Browsing all articles in Christoph Müller

Wie schon gebloggt kann man so einige SharePoint-Authentifizierungs-Szenarien mit Claims lösen. Wo Sonne ist, ist aber auch Schatten. In einem Projekt kam die Frage auf ob man alle Benutzer nur über Claims innerhalb SharePoint 2010 einbinden kann. Sprich keinen „User Profile Sync“ gegen ein Directory.  Und so machte ich machte mich auf die Suche nach den Limitationen. Hier meine Liste die vermutlich im Laufe der Zeit immer länger wird:

Audiences
OOTB funktionieren die „Benutzer basierten“-Audiences nicht. Also das Szenario „Mitglieder dieser Gruppe können das sehen“ funktioniert ohne „Custome Code“ nicht.
„Property-based“-Audiences funktionieren. Details dazu in diesem TechNet Blogpost: http://blogs.technet.com/b/speschka/archive/2010/06/12/using-audiences-with-claims-auth-sites-in-sharepoint-2010.aspx

Excel Services
Die Excel Services benutzen normalerweise C2WTS (Claims to Windows Token Service). Es wird aber nichts andere konvertiert das nicht entweder „Windows Classic“ oder „Windows Tokens“ zu einer „Windows Identity“ gewandelt wird. Aus diesem Grund müssen externe Datenzugriffe oder  „unattended data refresh” über den Secure Store Service durchgeführt.

Performance Point
Performance Point muss die „ Unattended Service Account”-Option im Zusammenhang mit “Secure Store Services” und Claims benutzen.

SQL Server 2008 R2 Reporting Services Integration
Die SQL Reporting Services benötigen zwingend Windows Authentication. Es besteht keine Möglichkeit den C2WTS (Claims to Windows Token Service) zu benutzen.

Visio Services
„Secure Store Service“ kann nur für das Darstellen von Objekten benutzt werden dessen Connection über ein ODC-File spezifiziert wurden.

Project Server
Claims werden prinzipiell unterstützt. Jedoch benötigt die Migration mehr als nur „MigrateUser“ da der Project Server eine eigene Datenbank für die „User Logon Information“ unterhält.

SharePoint Designer
Der „External Content Type Designer“ in SharePoint Designer 2010 kann keine „Claims aware WDSL endpoints“ ansprechen (http://support.microsoft.com/default.aspx?scid=kb;EN-US;982268).

PowerPivot
Das Darstellen von Workbooks“ in PowerPivot arbeitet eigentlich wie erwartet, trotzdem unterstützt PowerPivot nur klassische Web Apps. Dies aus folgenden zwei Gründen:
Um Daten von einer externen DB zu aktualisieren, benutzte Power Pivot die User Credentials die im Secure Store Service gespeichert sind. In einer claims-based Web App kann das “SharePoint binary API” mit einem “Windows Token” nicht angesprochen werden.
Eingehende „Connection Request“ werden von den SharePoint Front End Servern nicht akzeptiert. Dies scheint ein Bug zu sein.

Dies ist meine aktuelle Sammlung. Gute Ausgangspunkte um nach Lösungen und Ideen zu suchen sind folgende Blogs:
Share-n-dipity: http://blogs.technet.com/b/speschka/
SharePoint Security: http://www.sharepointsecurity.com/category/sharepoint/claims-based-authentication//
Microsoft Whitepaper: http://technet.microsoft.com/de-de/library/hh487289.aspx

Michael Greth und ich haben uns im letzten AlpenPodcast über das vergangene Jahr unterhalten. Ein Kollege sprach mich nun darauf an: was ist dann mit der Aussicht auf 2012. Nun, wir alle wissen das solche Aussagen immer ganz heikel sind. Retrospektive Zusammenfassungen sind ja einfach. Trotzdem versuche ich mal die Portal Trends, die ich persönlich wahrnehme, für das nächste Jahr auszubreiten.
Generell lässt sich sagen das Microsoft das Thema „Private Cloud“ bei ihren Kunden weiter sehr stark positionieren wird. Das bedingt, dass wir von der SharePoint Architektur Lösungen oder zumindest Aussagen bereithalten sollten. Ein guter Anlaufpunkt ist: http://sharepointintheprivatecloud.wordpress.com/.

Was immer wir im nächsten Jahr planen: Flexibler und elastischer muss es werden.

Das Thema Mobile wird uns weiter beschäftigen. Schon heute sind wir mit diesen Anforderungen konfrontiert. Mit dem Erscheinen der Galaxy Tabletts wird der Druck vermutlich noch grösser. Immer mehr Firmenkunden lassen ihren Anwender die Corporate Informationen auf diesen Geräten empfangen. (Mehr zu diesem Thema ein bisschen weiter unten im Abschnitt Portal Design Trends.)
Enterprise 2.0. Social Media ist ein ewiges Thema das bei fast allen Firmen immer wieder hochkommt. Bisher waren aber alle dann irgendwie doch noch nicht so richtig bereit. Im Zusammenhang mit der weiteren Ausbreitung von Mobilen Geräten in den Firmen wird dieses Thema nun erneut angegangen. Wichtig ist es zu erkennen, dass dieses Enterprise 2.0 kein IT-Thema ist, sondern ein Thema für die Corporate Communication Abteilung. Nur weil man ein Facebook und ein  Twitter Account hat ist man noch kein Social Media Spezialist.

Portal Design
Ebenso wie das Thema „Private Cloud“ wird Microsoft im nächsten Jahr SharePoint als WCM-Plattform positionieren. Das gibt uns Dienstleistern neue Aufträge und das ist gut so. Allerdings ist unsere Konkurrenz in diesem Bereich sehr, sehr stark. Diese Lösungen reagieren sehr viel schneller als Microsoft auf aktuelle Trends.
Das Konzept der mobilen Apps hat gezeigt das fokussierte Software Probleme oft dynamischer lösen als monolithische Feature starke Lösungen. Diese Erkenntnis schlägt sich direkt auf Portallösungen durch. Die Kunden werden mehr Fokus auf Themen wie „User Experience“, „Interaction Design“ und Informations-Architektur legen. Themen wie der reine Betrieb der Lösung werden langsam verschwinden weil sie im Zusammenhang mit der oben genannten „Private Cloud“ als „commodity“ wahrgenommen werden.
Was bedeutet das konkret? Das was gemeinhin als „Responsive Web Design“ bezeichnet wird, wird im nächsten Jahr aus den Kinderschuhen herauswachsen und umgesetzt. Die Unterschiede der Vielzahl der mobilen Geräte werden uns dazu zwingen. Statt Portale mit fixen Werten zu entwickeln, müssen wir dynamische Layouts schreiben die mit einer Vielzahl von unterschiedlichen Stylesheets auf unterschiedlichen Geräten angezeigt werden können. Das Web ist voll mit Hilfsmittel zu diesem Thema. Wie etwa tiny fluid grid.

Im Gegensatz zu dem weiter unten erwähnten „Fixed-Position Navigation„ zeigt sich in den reinen Portalen, die mit sehr viel Information umgehen müssen einen Trend zu Multi-Column Menus. Der Grund liegt darin, dass wenn zu viele Navigationslink vorhanden sind, Teile davon in die Seitennavigation (Quick Nav) verschoben werden. User Experience Tests haben aber gezeigt, dass eine Zersplitterung der Navigation von den Benutzern nicht immer richtig verstanden wird. Aus diesem Grund empfiehlt es sich alles in der Top Navigation zu behalten. Um dieses Problem zu lösen haben sich die erwähnten „Multi-Column Menus“ entwickelt. Ein gutes Beispiel ist etwa Best Made Company:

Aber auch einfachere Lösungen wirken immer noch sehr elegant und aufgeräumt (http://neuarmy.com/)

Ein anderer Weg um dieses Problem zu lösen sind „Footer Navigation“. Immer mehr Portale lassen den Footer mit sehr vielen Links konstant stehen und geben dem Benutzer so zwei Navigationselemente (oben und unten). Dies ist für die Benutzer deutlich logischer als die SharePoint typische Verteilung in Top- und Quick Navigation.



Allgemeine Site Design Trends


Fixed-Position Navigation
: Im letzten Jahr kam dieser Trend auf und der wird sich nächstes Jahr weitersetzten. Die Idee ist, dass man auf Seiten die wenige Navigation benötigen, die Navigation nicht versteckt sondern als zentrales Element stehen lässt. Dieses Vorgehen kann neben dem Design Effekt die Website Performance dramatisch verbessern. Mittels jQuery kann hier sehr schnelle Lösungen bauchen. Aber auch ohne aktivierten JavaScript kann mit ganz kreativen CSS Code Lösungen solche Effekte erreicht werden. Ein gutes Beispiel für diesen Effekt ist die Site von Simon Wuyts.

Grosse visuelle Elemente: Ein weiterer Trend, der im Zusammenhang mit Enterprise 2.0 steht, ist das man übergrosse Maskottchen auf die Site platziert. Die Idee dahinter ist es, dem Inhalt eine Identität zu geben (Maskottchen) welches sich dann positiv auf die Akzeptanz überträgt. Die Qualität dieser „Vector Arts“ wurde auch immer besser und gibt den Seiten definitiv einen „fröhlichen“ Anstrich. Zwei Beispiele hier: Firefox und MailChimp.

 

Natürlich gibt es weitere Trends wie etwa HTML 5/jQuerry/CSS Animationen oder „web save fonts“. Auch sieht man immer mehr Infografiken im Intranet. Bitte schreibt doch als Feedback welche Trends Ihr seht oder welche ich vergessen habe.

Wie an den Collaboration Days 2011 von letzter Woche angesprochen, hier die Anleitung wie man in einer Testumgebung mit Claims Based Identity „spielen“ kann ohne das man sich einen „Issuer“ installiert und konfiguriert. Diese Anleitung benutzt den LDAP Membership und Role Provider der mit SPS Server 2010 mitgeliefert wird und benutzt den Active Directory Domain Services um die Benutzer und Gruppen zu autorisieren.

Um dieser „Schritt um Schritt“ Anleitung zu folgen werden neben dem SharePoint Server 2010  folgende Annahmen getroffen. Sie haben einen Domain Controller mit dem Domänen Root „contoso.com“ und Benutzer im „userContainer“. Selbstredend müssen die entsprechenden Anpassungen an den Konfiguration für:

  • Server und userContainer Atribute für den Role Provider
  • Server und groupContainer für den Memebership Provider

entsprechend Ihrer Umgebung gemacht werden gemacht werden.

Eine neue Web Application mit Claimes based Authentication anlegen
1: In Central Administration -> Application Management -> Manage web applications im Ribbon auf “New” klicken um eine neue Web Application zu erstellen.

2: In der „Create New Web Application” Seite, im Authentication Abschnitt auf Claims Based Authentication klicken.


3: Im IIS Web Site Abschnitt eine neue IIS Web Seite erstellen lassen und einen Namen, sowie den Port, dafür eingeben. Zusätzlich hier noch die URL in der Host Header Box definieren etwa „claims.contoso.com“.

4: In der Security Configuration SSL aktivieren oder deaktivieren. Allow Anonymous auf „No“ setzten.

5: In der Identity Providers Sektion, “Enable Windows Authentication” aktivieren und im drop-down menu “NTLM” auswählen.

6: Um “forms-based authentication” zu aktivieren, klickt man auf “Enable Forms Based Authentication (FBA)”. Danach die „ASP.NET Membership provider und Role Manager“-Namen eintragen. Diese sind:

  • LdapMembershipProvider
  • LdapRoleProvider

7: In der “Sign In Page URL” Sektion die “Default Page” auswählen.

8: In der Public URL Sektion die URL eintragen: http:// claims.contoso.com/

9: Danach einen neuen Application Pool erstellen

10: Im „Service Application Connections“ alles auf “default” belassen.

11: “Customer Experience Improvement Program” auf “No” oder “Yes” setzten und mit OK die neue Web App erstellen.

Form-based Authentication Unterstützung konfigurieren
1: Im Windows Explorer zum “root directory” der Central Administration navigieren und die Datei “web.config” in einem Text Editor öffnen.
2: Das folgende XML gleich nach dem <system.web> Element hineinkopieren:

<membership>
<providers>
<add name=“LdapMembershipProvider“
type=“Microsoft.Office.Server.Security.LdapMembershipProvider, Microsoft.Office.Server, Version=14.0.0.0, Culture=neutral, PublicKeyToken=71e9bce111e9429c“
server=“contoso.com“
port=“389″
useSSL=“false“
userDNAttribute=“distinguishedName“
userNameAttribute=“sAMAccountName“
userContainer=“CN=Users,DC=contoso,DC=com“
userObjectClass=“person“
userFilter=“(ObjectClass=person)“
scope=“Subtree“
otherRequiredUserAttributes=“sn,givenname,cn“ />
</providers>
</membership>
<roleManager enabled=“true“ defaultProvider=“AspNetWindowsTokenRoleProvider“>
<providers>
<add name=“LdapRoleProvider“
type=“Microsoft.Office.Server.Security.LdapRoleProvider, Microsoft.Office.Server, Version=14.0.0.0, Culture=neutral, PublicKeyToken=71e9bce111e9429c“
server=“contoso.com“
port=“389″
useSSL=“false“
groupContainer=“CN=Users,DC=contoso,DC=com“
groupNameAttribute=“cn“
groupNameAlternateSearchAttribute=“samAccountName“
groupMemberAttribute=“member“
userNameAttribute=“sAMAccountName“
dnAttribute=“distinguishedName“
groupFilter=“(ObjectClass=group)“
userFilter=“(ObjectClass=person)“
scope=“Subtree“ />
</providers>
</roleManager>

3: Speichern und Schliessen

Security Token Service für Form Based Authentication konfigurieren
1: In den „Administrative Tools“ des Servers den „Internet Information Services (IIS) Manager“ starten. Dort den „Server node“ und danach den „Site node“ erweitern.

2: Dort den „SharePoint Web Services node” erweitern und dann auf „SecurityTokenServiceApplication“ klicken. In der Action pane (rechts) auf den Link „explore“ klicken. Dort das „web.config“ file suchen und in einem Text Editor öffnen.

3: Folgenden XML Konfiguration gleich nach dem </system.net> Element hineinkopieren:

<membership>
<providers>
<add name=“LdapMembershipProvider“
type=“Microsoft.Office.Server.Security.LdapMembershipProvider, Microsoft.Office.Server, Version=14.0.0.0, Culture=neutral, PublicKeyToken=71e9bce111e9429c“
server=“contoso.com“
port=“389″
useSSL=“false“
userDNAttribute=“distinguishedName“
userNameAttribute=“sAMAccountName“
userContainer=“CN=Users,DC=contoso,DC=com“
userObjectClass=“person“
userFilter=“(ObjectClass=person)“
scope=“Subtree“
otherRequiredUserAttributes=“sn,givenname,cn“ />
</providers>
</membership>
<roleManager enabled=“true“>
<providers>
<add name=“LdapRoleProvider“
type=“Microsoft.Office.Server.Security.LdapRoleProvider, Microsoft.Office.Server, Version=14.0.0.0, Culture=neutral, PublicKeyToken=71e9bce111e9429c“
server=“contoso.com“
port=“389″
useSSL=“false“
groupContainer=“CN=Users,DC=contoso,DC=com“
groupNameAttribute=“cn“
groupNameAlternateSearchAttribute=“samAccountName“
groupMemberAttribute=“member“
userNameAttribute=“sAMAccountName“
dnAttribute=“distinguishedName“
groupFilter=“(ObjectClass=group)“
userFilter=“(ObjectClass=person)“
scope=“Subtree“ />
</providers>
</roleManager>
4: Speichern und Schliessen

Die neue Web Application für Form Based Authentication konfigurieren
1: Im Windows Explorer zum “root directory” der Central Administration navigieren und die Datei “web.config” in einem Text Editor öffnen.

2: Das folgende XML gleich nach

<roleManager>
<provider>
hineinkopieren:
<add name=“LdapRoleProvider“
type=“Microsoft.Office.Server.Security.LdapRoleProvider, Microsoft.Office.Server, Version=14.0.0.0, Culture=neutral, PublicKeyToken=71e9bce111e9429c“
server=“contoso.com“
port=“389″
useSSL=“false“
groupContainer=“CN=Users,DC=contoso,DC=com“
groupNameAttribute=“cn“
groupNameAlternateSearchAttribute=“samAccountName“
groupMemberAttribute=“member“
userNameAttribute=“sAMAccountName“
dnAttribute=“distinguishedName“
groupFilter=“(ObjectClass=group)“
userFilter=“(ObjectClass=person)“
scope=“Subtree“ />
3: Weiter folgendes XML gleich nach
<membership>
<provider>
hineinkopieren:
<add name=“LdapMembershipProvider“
type=“Microsoft.Office.Server.Security.LdapMembershipProvider, Microsoft.Office.Server, Version=14.0.0.0, Culture=neutral, PublicKeyToken=71e9bce111e9429c“
server=“contoso.com“
port=“389″
useSSL=“false“
userDNAttribute=“distinguishedName“
userNameAttribute=“sAMAccountName“
userContainer=“CN=Users,DC=contoso,DC=com“
userObjectClass=“person“
userFilter=“(ObjectClass=person)“
scope=“Subtree“
otherRequiredUserAttributes=“sn,givenname,cn“ />

4: Speichern und Schliessen

Neue User Policy erstellen
1: In Central Administration zu -> Application Management -> Manage web applications navigieren. Die Web Application „claims.contoso.com“ auswählen und im Ribbon auf “User Policy” klicken.
2: Im Fenster „Policy for Web Application“ auf „Add User“ klicken
3: Die „Default Zone“ auswählen und dann das Adressbuch auswählen. Jetzt sieht man schon den neuen „Claims-based People Picker“

4: Die entsprechenden Benutzer auswählen

5: Speichern und zur gewählten URL navigieren. Dort kann man nun den Identity Provider auswählen.

Hinter dem Türchen im SharePoint Adventskalender verbirgt sich heute eine Kostprobe des SharePointPodcasts, dem auditiven Update für den engagierten SharePoint-Anwender mit Themen, Trends, Tipps, Tricks und Talk. Ich produziere den SharePointPodcast seit fast 7 Jahren in mittlerweile 197 Ausgaben, in denen ich aktuelle News, Tools, Veranstaltungstipps und mehr aus dem SharePoint-Land vorstelle.

Ein wesentlicher Bestandteil dces SharePointPodcasts sind auch die Gespräche und Interviews, die ich mit Menschen wie du und ich aus dem SharePoint-Land führe.

Mit Chris Müller haben ich eine kleine Reihe begonnen, in der wir unter dem Stichwort AlpenPodcast uns über SharePoint und die Welt unterhalten.

Hier ein Auschnitt aus unserem Talk auf den CollaborationDays 2011 in Luzern, die vollständige Episode könnt ihr im SharePointPodcast 197 hören.

 

Hinweis zum Kommentar

Zum Kommentieren der Beiträge (und damit zur Teilnahme am Gewinnspiel) bitte auf die Zahl in der Bubble neben dem Titel des Blogeintrags klicken, dies öffnet das Kommentarformular!

Sponsored by

Subscribe

Über

Der SharePoint Advent

Ein Gemeinschaftsprojekt der deutschsprachigen SharePoint MVP's

Rubriken

Impressum

(c) 2011 SharePointCommunity