Mapeando Perfis de Usuário para Usuários SAML com uma Importação AD no SharePoint 2013
Artigo original publicado quarta-feira, 08 de agosto de 2012
Esse é um tópico que se torna muito importante no SharePoint 2013, e que está assegurando que você tem um aplicativo de perfil de usuário totalmente populado. No SharePoint 2013, o sistema de perfil de usuário possui um papel crítico na infraestrutura OAuth, que é o que permite que certos cenários de aplicativos confiáveis tenham sucesso ao permitir que outros aplicativos ajam no lugar de um usuário. No entanto, para que um aplicativo seja capaz de "saber" o que um usuário pode fazer, ele precisa capturar a lista de atributos para aquele usuário, para que as regras de filtragem de segurança adequadas possam ser aplicadas. Essa é uma visão muito superficial disso, eu escreverei mais sobre perfis de usuário, sincronização e o impacto em escolhas de autenticação diferentes em um blog mais para frente.
Por enquanto é suficiente saber que é muito importante e precisa ser feito. Dada essa importância, e o fato da publicação seminal do Bryan Porter sobre isso no SharePoint 2010 desapareceu desde que ele moveu o blog dele, eu decidi que valeria a pena cobrir isso novamente. A boa notícia é que não super complicado se você está importando do Active Directory, que é o que essa publicação vai cobrir.
A primeira coisa que você deve fazer é criar seu SPTrustedIdentityTokenIssuer; isso é necessário para que você possa configurar o aspecto de importação de perfil das coisas. Uma vez que isso esteja feito, abra seu navegador e vá até sua página de gerenciamento de UPA. Clique no link Configurar Conexões de Sincronização, e então no link Criar uma Nova Conexão. A única coisa diferente aqui comparado a qualquer outra conexão de perfil ao AD é o menu suspenso Tipo de Provedor de Autenticação. Nesse menu suspenso você deve selecionar Autenticação do Provedor de Declarações Confiável. Ao fazer isso, o menu suspenso de Instância do Provedor de Autenticação abaixo irá popular a lista de todos os SPTrustedIdentityTokenProviders que você criou. Apenas selecione aquele que deve ser usado com esta conexão de perfil e preencha todas as outras propriedades de conxeão como você normalmente faria ara importar do AD e salve. Aqui está uma captura de tela de como ficou o meu:
Uma vez que isso tenha sido feito, a próxima coisa que você precisa fazer é atualizar os mapeamentos de propriedade, para que o SharePoint saiba que campo você está importando e que contém o valor que os usuários irão usar como a declaração de identidade. Para fazer isso, volte à pagina de gerenciamento UPA e clique no link Gerenciar Propriedades do Usuário. Role para baixo e encontre a propriedade Declarar Identidade do Usuário e a edite. Caso haja um valor de Mapeamento de Propriedade para Sincronização existente, o exclua. Adicione um novo valor que mapeie a propriedade que você está importando do AD como o valor de declaração de identidade. No meu caso, estou usando endereço de email como a declaração de identidade, e no AD o endereço de email do usuário é armazenado no atributo do AD chamado “mail”. Portanto, eu apenas selecione a conexão de perfil que eu criei acima, digito "mail" na caixa de edição do Atributo e clico no botão Adicionar. Parece com isso:
Depois que eu termino, é assim que se parece:
Declarar Identidade do Provedor e Declarar Tipo de Provedor devem ser configurados automaticamente quando você configura a conexão de importação de perfil.
Isso é tudo – agora eu posso importar perfis e esses valores de declaração de identidade serão automaticamente mapeados à propriedade de nome de conta no sistema de perfil. Aqui vai um exemplo de como fica depois que eu executei uma informação de perfil. Observe que ao invés de usar domínio\usuário para o nome da conta, está usando um formato de declarações SAML com o endereço de email para o nome da conta:
Esta é uma publicação localizada. Encontre o artigo original em Mapping User Profiles for SAML Users with an AD Import in SharePoint 2013