Ausblenden von Standardauthentifizierungsanbietern in SharePoint 2010




Veröffentlichung des Originalartikels: 08.05.2011

Ein Szenario, das in SharePoint 2010 häufig vorkommt, ist die Verwendung einer einzelnen Zone für mehrere Authentifizierungsanbieter.  Einer der Gründe für diese Verwendungsweise ist, dass eine Art von anspruchsbasierter Authentifizierung wie FBA oder SAML verwendet werden soll, aber zugleich auch Windows-Ansprüche hinzugefügt werden sollen, damit die Zone vom SharePoint-Crawler indiziert werden kann.  Bei diesem Ansatz haben wir es mit einem doppelten Problem zu tun:

  1. Benutzern wird eine Seite zur Anmeldeauswahl angezeigt, auf der sie entweder Windows oder eine andere Art von Authentifizierung auswählen müssen.
  2. Wenn Benutzer einer Website hinzufügt werden (oder ein beliebiger Vorgang ausgeführt wird, bei dem die Personenauswahl aufgerufen wird), werden ihnen in den Auswahlergebnissen die Active Directory-Benutzer zusammen mit den Benutzern für die Authentifizierungsanbieter, die sie verwenden, angezeigt.

Wie läßt sich das also ändern?  Zur Lösung des ersten Problems können wir eine benutzerdefinierte Seite für die Anmeldeauswahl schreiben.  Auf dieses Szenario bin ich bereits in meinem Beitrag http://blogs.msdn.com/b/sharepoint_de/archive/2011/06/27/umgehen-der-seite-zur-auswahl-mehrerer-authentifizierungsanbieter-in-sharepoint-160-2010.aspx eingegangen.  Was machen wir aber mit dem zweiten Problem - dem Ausblenden von AD-Benutzern, sodass diese nicht mehr in den Suchergebnissen der Personenauswahl angezeigt werden?  Hier kommt uns das kumulative Update von April 2011 zu Hilfe! <KURZER HINWEIS: Möglicherweise kommt es beim kumulativen Update von April zu Problemen; Abhilfe bringt die aktualisierte Version des kumulativen Updates vom Juni.  Es kann nach Bedarf getestet werden.>  Nach dem Installieren des kumulativen Updates enthält SPClaimProviderDefinitions nun eine neue Eigenschaft namens IsVisible.  Sie können diese einfach für den Active Directory-Anbieter auf false festlegen, sodass dieser bei Verwendung der Personenauswahl nicht mehr angezeigt wird.

Dies wird im folgenden PowerShell-Ausschnitt veranschaulicht:

$cpm = Get-SPClaimProviderManager
$ad = get-spclaimprovider -identity "AD"
$ad.IsVisible = $false
$cpm.Update()

Beachten Sie dabei Folgendes:

  1. Vom PowerShell-Befehl Get-SPClaimProvider wird tatsächlich SPClaimProviderDefinition zurückgegeben - somit haben Sie hier keine Schwierigkeiten.
  2. Die Identität "AD" wird verwendet, da es sich um den internen Namen des Active Directory-Anbieters handelt.

Bei meinen (eingeschränkten) Tests war es nicht einmal notwendig, nach der Änderung den Befehl IISRESET auszuführen. Active Directory wurde einfach nicht mehr in der Liste der Authentifizierungsanbieter im linken Bereich der Personenauswahl angezeigt. Entsprechend wurde der Anbieter unmittelbar nach dem Zurückwechseln wieder angezeigt, ohne IISRESET ausführen zu müssen.

Zum aktuellen Zeitpunkt scheint die größte Einschränkung darin zu liegen, dass diese Einstellung nicht pro Zone erzwungen werden kann, was ideal wäre.  Sobald ich herausfinde, wie das machbar ist, aktualisiere ich diesen Beitrag.

 

 

 

Es handelt sich hierbei um einen übersetzten Blogbeitrag. Sie finden den Originalartikel unter Hiding Default Authentication Providers in SharePoint 2010


Skip to main content