWeb.Webs) { if(list.DoesUserHavePermissions(SPBasePermissions.ManageLists)) { // do sth. }

22 Demo Benutzer, Gruppen und Berechtigungen

23 Veranstalter: Agenda Identitäten und Authentifizierung Rollen, Rechte und Berechtigungen Heraufstufung und Impersonifizierung (Cloud) App Security mit OAuth

24 Veranstalter: Code-Heraufstufung Code wird mit dem Token des aktuell angemeldeten Nutzers ausgeführt In einigen Szenarien können höhere Rechte erforderlich sein (Heraufstufung) // Code wird mit Token des aktuellen Nutzers ausgeführt // i:#0.f|ldapmember|fabianm SPSecurity.RunWithElevatedPrivileges(()>= { // Code wird mit heraufgestuften Rechte ausgeführt // SHAREPOINT\SYSTEM });

25 Veranstalter: Code impersonifizieren Zugriff auf Backend-Systeme mit Windows-Identität Claims to Windows Token Service // ist aktuelle Identität ein WinClaim if (SPSecurityContext.IsWindowsIdentityAvailable) { // nutze des c2WTS und hole die Windows identity WindowsIdentity wid = SPSecurityContext.GetWindowsIdentity(); // Impersonifizieren using (WindowsImpersonationContext ctxt = wid.Impersonate()) { // Zugriff auf Backend / Windows Ressourcen }

26 Demo Heraufstufung und Impersonifizierung

27 Veranstalter: Agenda Identitäten und Authentifizierung Rollen, Rechte und Berechtigungen Heraufstufung und Impersonifizierung (Cloud) App Security mit OAuth

28 Veranstalter: SharePoint 2013 Apps

29 Veranstalter: App Architektur On Premises SharePoint & Exchange Server On-Premise Plattformen IIS Workflow SQL On-Premise Plattformen IIS Workflow SQL Cloud Office 365 Azure Runtime Azure Websites Azure Workflows SQL Azure Azure Runtime Azure Websites Azure Workflows SQL Azure REST, OAuth, OData, Remote Events

30 Veranstalter: SharePoint App Web Cloud App SharePoint Apps Authentifizierung SharePoint Sandbox OAuth

31 Veranstalter: Authentifizierungs-Prozess 1 SharePoint authentifiziert den Client mit CLAIMS Der Nutzer greift mit dem Token auf die App zu (wird als IFrame in der Seite gerendert) 5 Die App extrahiert den Kontext-Token und übergibt diesen dem ACS (Access Control Service) 6 SharePoint erfragt den Kontext-Token beim STS 2 ACS (Access Control Service) gibt den (signierten) Kontext-Token zurück 3 SharePoint leitet den Token an den Nutzer weiter 4 Der ACS gibt einen Zugriffs-Token mit den Rechten des Nutzers an die App zurück 7 Die App greift via CSOM/REST auf die SharePoint- Website mit dem Access Token (OAuth) zu 8 SharePoint authentifiziert die App und verarbeitet die CSOM/REST-Abfrage 9 Die App sendet das HTML an den Client10 Quelle: http://msdn.microsoft.com

32 Veranstalter: App-Berechtigungen App-Berechtigungen… –sind anders als Nutzer-Berechtigungen –gelten für sämtliche Nutzer –haben keine Hierarchie Apps haben eine Standard-Berechtigung –Limitierte Leserechte auf das Host Web –Apps können weitere Rechte beantragen –Der installierende Nutzer vergibt die Rechte

33 Veranstalter: Rechte definieren Wird über das App-Manifest gesteuert

34 Demo SharePoint Apps berechtigen

35 Veranstalter: Agenda Identitäten und Authentifizierung Rollen, Rechte und Berechtigungen Heraufstufung und Impersonifizierung (Cloud) App Security mit OAuth

36 Veranstalter: Und nun? Laden Sie sich die Beispiele herunter http://sharepointcommunity.de/fabianm Registrieren Sie sich für eine Office 365 Developer Site http://msdn.microsoft.com/en-us/library/fp179924.aspx Nutzen Sie die MSDN Library http://msdn.microsoft.com/en-US/ Machen Sie sich mit Claims, OAuth und dem App Development vertraut

37 Veranstalter: Fabian Moritz ITaCS GmbH MVP SharePoint Server Fabian.Moritz@itacs.d e http://www.itacs.de @FabianMoritz http://sharepointcommunity.de/fabianm

Herunterladen ppt "7.-8. März 2013, Rosenheim SharePoint Security Das Sicherheitssystem von SharePoint 2013 Fabian Moritz | MVP SharePoint Server."

Ähnliche Präsentationen

Was gibt´s neues im Bereich Sicherheit

Was gibt´s neues im Bereich Sicherheit
ASP.NET Tips & Tricks Uwe Baumann

ASP.NET Tips & Tricks Uwe Baumann
Zusammenarbeit in Office mit den SharePoint Technologien Michael Carpi

Zusammenarbeit in Office mit den SharePoint Technologien Michael Carpi
SQL Server 2005.NET Integration Sebastian Weber Developer Evangelist Microsoft Deutschland GmbH.

SQL Server 2005.NET Integration Sebastian Weber Developer Evangelist Microsoft Deutschland GmbH.
Design- und Entwicklungswerkzeuge

Design- und Entwicklungswerkzeuge
Web-Entwicklung mit ASP.NET 2.0 und Visual Studio 2005 Uwe Baumann Marketing Manager Developer Tools Microsoft Deutschland GmbH Oliver Scheer Developer.

Web-Entwicklung mit ASP.NET 2.0 und Visual Studio 2005 Uwe Baumann Marketing Manager Developer Tools Microsoft Deutschland GmbH Oliver Scheer Developer.
Bernd Oberknapp, UB Freiburg

Bernd Oberknapp, UB Freiburg
Erweiterung B2B Usermanagement / LDAP-Anbindung

Erweiterung B2B Usermanagement / LDAP-Anbindung
XINDICE The Apache XML Project Name: Jacqueline Langhorst

XINDICE The Apache XML Project Name: Jacqueline Langhorst
Microsofts XML-Strategie aus Sicht des Endanwenders Klaus Rohe Developer Platform & Strategy Group Microsoft Deutschland GmbH.

Microsofts XML-Strategie aus Sicht des Endanwenders Klaus Rohe Developer Platform & Strategy Group Microsoft Deutschland GmbH.
Uwe Habermann Venelina Jordanova VFP Code in Silverlight Anwendungen ausführen.

Uwe Habermann Venelina Jordanova VFP Code in Silverlight Anwendungen ausführen.
Identity Management@GSI für GSI Michael Dahlinger, GSI m.dahlinger@gsi.de.

Identity für GSI Michael Dahlinger, GSI
MSDN Webcast: VB.NET für Einsteiger und Umsteiger, Teil 10 Die erste, eigene Klassenbibliothek (Level 100) Presenter: Daniel Walzenbach Technologieberater.

MSDN Webcast: VB.NET für Einsteiger und Umsteiger, Teil 10 Die erste, eigene Klassenbibliothek (Level 100) Presenter: Daniel Walzenbach Technologieberater.
Workshop: Active Directory

Workshop: Active Directory
Microsoft Project 2013 & Project Server 2013

Microsoft Project 2013 & Project Server 2013
Formatvorlage des Untertitelmasters durch Klicken bearbeiten Platin-Partner: Gold-Partner: Veranstaltungs-Partner: Medien-Partner: Web Content Management.

Formatvorlage des Untertitelmasters durch Klicken bearbeiten Platin-Partner: Gold-Partner: Veranstaltungs-Partner: Medien-Partner: Web Content Management.
Web Content Management mit SharePoint Fabian Moritz SharePoint MVP

Web Content Management mit SharePoint Fabian Moritz SharePoint MVP
Fabian Moritz | ITaCS GmbH | SharePoint MVP

Fabian Moritz | ITaCS GmbH | SharePoint MVP
Oliver Schnider Peaches Industries GmbH Its time to be ready for May 12th.

Oliver Schnider Peaches Industries GmbH Its time to be ready for May 12th.
Federated Identities und SSO mit Windows Azure

Federated Identities und SSO mit Windows Azure

Ähnliche Präsentationen

Google-Anzeigen