Partager via


利用 SharePoint 2013 的 AD 匯入來對應 SAML 使用者的使用者設定檔

英文原文已於 2012 年 8 月 8 日星期三發佈

這個主題在 SharePoint 2013 中變得非常重要,可確定您擁有完全填入的使用者設定檔應用程式。在 SharePoint 2013 中,使用者設定檔系統在 OAuth 基礎結構中扮演重要角色,藉由允許其他應用程式代表使用者採取動作,讓某些信任的應用程式案例能夠成功。為了讓應用程式「知道」使用者可以做什麼動作,它需要為該使用者擷取屬性清單,如此一來,即能套用適當的安全性調整規則。這是從 100,000 英尺高度檢視此情況的方式,我將在日後的部落格中撰寫更多關於使用者設定檔、同步處理,以及對於不同驗證選項的影響。

目前知道它非常重要且需要完成就已足夠。考慮到這個功能的重要性,以及 Bryan Porter 撰寫之有關 SharePoint 2010 中這個功能的具發展性文章已消失不見 (因為他搬動了他的部落格) 的事實,所以我決定它是值得再次涵蓋的內容。好消息是如果您是從 Active Directory 匯出,它並不是非常複雜,而這正是這篇文章將涵蓋的範圍。 

首先應該做的事是建立您的 SPTrustedIdentityTokenIssuer;您需要有這個項目,才能設定設定檔匯入方面的事項。一旦完成之後,請開啟您的瀏覽器,並導覽至 UPA 管理頁面。按一下 [設定同步處理連線] 連結,然後按一下連至 [建立新的連線] 的連結。相較於任何其他與 AD 的設定檔連線,此處唯一不同的是 [驗證提供者類型] (Authentication Provider Type) 下拉式清單。在這個下拉式清單中,您要選取 [信任的宣告提供者驗證] (Trusted Claims Provider Authentication)。當您這樣做時,下方的 [驗證提供者執行個體] (authentication Provider Instance) 下拉式清單將會填入您已建立之所有 SPTrustedIdentityTokenProviders 的清單。只需選取應該與這個設定檔連線搭配使用的項目,然後填寫所有其他的連線屬性,就像通常您用來從 AD 匯入並儲存它一樣。以下是我的螢幕擷取畫面看起來的樣子:

 

一旦完成之後,接下來需要做的是更新屬性對應,讓 SharePoint 知道您正在匯入的哪一個欄位會包含使用者將用來做為身分識別宣告的值。若要執行此動作,請返回 UPA 管理頁面,然後按一下 [管理使用者屬性] 連結。向下捲動並尋找 [宣告使用者識別碼] 屬性,然後編輯它。如果有適用於 [同步處理] 值的 [屬性對應] 存在,請刪除它。 新增一個新項目,對應您從 AD 匯入的屬性以做為身分識別宣告值。在我的案例中,我使用電子郵件地址做為身分識別宣告,而且在 AD 中,使用者的電子郵件地址是儲存於名為 [mail] 的 AD 屬性中。因此,只需選取我在前述內容中建立的設定檔連線、在 [屬性] (Attribute) 編輯方塊中輸入 “mail” ,然後按一下 [新增] (Add) 按鈕。它看起來應該如下:

當我完成之後,它會看起來如下:

當您設定設定檔匯入連線時,[宣告提供者識別碼] (Claim Provider Identifier) 和 [宣告提供者類型] (Claim Provider Type) 應該會自動設定。

就是這樣 - 現在我可以執行設定檔匯入,而它會自動將該身分識別宣告值對應至設定檔系統中的帳戶名稱屬性。以下範例是當我執行設定檔匯入之後它看起來的樣子。請注意,與其針對帳戶名稱使用網域\使用者,它會使用帳戶名稱的電子郵件地址來顯示 SAML 宣告格式:

這是翻譯後的部落格文章。英文原文請參閱 Mapping User Profiles for SAML Users with an AD Import in SharePoint 2013