Mapping dei profili degli utenti di SAML con importazione da Active Directory in SharePoint 2013
Articolo originale pubblicato mercoledì 8 agosto 2012
Questo argomento, che acquisisce una particolare importanza in SharePoint 2013, riguarda come verificare che l'applicazione profilo utente sia completamente popolata. In SharePoint 2013 il sistema dei profili utente ricopre un ruolo cruciale per l'infrastruttura OAuth, che consente la corretta esecuzione di determinati scenari di applicazioni attendibili permettendo ad altre applicazioni di agire per conto di un utente. Affinché un'applicazione sia in grado di riconoscere le attività eseguibili da un utente, è necessario acquisire l'elenco di attributi dell'utente in modo da applicare le corrette regole di taglio per la sicurezza. Questa è una panoramica molto generale dell'argomento. Scriverò altri articoli sui profili utente, la sincronizzazione e l'impatto delle varie opzioni di autenticazione in un blog successivo.
Per il momento, è sufficiente sapere che questa procedura è molto importante e deve esser eseguita. Considerando questa importanza e poiché l'autorevole post di Bryan Porter sull'argomento per SharePoint 2010 è stato rimosso da quando il blog è stato trasferito, ho deciso che vale la pena parlarne di nuovo. La buona notizia è che il processo non è eccessivamente complicato se l'importazione viene eseguita da Active Directory, come illustrato in questo post.
La prima cosa da fare consiste nel creare l'oggetto SPTrustedIdentityTokenIssuer; necessario prima che sia possibile configurare l'aspetto dell'importazione dei profili. Al termine, aprire il browser e passare alla pagina di gestione dell'applicazione profilo utente. Fare clic su Configura connessioni di sincronizzazione e quindi sul collegamento per creare un'altra connessione. L'unica differenza rispetto ad altre connessioni di profili con Active Directory è il menu a discesa Tipo provider di autenticazione. In questo menu a discesa selezionare Autenticazione basata su provider di attestazioni attendibili. In questo modo verrà creato il menu a discesa Istanza provider di autenticazione, contenente un elenco di tutti gli oggetti SPTrustedIdentityTokenProvider creati. Selezionare quello da utilizzare con questa connessione di profili e completare i campi relativi a tutte le altre proprietà della connessione come per qualsiasi altra importazione da Active Directory, quindi salvare le modifiche. Ecco una cattura di schermata del mio esempio:
A questo punto, è necessario aggiornare i mapping delle proprietà in modo da indicare a SharePoint il campo da importare, con il valore che verrà utilizzato dagli utenti come attestazione di identità. A questo scopo, tornare nella pagina di gestione dell'applicazione profilo utente e fare clic sul collegamento Gestisci proprietà utente. Scorrere verso il basso fino a individuare e modificare la proprietà Identificatore utente di attestazioni. Se esiste già un valore per Mapping proprietà per la sincronizzazione, eliminarlo. Aggiungere un nuovo valore per il mapping della proprietà da importare da Active Directory come valore di attestazione di identità. Nel mio caso utilizzo l'indirizzo di posta elettronica come attestazione di identità. In Active Directory l'indirizzo di posta elettronica dell'utente viene archiviato nell'attributo denominato "mail". Quindi seleziono la connessione di profili creata in precedenza, digito "mail" nella casella di modifica dell'attributo e faccio clic sul pulsante Aggiungi. Il risultato è il seguente:
Ecco che cosa ottengo al termine:
Le opzioni Identificatore provider di attestazioni e Tipo provider di attestazioni dovrebbero essere impostate automaticamente quando si configura la connessione per l'importazione dei profili.
Abbiamo finito. Ora posso eseguire l'importazione, mentre nel sistema dei profili verrà automaticamente eseguito il mapping del valore di attestazione di identità con la proprietà del nome dell'account. Ecco un esempio di quello che si ottiene dopo l'esecuzione dell'importazione dei profili. Per il nome dell'account, invece di domino\utente viene visualizzato il formato delle attestazioni SAML con l'indirizzo di posta elettronica:
Questo è un post di blog localizzato. L'articolo originale è disponibile in Mapping User Profiles for SAML Users with an AD Import in SharePoint 2013