2. SharePoint Security

4. Identitäten
App Pool
Farm
System
Benutzer

5. Classic
Authentifizierungsarten
NT Token
Windows
Identität
Claims
NT Token
Windows
Identität
ASP.NET (FBA)
LDAP, Custom,
etc.
SAML 1.1
ADFS, Live
ID, etc.
SAML Token
Claims Identität
SPUser
Nur noch via
PowerShell

6. Authentifizierungsprozess
Windows
FBA
SAML
Authentication
Page
WebApp
STS

7. Identität vs. Claims
Identität
Claims
Herausgeber

8. Claims Terminologie
Identität
Informationen zu einer Person / einem
Objekt (AD, Facebook, Microsoft ID etc.)
Claims
Token
STS
Attribute der Identität (Nutzername, E-
Mail, Alter, Schuhgröße etc.)
Binäre Repräsentanz der Identität
Enthält einen Satz an Claims
Secure Token Service
Herausgeber von Nutzer-Token

9. SharePoint Claims Encoding
i:0#.w|itacsfabian
Claim Identität
c = andere
Identitäten
i:/c:
Reserviert für
zukünftige
Claim Typen
0
#/./?/S etc.
Claim Typ
# = Logon,
5 = e-mail,
- = role
+ = group
% = farm
! = identity
provider
Herausgeber
w = windows,
s = local STS
m = membership
r = role
t = trusted STS
p = personal
c = claim provider
f = forms
w/s/m/r/t/c/f etc.
Claim Wert
Bei Forms mit
weiteren | für
den Namen des
Herausgebers
Login Name

10. Claims Encoding Beispiele
i:0#.w|contosofabianm
Windows Account
contosofabianm
c:0!.s|windows
Alle authentifizieten
Windows-Nutzer
c:0+.w|s-1-5-21… Windows-Sicherheitsgruppe
i:0#.f|membership|fm
Form-based Membership
Provider
i:05.t|azure|fm@itacs.de
Federated Location mit
E-Mail als Login Namen

11. Identität ermitteln
• Der alte Weg
HttpContext.Current.Identity;
• Weiterhin möglich
SPContext.Current.Web.CurrentUser;
• Der Claims Weg
IClaimsIdentity identity =
(ClaimsIdentity)Thread
.CurrentPrincipal.Identity;

12. SPWeb.EnsureUser
• Der alte Weg
• Der Weg mit Claims
SPUser theOldWay = SPContext.Current.Web.EnsureUser(@"contosofritzh");
SPClaimProviderManager claimProviderManager = SPClaimProviderManager.Local;
if (claimProviderManager != null)
{
SPClaim claim = new SPClaim(
SPClaimTypes.UserLogonName,
"fritzh",
"http://www.w3.org/2001/XMLSchema#string",
SPOriginalIssuers.Format(SPOriginalIssuerType.Forms, "ldapmember"));
string encodedClaimString = claimProviderManager.EncodeClaim(claim);
SPUser user = SPContext.Current.Web.EnsureUser(encodedClaimString);
}

13. Demo
Formular-basierte Authentifizierung

14. SharePoint Security

16. Die Rolle der Site Collection
• Sicherheitsgrenze
• Gruppendefinition
• Höchste Ebene der
Berechtigungsvererbung
• Backup / Recovery
• Papierkorb

17. Das Berechtigungsdreieck
Identität
Objekt Rech
t

18. Berechtigungen Best Practices
AD / SP Gruppen sinnvoll einsetzen
Lockdown Feature anwenden
Single Item Permissions vermeiden (wenn
möglich)
Freigeben ausblenden (oder passend schulen)
Code ggf. heraufstufen / impersonifizieren

19. Demo
Berechtigungen Best Practices

20. Daten klassifizieren
Öffentlich Keine besonderen Schutzbestimmungen
Intern
Vertraulich
Absicherung über Berechtigungen
Verschlüsselung für erforderlich
Privat Sensible persönliche Daten

21. Daten verschlüsseln
SQL Verschlüsselung
Dateiverschlüsselung
Rights Management
Services
Inhaltsdatenbanken
BitLocker & EFS
Auf Dokumentenebene

22. Richts Management Services
Autor
Active DirectorySQL
Server
AD
RMS
Empfänger
PL
PL
UL
Read
Print
Modify

23. Rights Management Services
SharePoint WFE
Active DirectorySQL
Server
AD
RMS
Empfänger
PL
UL

24. RMS Key Features
SharePoint Online und On-Premise
Support für Office Web Applications
Gruppenschutz
PDF Support

25. Demo
Rights Management Services in SharePo

26. SharePoint Security

28. SharePoint 2013 Apps

29. App Architektur
On Premises
SharePoint & Exchange Server
On-Premise Plattformen
IIS
Workflow
SQL
Cloud
Office 365
Azure Runtime
Azure Websites
Azure Workflows
SQL Azure
REST, OAuth, OData, Remote Events

30. Apps Authentifizierung
OAuth

31. Authentifizierungsprozess
Browser App

32. App-Berechtigungen
• App-Berechtigungen…
 sind anders als Nutzer-Berechtigungen
 gelten für sämtliche Nutzer
 haben keine Hierarchie
• Apps haben eine Standard-Berechtigung
 Limitierte Leserechte auf das Host Web
 Apps können weitere Rechte beantragen
 Der installierende Nutzer vergibt die Rechte

33. Rechte definieren
• Wird über das App-Manifest gesteuert
<AppPermissionRequests>
<AppPermissionRequest Scope="http://sharepoint/content/sitecollection/web/list" Right="FullControl" />
<AppPermissionRequest Scope="http://sharepoint/content/sitecollection/web" Right="Read" />
<AppPermissionRequest Scope="http://sharepoint/search" Right="QueryAsUserIgnoreAppPrincipal" />
<AppPermissionRequest Scope="http://sharepoint/taxonomy" Right="Write" />
</AppPermissionRequests>

34. SharePoint Security

35. Fabian Moritz
ITaCS GmbH
MVP SharePoint Server
Fabian.Moritz@itacs.d
e
http://www.itacs.de
@FabianMoritz
http://sharepointcommunity.de/fabianm