Einer der grossen Vorteile von SharePoint Online – nebst vielen weiteren – ist die Tatsache, dass die Collaboration mit externen Personen sehr einfach und komfortabel realisiert werden kann. Mittels E-Mail-Adresse kann eine beliebige Person auf den eigenen Tenant eingeladen und anschliessend zielgenau berechtigt werden. Sofern die nötigen Voraussetzungen wie beispielsweise der Gastzugriff aktiviert sind, dauert dieses Prozedere nur wenige Minuten. Die technischen Voraussetzungen dafür schafft Microsoft, wir müssen uns also um nichts mehr kümmern.
Wird nun stattdessen eine lokal betriebene SharePoint Instanz, wie bspw. die Version 2019 eingesetzt, so ist die Zusammenarbeit mit externen nicht ganz so komfortabel.
Windows Authentifizierung und Benutzer im internen Active Directory erfassen
Bis anhin wurde dieses Vorhaben oft wie folgt umgesetzt. Ein externer Benutzer, nennen wir ihn Mr. Collaboration, wurde im internen Active Directory des jeweiligen Unternehmens erfasst und als solchen gekennzeichnet. Sein Login könnte entsprechend wie folgt daherkommen:
DOMAIN\ext-mr.collaboration
Damit dieser überhaupt ins Netzwerk und somit auch auf den SharePoint Server des Gegenübers zugreifen kann, muss er zuerst einen VPN-Tunnel aufbauen oder via Browser auf eine Citrix Plattform connecten und sich dort authentifizieren. Um nach dem Zugriff via Citrix auch an Dokumenten mitwirken und diese bearbeiten zu können, benötigt er zusätzliche Applikationen wie beispielsweise Word oder Excel, welche der Betreiber zur Verfügung stellen muss, da er sich ja in einem «fremden» Netzt befindet und somit keinen Zugriff auf seine eigenen Ressourcen wie die eigene Office-Suite, etc. hat.
HINWEIS: Selbstverständlich gibt und gab es auch schon immer andere Möglichkeiten, um mit externen Personen zusammenzuarbeiten. Beispielsweise mittels Einsatz von ADFS (Active Directory Federation Services), was jedoch zusätzliche Server und Konfigurationsarbeiten mit sich zieht. Die meisten Auftraggeber-Firmen von IOZ lösten die Anforderung bis anhin mit dem oben genannten Setup eines zusätzlichen Benutzers im internen Active Directory.
Da die Benutzer einen internen Account bekommen, müssen diese auch lizenziert und mit einem entsprechenden SharePoint User CAL ausgestattet werden.
Implementierung von Azure Active Directory als zusätzliche Authentifizierungsstelle
Voraussetzungen
- Ein Azure Active Directory (Tenant)
- SharePoint 2013 Farm oder neuer
Die genaue Einrichtung sowie die nötigen Anpassungen werden in diesem Beitrag nicht behandelt. Grundsätzlich kann man sich dabei aber an den Microsoft Artikel zum Thema halten.
Funktion
Nachdem der zusätzliche Authentifizierungsanbieter (Azure AD) eingerichtet ist, steht dieser auf der gewünschten Web Application zur Verfügung.
Damit nun das Gegenüber auch auf dem SharePoint berechtigt werden kann und dieser somit Zugang erhält, muss die Person mittels E-Mail-Adresse auf dem Tenant hinzugefügt werden. Damit diese Person die persönliche E-Mail-Adresse wie beispielsweise sandro.ineichen[ät]ioz.ch verwenden und somit für das Login gebrauchen kann, muss sie als Gastbenutzer auf dem Tenant hinzugefügt werden.
Sobald dies erledigt ist, steht der User oder die Userin im People Picker zur Verfügung und kann entsprechend berechtigt werden.
HINWEIS: Im Standard ist das Verhalten bezüglich People Picker leider etwas unschön und kann zu Fehlern führen. Gibt ein Benutzer den entsprechenden Namen ein, so wird die Person mehrmals aufgeführt, jedoch ist nur eines der aufgelisteten Objekte auch wirklich das entsprechende Userobjekt mit dem Claim type! Um dies zu umgehen und Fehler zu vermeiden, kann die Open-Source-Lösung Azure CP eingesetzt werden.
Loginverhalten
Sofern die nötigen DNS-Einträge, etc. konfiguriert und die Seite von extern erreichbar ist, kann diese via Browser geöffnet werden. Der Benutzer oder die Benutzerin erhält nun eine Abfrage bezüglich Authentifizierungsanbieter, bei welcher er oder sie nun Azure AD als Authentifizierungsstelle auswählt.
Sofern der externe Benutzer sich bereits mit dem Login in Azure angemeldet hat und somit bereits authentifiziert ist, gelangt er ohne Umwege auf die entsprechende SharePoint Seite (Single sign-on).
HINWEIS: Sobald auf einer Web Application zwei oder mehrere Authentifizierungsanbieter aktiv sind, so erscheint die Auswahl bezüglich Authentifizierungsstelle bei sämtlichen Benutzern, welche auf die Seite zugreifen möchten (Auch bei internen AD-Benutzern). Um dies zu verhindern, können beispielsweise unterschiedliche Zonen definiert und pro Zone ein default Authentication Provider konfiguriert werden. Als weitere Option kann die Open-Source-Lösung SPBypassLoginPage von GitHub installiert und konfiguriert werden. Mithilfe dieser Lösung lassen sich zusätzliche Parameter wie beispielsweise das forcieren von Windows Authentifizierung von gewissen IP-Adressen aus konfigurieren.
Fazit
Mit der Anbindung von Azure Active Directory als zusätzlicher Authentifizierungsprovider in einer SharePoint on-premises Farm lässt sich die Collaboration mit externen Personen vereinfachen. Der initiale Aufwand für das Einrichten hält sich dabei in Grenzen, wobei die eine oder andere Funktion ohne die Open-Source-Lösungen nicht oder nur ungenügend zur Verfügung stehen. Ist der Einsatz von SharePoint Online aus Gründen nicht oder noch nicht möglich, so kann dieses Setup einen echten Mehrwert mit relativ überschaubarem Aufwand bieten!
Beitrag teilen
Geschrieben von
Sandro Ineichen
Projektleiter
Profil anzeigen