在 SharePoint 2013 中使用 AD 导入映射 SAML 用户的用户配置文件
原文发布于 2012 年 8 月 8 日(星期三)
本主题在 SharePoint 2013 变得非常重要,它可确保您拥有完整填充的用户配置文件应用程序。在 SharePoint 2013 中,用户配置文件系统在 OAuth 基础结构中发挥着关键作用,它支持其他应用程序代表用户执行操作,从而帮助受信任的特定应用程序场景取得成功。为了让应用程序能够“了解”用户可以执行的操作,应用程序必须捕获此用户的属性列表,以便采用适当的安全修整规则。以上只是对此主题的高度概括,我会在后续博客中详细介绍用户配置文件、同步及其对不同身份验证选项的影响。
就目前来说,您仅需知道此主题的重要性与必要性即可。鉴于这一主题的重要性,另外加上自 Bryan Porter 将其博客让位起就缺乏有关 SharePoint 2010 版本及更高版本的精华帖,因此,我觉得有必要继续介绍这方面的内容。幸运的是,如果从 Active Directory 导入用户配置文件(这就是本文要阐述的主要内容),操作并不会十分复杂。
首先,您必须创建 SPTrustedIdentityTokenIssuer。这是您配置用户的配置文件导入的前提条件。创建后,请打开浏览器并导航到您的 UPA 管理页面。单击“配置同步连接”(Configure Synchronization Connections) 链接,然后单击“创建新连接”(Create A New Connection)。与 AD 的任何其他配置文件连接相比,此连接的唯一不同之处在于“验证提供程序类型”(Authentication Provider Type) 下拉列表。在此下拉列表中,您需选择“受信任声明提供程序验证”(Trusted Claims Provider Authentication)。选择后,其下方的“验证提供程序实例”(Authentication Provider Instance) 下拉列表将填充您已创建的所有 SPTrustedIdentityTokenProviders 的列表。仅选择要与此配置文件连接结合使用的提供程序,然后填写通常从 AD 导入的所有其他连接属性,并加以保存。以下是其外观的屏幕截图:
接下来,您必须更新属性映射,以便 SharePoint 知道您正在导入哪个字段,并提供用户用作身份声明的值。为此,请返回“UPA 管理”(UPA Management) 页面,然后单击“管理用户属性”(Manage User Properties) 链接。向下滚动并找到“声明用户标识符”(Claim User Identifier) 属性,然后编辑此属性。如果现已存在“同步的属性映射”(Property Mapping for Synchronization) 值,请将其删除。然后添加新值,将您从 AD 中导入的属性映射为身份声明值。在此示例中,我使用电子邮件地址作为身份声明。而在 AD 中,用户的电子邮件地址将存储在名为“邮件”(mail) 的 AD 属性内。因此,我仅选择自己上述创建的配置文件连接,并在“属性”(Attribute) 编辑框中键入“mail”,然后单击“添加”(Add) 按钮。界面外观如下所示:
执行此操作后,界面外观如下所示:
当您对配置文件导入连接进行配置时,“声明提供程序标识符”(Claim Provider Identifier) 和“声明提供程序类型”(Claim Provider Type) 应当会自动设置。
事实确实如此。现在,我可以执行配置文件导入。此操作会自动将身份声明值映射到配置文件系统中的帐户名称属性。以下是我运行配置文件导入之后的界面外观示例。请注意,系统将使用帐户名称的电子邮件地址来显示 SAML 声明格式,而不会使用此帐户名称的域/用户:
这是一篇本地化的博客文章。 请访问 Mapping User Profiles for SAML Users with an AD Import in SharePoint 2013 以查看原文。