Como configurar o AD FS v 2.0 no SharePoint Foundation 2010
Aplica-se a: SharePoint Foundation 2010
Tópico modificado em: 2016-11-30
Os procedimentos neste artigo descrevem como configurar o AD FS (Serviços de Federação do Active Directory) versão 2.0 no Microsoft SharePoint Foundation 2010.
É possível usar oAD FS 2.0 com o sistema operacional Windows Server 2008 a fim de construir uma solução de gerenciamento de identidade federada que amplia os serviços de identificação distribuída, autenticação e autorização para aplicativos com base na Web em organizações e limites de plataforma. Implantando o AD FS 2.0, é possível ampliar os recursos de gerenciamento de identidade existentes em sua organização para a Internet.
Neste artigo, o AD FS v2 é nosso provedor de identidade, também conhecido como IP-STS (Security Token Service). O AD FS fornecerá autenticação com base em declarações. Para começar, o AD FS precisa ser configurado com informações sobre nossa terceira parte confiável, nesse caso o SharePoint Foundation 2010. A partir da perspectiva do Produtos do Microsoft SharePoint 2010, o AD FS precisa ser configurado para confiar no IP-STS, ou seja, enviar um mapeamento com base em declarações. Finalmente, um aplicativo da Web e conjunto de sites são nível de autenticação com base em declarações.
Observação
Você precisa instalar e configurar um servidor executando o AD FS 2.0 antes de realizar os procedimentos neste artigo. Para obter informações sobre como configurar um servidor para executar o AD FS 2.0, consulte o Guia de implantação do AD FS 2.0 (https://go.microsoft.com/fwlink/?linkid=191723&clcid=0x416).
O vídeo a seguir ilustra o processo detalhado que configura o Serviços de Federação do Active Directory versão 2.0 (AD FS) no Microsoft SharePoint Foundation 2010.
Tempo de execução: 09:43:00 |
Assista ao vídeo " Configure SharePoint Server 2010 with AD FS trusted claims" Para obter a melhor experiência de exibição, baixe o vídeo "Configure SharePoint Server 2010 with AD FS trusted claims ". Clique com o botão direito do mouse no link e clique em Salvar Destino Como para baixar uma cópia. Quando você clicar no link, um arquivo .wmv será aberto no visualizador de vídeo padrão para visualização de resolução máxima. |
Neste artigo:
Configurar uma terceira parte confiável
Configurar a regra de declaração
Exportar o certificado de assinatura de token
Exportando múltiplos certificados pai
Importar um certificado de assinatura de token usando o Windows PowerShell
Definir um identificador exclusivo para mapeamento de declarações usando o Windows PowerShell
Criar um novo provedor de autenticação
Associar um aplicativo da Web a um provedor de identidade confiável
Criar um conjunto de sites
Observação
As etapas listadas neste artigo precisam ser concluídas em ordem consecutiva.
Configurar uma terceira parte confiável
Use o procedimento descrito nesta seção para configurar uma terceira parte confiável. A terceira parte confiável define como o AD FS reconhece essa terceira parte e emite declarações para ela.
Para configurar uma terceira parte confiável
Verifique se a conta de usuário que está executando esse procedimento é membro do grupo Administradores no computador local. Para obter informações adicionais sobre contas e associações de grupo, consulte Local and Domain Default Groups.
Abra o console de Gerenciamento dos AD_FS 2.0.
No painel esquerdo, expanda Relações de Confiança e clique duas vezes na pasta Confianças da Terceira Parte Confiável.
No painel direito, clique em Adicionar Confiança de Terceira Parte Confiável. Isso abre o assistente de configuração do AD FS 2.0.
Na página Bem-vindo ao Assistente de Adição de Confiança de Terceira Parte Confiável, clique em Iniciar.
SelecioneInserir dados sobre a terceira parte confiável manualmente e clique em Avançar.
Digite o nome de uma terceira parte confiável e clique em Avançar.
Certifique-se de que Perfil do Active Directory Federation Services (AD FS) 2.0 esteja selecionado e clique em Avançar.
Não use um certificado de criptografia. Clique em Avançar.
Clique para marcar a caixa de seleção Habilitar o suporte para o protocolo WS-Federation Passive.
No campo URL do protocolo WS-Federation Passive, digite o nome do URL do aplicativo da web e anexe /_trust/ (por exemplo, https://WebAppName/_trust/). Clique em Avançar.
Observação
O nome do URL precisa usar SSL (Secure Socket Layer).
Digite o nome do identificador de confiança da terceira parte confiável (por exemplo, urn:sharepoint:WebAppName) e clique em Adicionar. Clique em Avançar.
Selecione Permitir que todos os usuários acessem essa terceira parte confiável. Clique em Avançar.
Na página Pronto para Adicionar a Confiança, nenhuma ação é necessária, clique em Avançar.
Na página Concluir, clique em Fechar. Isso abre o console de Gerenciamento do Editor de Regras. Use esse console para configurar o mapeamento de declarações de um aplicativo da web LDAP para o SharePoint Foundation 2010.
Configurar a regra de declaração
Use o procedimento descrito nesta etapa para enviar valores de um atributo LDAP (Lightweight Directory Access Protocol) como declarações e especificar como os atributos mapearão para o tipo de declaração de saída.
Para configurar uma regra de declaração
Verifique se a conta de usuário que está executando esse procedimento é membro do grupo Administradores no computador local. Para obter informações adicionais sobre contas e associações de grupo, consulte Local and Domain Default Groups.
Na guia Regras de Transformação de Emissão, clique em Adicionar Regra.
Na página Selecionar Modelo de Regra, selecione Enviar Atributos LDAP como Declarações. Clique em Avançar.
Na página Regra de Configuração, digite o nome da regra de declaração no campo Nome da regra de declaração.
Na lista suspensa Repositório de Atributos, selecione Active Directory.
Na seção Mapeamento dos atributos LDAP para tipos de declarações de saída, em Atributo LDAP, selecione Endereços de e-mail.
Em Tipo de Declaração de Saída, selecione Endereço de Email.
Em Atributo LDAP, selecione Grupos de Token-Nomes não Qualificados.
Em Tipo de Declaração de Saída, selecione Função.
Clique em Concluir e em OK.
Exportar o certificado de assinatura de token
Use o procedimento nesta seção para exportar o certificado de assinatura de token do Servidor AD FS com o qual você deseja estabelecer uma relação de confiança, e copie o certificado para um local que o SharePoint Foundation 2010 possa acessar.
Para exportar um certificado de assinatura de token
Verifique se a conta de usuário que está executando esse procedimento é membro do grupo Administradores no computador local. Para obter informações adicionais sobre contas e associações de grupo, consulte Local and Domain Default Groups.
Abra o console de Gerenciamento dos AD_FS 2.0.
No painel esquerdo, clique para expandir Serviço e clique na pasta Certificados.
Em Assinatura de token, clique no certificado de token primário, conforme indicado na coluna Primário.
No painel direito, clique em Exibir link do certificado. Isso exibe as propriedades do certificado.
Clique na guia Detalhes.
Clique em Copiar para Arquivo. Isso inicia o Assistente de Exportação de Certificado.
Na página Bem-vindo ao Assistente para Exportação de Certificados, clique em Avançar.
Na página Exportar Chave Privada, clique em Não, não exportar a chave privada e clique em Avançar.
Na página Exportar Formato de Arquivo, selecione X.509 binário codificado por DER (.cer) e clique em Avançar.
Na página Arquivo para Exportação, digite o nome e o local do arquivo que você deseja exportar e clique em Avançar. Por exemplo, insira C:\ADFS.cer.
Na página Concluindo o Assistente para Exportação de Certificados, clique em Concluir.
Exportando múltiplos certificados pai
Para completar a configuração do Servidor AD FS, copie o arquivo .CER no computador que está executando o AD FS.
O certificado de assinatura de token pode ter um ou mais certificados pai em sua cadeia. Se tiver, cada certificado nessa cadeia precisa ser adicionado à lista do SharePoint Foundation de autoridades raiz confiáveis.
Para determinar se há um ou mais certificados pai, use as seguintes etapas.
Observação
Essas etapas devem ser repetidas até que todos os certificados tenham sido exportados até o certificado de autoridade raiz.
Para exportar múltiplos certificados pai
Verifique se a conta de usuário que está executando esse procedimento é membro do grupo Administradores no computador local. Para obter informações adicionais sobre contas e associações de grupo, consulte Local and Domain Default Groups.
Abra o console de Gerenciamento dos AD_FS 2.0.
No painel esquerdo, clique para expandir Serviço e clique na pasta Certificados.
Em Assinatura de token, clique no certificado de token primário, conforme indicado na coluna Primário.
No painel direito, clique em Exibir link do certificado. Isso exibe as propriedades do certificado.
Clique na guia Certificação.
Isso exibe quaisquer outros certificados na cadeia.
Clique na guia Detalhes.
Clique em Copiar para Arquivo. Isso inicia o Assistente de Exportação de Certificado.
Na página Bem-vindo ao Assistente para Exportação de Certificados, clique em Avançar.
Na página Exportar Chave Privada, clique em Não, não exportar a chave privada e clique em Avançar.
Na página Exportar Formato de Arquivo, selecione X.509 binário codificado por DER (.cer) e clique em Avançar.
Na página Arquivo para Exportação, digite o nome e o local do arquivo que você deseja exportar e clique em Avançar. Por exemplo, insira C:\ADFS.cer.
Na página Concluindo o Assistente para Exportação de Certificados, clique em Concluir.
Importar um certificado de assinatura de token usando o Windows PowerShell
Use esta seção para importar os certificados de assinatura de token para a lista de autoridades raiz confiáveis que residem no servidor SharePoint. Essa etapa deve ser repetida para cada certificado de assinatura de token na cadeia até que a autoridade de certificado raiz seja alcançada.
Para importar um certificado de assinatura de token usando o Windows PowerShell
Verifique se você atende aos seguintes requisitos mínimos: Consulte Add-SPShellAdmin.
No menu Iniciar, clique em Todos os Programas.
Clique em Produtos do Microsoft SharePoint 2010.
Clique em Shell de Gerenciamento do SharePoint 2010.
No prompt de comando do Windows PowerShell, importe o certificado pai do certificado de assinatura do token (ou seja, o certificado de autoridade raiz), como mostra a seguinte sintaxe:
$root = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("C:\adfsParent.cer") New-SPTrustedRootAuthority -Name "Token Signing Cert Parent" -Certificate $root
No prompt de comando do Windows PowerShell, importe o certificado de assinatura de token copiado do servidor AD FS, como mostra a seguinte sintaxe:
$cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("C:\adfs.cer ") New-SPTrustedRootAuthority -Name "Token Signing Cert" -Certificate $cert
Para obter informações adicionais sobre o cmdlet New-SPTrustedRootAuthority, consulte New-SPTrustedRootAuthority
Definir um identificador exclusivo para mapeamento de declarações usando o Windows PowerShell
Use o procedimento nesta seção para definir um identificador exclusivo para mapeamento de declarações. Normalmente, essas informações estão na forma de um endereço de e-mail e o administrador do STS confiável terá que fornecer essas informações, pois somente o proprietário do STS sabe qual tipo de declaração será sempre exclusivo para cada usuário.
Para definir um identificador exclusivo para mapeamento de declarações usando o Windows PowerShell
Verifique se você atende aos seguintes requisitos mínimos: Consulte Add-SPShellAdmin.
No menu Iniciar, clique em Todos os Programas.
Clique em Produtos do Microsoft SharePoint 2010.
Clique em Shell de Gerenciamento do SharePoint 2010.
No prompt de comando do Windows PowerShell, crie um mapeamento de declaração de identidade, como mostrado na sintaxe a seguir:
$map = New-SPClaimTypeMapping -IncomingClaimType "https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming
No prompt de comando do Windows PowerShell, crie um mapeamento de declaração de função, como mostrado na sintaxe a seguir:
$map2 = New-SPClaimTypeMapping -IncomingClaimType "https://schemas.microsoft.com/ws/2008/06/identity/claims/role" -IncomingClaimTypeDisplayName "Role" -SameAsIncoming
Para obter informações adicionais sobre o cmdlet New-SPClaimTypeMapping, consulte New-SPClaimTypeMapping
Criar um novo provedor de autenticação
Use o procedimento nesta seção para criar um novo SPTrustedIdentityTokenIssuer.
Para criar um novo provedor de autenticação usando o Windows PowerShell
Verifique se você atende aos seguintes requisitos mínimos: Consulte Add-SPShellAdmin.
No menu Iniciar, clique em Todos os Programas.
Clique em Produtos do Microsoft SharePoint 2010.
Clique em Shell de Gerenciamento do SharePoint 2010.
No prompt de comando do Windows PowerShell, crie um novo provedor de autenticação, como mostra a sintaxe a seguir.
Observação
A variável
$realm
define o STS confiável que identifica um farm específico do SharePoint e a variável$cert
é a usada na seção Importar um certificado de assinatura de token usando o Windows PowerShell. O parâmetro SignInUrl serve para o servidor AD FS.$realm = "urn:sharepoint:WebAppName" $ap = New-SPTrustedIdentityTokenIssuer -Name "SAML Provider" -Description "SharePoint secured by SAML" -realm $realm -ImportTrustCertificate $cert -ClaimsMappings $map,$map2 -SignInUrl "https://congen1.contoso.local/adfs/ls" -IdentifierClaim "https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"
Para obter informações adicionais sobre o cmdlet New-SPTrustedIdentityTokenIssuer, consulte New-SPTrustedIdentityTokenIssuer
Associar um aplicativo da web a um provedor de identidade confiável
Para configurar um aplicativo da web existente para usar a assinatura SAML, o provedor de identidade confiável na seção do tipo de autenticação das declarações precisa ser modificado.
Para configurar um aplicativo da web existente para usar o Provedor SAML
Verifique se a conta de usuário que está executando esse procedimento é membro do grupo Administradores de Farm do SharePoint.
Na home page da Administração Central, clique em Gerenciamento de Aplicativos.
Na página Gerenciamento de Aplicativos, na seção Aplicativos da Web, clique em Gerenciar aplicativos da web.
Clique para selecionar o aplicativo da web apropriado.
Na faixa de opções, clique em Provedores de Autenticação.
Em Zona, clique no nome da zona. Por exemplo, Padrão.
Na página Editar Autenticação na seção Tipos de Autenticação de Declarações, marque a nova caixa de seleção Nome do provedor de Identidade confiável.
Se você precisar criar um aplicativo da web e configurá-lo para usar a assinatura SAML, consulte Criar um novo aplicativo Web do SharePoint e configurá-lo para usar a entrada SAML.
Criar um conjunto de sites
Como etapa final, crie um conjunto de sites do SharePoint e atribua um proprietário. Lembre-se de que ao adicionar um administrador do conjunto de sites, é necessário inserir o nome no formato de sua declaração de identidade. Por exemplo, neste artigo, a declaração de identidade é um endereço de e-mail. Para obter mais informações, consulte Criar um conjunto de sites (SharePoint Foundation 2010).