Erstellen einer Webanwendung, die die Windows-Forderungsauthentifizierung verwendet (SharePoint Foundation 2010)
Gilt für: SharePoint Foundation 2010
Letztes Änderungsdatum des Themas: 2016-11-30
In diesem Artikel wird das Erstellen einer Webanwendung erläutert, die die Windows-Forderungsauthentifizierung verwendet.
Tipp
Wenn Sie stattdessen die klassische Windows-Authentifizierung verwenden möchten, finden Sie weitere Informationen unter Erstellen einer Webanwendung, die die klassische Windows-Authentifizierung verwendet (SharePoint Foundation 2010).
Bevor Sie dieses Verfahren ausführen, sollten Sie Folgendes überprüfen:
Auf dem System wird Microsoft SharePoint Foundation 2010 ausgeführt.
Sie haben den logischen Architekturentwurf vorbereitet.
Sie haben die Authentifizierung für die Webanwendung geplant. Weitere Informationen finden Sie unter Planen von Authentifizierungsmethoden (SharePoint Foundation 2010), Konfigurieren der Kerberos-Authentifizierung (SharePoint Foundation 2010) und Auswählen der Sicherheitsgruppen (SharePoint Foundation 2010).
Sie haben die Dienstanwendungen ausgewählt, die Sie für die Webanwendung verwenden möchten. Weitere Informationen finden Sie unter Verwalten von Dienstanwendungen und Diensten (SharePoint Foundation 2010).
Wenn Sie Secure Sockets Layer (SSL) verwenden, müssen Sie das SSL-Zertifikat mit der IIS-Website der Webanwendung verbinden, nachdem die IIS-Website erstellt wurde. Weitere Informationen zum Einrichten von SSL finden Sie unter Einrichten von SSL in IIS 7.0 (https://go.microsoft.com/fwlink/?linkid=187887&clcid=0x407).
Sie haben sich über alternative Zugriffszuordnungen informiert.
Falls die Benutzerkontensteuerung (User Account Control, UAC) in Windows aktiviert ist und Sie Windows PowerShell 2,0 zum Erstellen einer Webanwendung verwenden, müssen Sie mit der rechten Maustaste auf SharePoint 2010-Verwaltungsshell klicken und Als Administrator ausführen auswählen.
Mit der Website für die SharePoint-Zentraladministration oder Windows PowerShell können Sie eine Webanwendung erstellen. In der Regel verwenden Sie die Zentraladministration zum Erstellen einer Webanwendung. Verwenden Sie Windows PowerShell, wenn Sie das in Unternehmen häufig vorkommende Erstellen einer Webanwendung automatisieren möchten. Anschließend können Sie für die von Ihnen erstellte Webanwendung mindestens eine Websitesammlung erstellen.
So erstellen Sie eine Webanwendung mit der Windows-Forderungsauthentifizierung mithilfe der Zentraladministration
Stellen Sie sicher, dass Sie über die folgenden Administratorrechte verfügen:
- Zum Erstellen einer Webanwendung müssen Sie Mitglied der SharePoint-Gruppe Farmadministratoren und Mitglied der lokalen Administratorgruppe auf dem Computer mit der Zentraladministration sein.
Klicken Sie auf der Startseite der Zentraladministration im Abschnitt Anwendungsverwaltung auf Webanwendungen verwalten.
Klicken Sie im Menüband auf Neu.
Klicken Sie auf der Seite Neue Webanwendung erstellen im Abschnitt Authentifizierung auf Forderungsbasierte Authentifizierung.
Im Abschnitt IIS-Website können Sie die Einstellungen für die neue Webanwendung konfigurieren, indem Sie eine der folgenden Optionen auswählen:
Klicken Sie auf Vorhandene IIS-Website verwenden, und wählen Sie die Website aus, auf der die neue Webanwendung installiert werden soll.
Klicken Sie auf Neue IIS-Website erstellen, und geben Sie dann in das Feld Name den Namen der Website ein.
Geben Sie im Abschnitt IIS-Website in das Feld Port die Portnummer für den Zugriff auf die Webanwendung ein. Wenn Sie eine neue Website erstellen, wird in diesem Feld eine zufällige Portnummer eingetragen. Wenn Sie eine vorhandene Website verwenden, wird dieses Feld mit der aktuellen Portnummer aufgefüllt.
Hinweis
Die Standardportnummer für HTTP-Zugriff ist 80, und die Standardportnummer für HTTPS-Zugriff ist 443. Falls Benutzer ohne Eingabe einer Portnummer auf die Webanwendung zugreifen können sollen, dann sollte die entsprechende Standardportnummer verwendet werden.
Optional: Geben Sie im Abschnitt IIS-Website im Feld Hostheader den Hostnamen ein (z. B. www.contoso.com), der für den Zugriff auf die Webanwendung verwendet werden soll.
Hinweis
Dieses Feld wird im Allgemeinen nur festgelegt, wenn Sie zwei oder mehr IIS-Websites mit derselben Portnummer auf demselben Server konfigurieren möchten und DNS so konfiguriert wurde, dass Anforderungen an denselben Server weitergeleitet werden.
Geben Sie im Abschnitt IIS-Website in das Feld Pfad den Pfad zum Startverzeichnis der IIS-Website auf dem Server ein. Wenn Sie eine neue Website erstellen, enthält dieses Feld eine Pfadangabe als Vorschlag. Wenn Sie eine vorhandene Website verwenden, enthält dieses Feld den aktuellen Pfad dieser Website.
Wählen Sie im Abschnitt Sicherheitskonfiguration aus, ob der anonyme Zugriff bzw. Secure Sockets Layer (SSL) verwendet werden soll.
Klicken Sie unter Anonymen Zugriff zulassen auf Ja oder Nein. Wenn Sie anonymen Zugriff zulassen, ermöglicht dies den anonymen Zugriff auf die Website mithilfe des computerspezifischen Kontos für anonymen Zugriff (IIS_IUSRS).
Hinweis
Wenn Sie den Benutzern den anonymen Zugriff auf beliebigen Websiteinhalt gewähren möchten, müssen Sie den anonymen Zugriff für die gesamte Webanwendungszone aktivieren, bevor Sie den anonymen Zugriff auf der SharePoint-Websiteebene aktivieren. Websitebesitzer können dann zu einem späteren Zeitpunkt konfigurieren, wie der anonyme Zugriff innerhalb ihrer Websites verwendet wird. Wenn Sie den anonymen Zugriff auf Webanwendungsebene nicht aktivieren, können Sie den anonymen Zugriff später nicht auf Websiteebene aktivieren. Weitere Informationen finden Sie unter Auswählen der Sicherheitsgruppen (SharePoint Foundation 2010).
Klicken Sie unter Secure Sockets Layer (SSL) verwenden entweder auf Ja oder auf Nein. Wenn Sie SSL für die Website aktivieren, müssen Sie SSL durch Anfordern und Installieren eines SSL-Zertifikats konfigurieren. Weitere Informationen zum Einrichten von SSL finden Sie unter Einrichten von SSL in IIS 7.0 (https://go.microsoft.com/fwlink/?linkid=187887&clcid=0x407).
Wählen Sie im Abschnitt Forderungsauthentifizierungstypen die Authentifizierung aus, die Sie für die Webanwendung verwenden möchten.
Falls Sie die Windows-Authentifizierung verwenden möchten, wählen Sie Windows-Authentifizierung aktivieren aus, und wählen Sie im Dropdownmenü die Option Aushandeln (Kerberos) oder NTLM aus. Weitere Informationen finden Sie unter Konfigurieren der Kerberos-Authentifizierung (SharePoint Foundation 2010).
Falls Sie die integrierte Windows-Authentifizierung nicht verwenden möchten, deaktivieren Sie Integrierte Windows-Authentifizierung.
Wenn die Anmeldeinformationen von Benutzern unverschlüsselt in einem Netzwerk gesendet werden sollen, wählen Sie Basisauthentifizierung (Kennwort wird unverschlüsselt gesendet) aus.
Hinweis
Sie können die Standardauthentifizierung oder die integrierte Windows-Authentifizierung auswählen, oder beides. Falls Sie beides auswählen, werden dem Clientwebbrowser von SharePoint Foundation 2010 beide Authentifizierungstypen angeboten. Vom Clientwebbrowser wird dann bestimmt, welcher Authentifizierungstyp verwendet werden soll. Wenn Sie nur die Standardauthentifizierung auswählen, muss SSL aktiviert sein. Andernfalls können die Anmeldeinformationen von böswilligen Benutzern abgefangen werden.
Wenn Sie die formularbasierte Authentifizierung aktivieren möchten, wählen Sie Formularbasierte Authentifizierung aktivieren aus, und geben Sie dann den Namen des Mitgliedschaftsanbieters und den Namen des Rollen-Managers in den Feldern ein.
Weitere Informationen finden Sie unter Konfigurieren der formularbasierten Authentifizierung für eine forderungsbasierte Webanwendung (SharePoint Foundation 2010).
Hinweis
Wenn Sie diese Option auswählen, muss SSL aktiviert sein. Andernfalls können die Anmeldeinformationen von böswilligen Benutzern abgefangen werden.
Wenn Sie die Authentifizierung mithilfe des vertrauenswürdigen Identitätsanbieters in Windows PowerShell eingerichtet haben, ist das Kontrollkästchen Vertrauenswürdiger Identitätsanbieter aktiviert.
Weitere Informationen finden Sie unter Konfigurieren der Authentifizierung mit einem SAML-Sicherheitstoken (SharePoint Foundation 2010).
Sie können mindestens einen Forderungsauthentifizierungstyp verwenden. Weitere Informationen finden Sie unter Planen von Authentifizierungsmethoden (SharePoint Foundation 2010).
Wählen Sie im Abschnitt URL der Anmeldeseite eine der folgenden Optionen zum Anmelden bei SharePoint Foundation 2010 aus:
Wählen Sie URL der Standardanmeldeseite verwenden aus, wenn die Benutzer zu einer Standardanmelde-Website für eine forderungsbasierte Authentifizierung weitergeleitet werden sollen.
Wählen Sie URL einer benutzerdefinierten Anmeldeseite verwenden aus, und geben Sie dann die Anmelde-URL ein, wenn Benutzer zu einer benutzerdefinierten Anmeldewebsite für eine forderungsbasierte Authentifizierung weitergeleitet werden sollen.
Geben Sie im Abschnitt Öffentliche URL die URL für den Domänennamen aller Websites ein, auf die Benutzer in dieser Webanwendung zugreifen. Diese URL wird in Links auf Seiten innerhalb der Webanwendung angezeigt. Standardmäßig wird für die URL der aktuelle Servername und Port verwendet, und sie wird automatisch aktualisiert, um die aktuellen Angaben für SSL, Hostheader und Portnummerneinstellungen auf der Seite widerzuspiegeln. Falls Sie SharePoint Foundation 2010 hinter einem Lastenausgleichs- oder Proxyserver bereitstellen, dann muss diese URL möglicherweise vom SSL, Hostheader und den Porteinstellungen auf dieser Seite abweichen.
Der Wert Zone wird für eine neue Webanwendung automatisch auf Standard festgelegt.
Hinweis
Sie können beim Erweitern einer Webanwendung die Zone ändern. Weitere Informationen finden Sie unter Erweitern einer Webanwendung (SharePoint Foundation 2010).
Führen Sie im Abschnitt Anwendungspool eine der folgenden Aktionen aus:
Klicken Sie auf Vorhandenen Anwendungspool verwenden, und wählen Sie im Dropdownmenü den gewünschten Anwendungspool aus.
Klicken Sie auf Neuen Anwendungspool erstellen, und geben Sie den Namen des neuen Anwendungspools ein, oder übernehmen Sie den Standardnamen.
Führen Sie unter Wählen Sie ein Sicherheitskonto für diesen Anwendungspool aus eine der folgenden Aktionen aus:
Klicken Sie auf Vordefiniert, um ein vordefiniertes Sicherheitskonto zu verwenden, und wählen Sie dann im Dropdownmenü das Sicherheitskonto aus.
Klicken Sie auf Konfigurierbar, um ein neues Sicherheitskonto zur Verwendung für einen vorhandenen Anwendungspool anzugeben.
Hinweis
Durch Klicken auf den Link Neues verwaltetes Konto registrieren können Sie ein neues Konto erstellen.
Wählen Sie im Abschnitt Datenbankname und Authentifizierung wie in der folgenden Tabelle beschrieben den Datenbankserver, den Datenbanknamen und die Authentifizierungsmethode für die neue Webanwendung aus.
Element Aktion Datenbankserver
Geben Sie den Namen des gewünschten Datenbankservers und der gewünschten Instanz von Microsoft SQL Server im Format <SERVERNAME\Instanz> ein. Sie können auch den Standardeintrag verwenden.
Datenbankname
Geben Sie den Namen der Datenbank ein, oder verwenden Sie den Standardeintrag.
Datenbankauthentifizierung
Führen Sie einen der folgenden Schritte aus, um die zu verwendende Datenbankauthentifizierung auszuwählen:
Wenn Sie die Windows-Authentifizierung verwenden möchten, lassen Sie diese Option ausgewählt. Diese Option wird empfohlen, da bei der Windows-Authentifizierung automatisch das Kennwort verschlüsselt wird, wenn eine Verbindung mit SQL Server hergestellt wird.
Wenn Sie die SQL-Authentifizierung verwenden möchten, klicken Sie auf SQL-Authentifizierung. Geben Sie im Feld Konto den Namen des Kontos ein, das die Webanwendung zur Authentifizierung bei der SQL Server-Datenbank verwenden soll. Geben Sie dann im Feld Kennwort das Kennwort ein.
Hinweis
Von der SQL-Authentifizierung wird das SQL-Authentifizierungskennwort unverschlüsselt an SQL Server gesendet. Es wird empfohlen, dass Sie die SQL-Authentifizierung nur dann verwenden, wenn Sie die Protokollverschlüsselung zum Server mit SQL Server erzwingen, indem der Netzwerkverkehr mithilfe von IPsec verschlüsselt wird.
Wenn Sie die Datenbankspiegelung verwenden, geben Sie im Abschnitt Failoverserver in das Feld Failoverdatenbankserver den Namen eines bestimmten Failoverdatenbankservers ein, den Sie einer Inhaltsdatenbank zuordnen möchten.
Ordnen Sie im Abschnitt Suchserver unter Microsoft SharePoint Foundation-Suchserver auswählen eine Inhaltsdatenbank einem Server zu, auf dem der Microsoft SharePoint Foundation-Suchdienst ausgeführt wird.
Wählen Sie im Abschnitt Dienstanwendungsverbindung die Dienstanwendungsverbindungen aus, die für die Webanwendung verfügbar sein sollen. Klicken Sie im Dropdownmenü auf Standard oder Benutzerdefiniert. Mit der Option Benutzerdefiniert wählen Sie die Dienstanwendungsverbindungen aus, die Sie für die Webanwendung verwenden möchten.
Klicken Sie im Abschnitt Programm zur Verbesserung der Benutzerfreundlichkeit auf Ja oder Nein.
Klicken Sie auf OK, um die neue Webanwendung zu erstellen.
So erstellen Sie eine Webanwendung mit der Windows-Forderungsauthentifizierung mithilfe von Windows PowerShell
Stellen Sie sicher, dass die folgenden Mindestanforderungen erfüllt sind: Weitere Informationen finden Sie unter Add-SPShellAdmin. Zudem müssen Sie Mitglied der lokalen Administratorgruppe auf dem Computer mit Windows PowerShell sein. Zusätzlich erfordern einige Verfahren die Mitgliedschaft in den festen SQL Server-Serverrollen dbcreator und securityadmin.
Klicken Sie im Startmenü auf Alle Programme.
Klicken Sie auf Microsoft SharePoint 2010-Produkte.
Klicken Sie auf SharePoint 2010-Verwaltungsshell.
Geben Sie zum Erstellen eines Anbieters für die Windows-Forderungsauthentifizierung an der Windows PowerShell-Eingabeaufforderung den folgenden Befehl ein:
$ap = New-SPAuthenticationProvider
Geben Sie zum Erstellen einer Webanwendung, die die Windows-Forderungsauthentifizierung verwendet, an der Windows PowerShell-Eingabeaufforderung den folgenden Befehl ein:
$wa = New-SPWebApplication -Name <ClaimsWindowsWebApplication> -ApplicationPool <ClaimsApplicationPool> -ApplicationPoolAccount <ClaimsApplicationPoolAccount> -URL <URL> -Port <Port> -AuthenticationProvider $ap
Hinweis
Es wird empfohlen, dass das Anwendungspoolkonto ein verwaltetes Konto in der Serverfarm ist.
Dabei gilt:
<Name> ist der Name der neuen Webanwendung, die die Windows-Forderungsauthentifizierung verwendet.
<ApplicationPool> ist der Name des Anwendungspools.
<ApplicationPoolAccount> ist das Benutzerkonto, unter dem dieser Anwendungspool ausgeführt wird.
<URL> ist die öffentliche URL der Webanwendung.
<Port> ist der Port, an dem die Webanwendung in IIS erstellt wird.
Beispiel
$ap = New-SPAuthenticationProvider $wa = New-SPWebApplication -Name "Contoso Internet Site" -ApplicationPool "ContosoAppPool" -ApplicationPoolAccount (Get-SPManagedAccount "DOMAIN\jdoe") -URL "https://www.contoso.com" -Port 80 -AuthenticationProvider $ap
Weitere Informationen finden Sie unter New-SPWebApplication und New-SPAuthenticationProvider.
Hinweis
Es wird empfohlen, Windows PowerShell zum Ausführen von administrativen Befehlszeilenaufgaben zu verwenden. Das Befehlszeilentool Stsadm ist veraltet, aber weiterhin vorhanden, um die Kompatibilität mit früheren Produktversionen zu gewährleisten.
See Also
Concepts
Erweitern einer Webanwendung (SharePoint Foundation 2010)
Erstellen einer Websitesammlung (SharePoint Foundation 2010)
Konfigurieren der formularbasierten Authentifizierung für eine forderungsbasierte Webanwendung (SharePoint Foundation 2010)
Konfigurieren der Authentifizierung mit einem SAML-Sicherheitstoken (SharePoint Foundation 2010)
Erstellen einer Webanwendung, die die klassische Windows-Authentifizierung verwendet (SharePoint Foundation 2010)Other Resources