Configurar o serviço de token de segurança (SharePoint Server 2010)
Aplica-se a: SharePoint Foundation 2010, SharePoint Server 2010
Tópico modificado em: 2016-11-30
Este artigo fornece orientações para você configurar o STS (serviço de token de segurança) do Microsoft SharePoint Server 2010. Um STS é um serviço Web especializado, projetado para responder a solicitações de tokens de segurança e cuidar do gerenciamento de identidades. A funcionalidade central de cada STS é a mesma, mas a natureza das tarefas que cada STS executa depende da função que ele desempenha em relação aos outros serviços Web STS no seu design.
Neste artigo:
Como funcionam os aplicativos Web que usam um STS
Configurar um aplicativo Web baseado em declarações do SharePoint usando o Windows PowerShell
Editar associações
Configurar um aplicativo Web que usa um STS
Como funcionam os aplicativos Web que usam um STS
Aplicativos Web que usam um serviço de token de segurança lidam com solicitações para emitir, gerenciar e validar tokens de segurança. Tokens de segurança consistem em um conjunto de declarações de identidade (como nome de usuário, função ou um identificador anônimo). Tokens podem ser emitidos em diferentes formatos, como tokens SAML. Os tokens de segurança podem ser protegidos com um certificado X.509 para proteger o conteúdo do token em trânsito e permitir a validação de emissores confiáveis. Para obter informações adicionais sobre o Serviço de Token de Segurança, consulte Planejar métodos de autenticação (SharePoint Server 2010).
Um IP-STS (Provedor de Identidade-STS) é um serviço Web que lida com solicitações de declarações de identidade confiáveis. Um IP-STS utiliza um banco de dados conhecido como repositório de identidades para armazenar e gerenciar identidades e seus atributos associados. O repositório de identidades para um provedor de identidade pode ser simples, como uma tabela de banco de dados SQL. Um IP-STS também pode utilizar um repositório de identidades complexo, como o AD DS (Serviços de Domínio Active Directory) ou o AD LDS (Active Directory Lightweight Directory Service).
Um IP-STS está disponível para clientes que desejam criar e gerenciar identidades e para aplicativos de terceira parte confiável que devem validar as identidades apresentadas a eles pelos clientes. Cada IP-STS tem uma relação de confiança federada com e emite tokens para aplicativos Web STS de Terceira Parte Confiável de parceiros de federação, cada um dos quais conhecido como RP-STS. Os clientes podem criar ou provisionar Cartões de Informações gerenciados (usando um seletor de cartões, como o CardSpace), que representam as identidades registradas no IP-STS. Os clientes interagem com o IP-STS quando solicitam tokens de segurança que representam uma identidade contida no repositório de identidades do IP-STS. Após a autenticação, o IP-STS emite um token de segurança confiável que o cliente pode apresentar a um aplicativo de terceira parte confiável. Os aplicativos de terceira parte confiável podem estabelecer relações de confiança com um IP-STS. Isso permite validar os tokens de segurança emitidos por um IP-STS. Depois que a relação de confiança é estabelecida, os aplicativos de terceira parte confiável podem examinar os tokens de segurança apresentados pelos clientes e determinar a validade das declarações de identidade que eles contêm.
Um RP-STS (STS de Terceira Parte Confiável) é um STS que recebe tokens de segurança de um IP-STS de parceiro de federação confiável. Por sua vez, o RP-STS emite novos tokens de segurança a serem consumidos por um aplicativo de terceira parte confiável local. O uso de aplicativos Web RP-STS em federação com aplicativos Web IP-STS permite às empresas oferecer SSO (logon único) da Web a usuários de organizações parceiras. Cada organização continua a gerenciar seus próprios repositórios de identidades.
Configurar um aplicativo Web baseado em declarações do SharePoint usando o Windows PowerShell
Execute os procedimentos a seguir para usar o Windows PowerShell de forma a configurar um aplicativo Web baseado em declarações do SharePoint.
Para configurar um aplicativo Web baseado em declarações do SharePoint usando o Windows PowerShell
Verifique se você atende aos seguintes requisitos mínimos: Consulte Add-SPShellAdmin.
No menu Iniciar, clique em Todos os Programas.
Clique em Produtos do Microsoft SharePoint 2010.
Clique em Shell de Gerenciamento do SharePoint 2010.
No prompt de comando do Windows PowerShell (ou seja, PS C:\>), crie um objeto X509Certificate2, como mostra o exemplo a seguir:
$cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("path to cert file")
Crie um mapeamento de tipo de declaração para uso no provedor de autenticação, como mostra o exemplo a seguir:
New-SPClaimTypeMapping "https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming
Crie um provedor de logon confiável, gerando primeiro um valor para o parâmetro realm, como mostra o exemplo a seguir:
$realm = "urn:" + $env:ComputerName + ":domain-int"
Crie um valor para o parâmetro
signinurl
que apontw para o aplicativo Web, como mostra o exemplo a seguir:$signinurl = "https://test-2/FederationPassive/"
Crie o fornecedor confiável de logon, usando o mesmo valor
IdentifierClaim
que o mapeamento de declarações ($map1.InputClaimType
), como mostra o exemplo a seguir:$ap = New-SPTrustedIdentityTokenIssuer -Name "WIF" -Description "Windows® Identity Foundation" -Realm $realm -ImportTrustCertificate $cert -ClaimsMappings $map1[,$map2..] -SignInUrl $signinurl -IdentifierClaim $map1.InputClaimType
Crie um aplicativo Web gerando primeiro um valor para a conta de pool de aplicativos (para o usuário atual), como mostra o exemplo a seguir:
$account = "DOMAIN\" + $env:UserName
Observação
A conta de pool de aplicativos deve ser uma conta gerenciada. Para criar uma conta gerenciada, use
New-SPManagedAccount
.Crie um valor para a URL do aplicativo Web (
$webappurl = "https://" + $env:ComputerName
), como mostra o exemplo a seguir:$wa = New-SPWebApplication -name "Claims WIF" -SecureSocketsLayer -ApplicationPool "SharePoint SSL" -ApplicationPoolAccount $account -Url $webappurl -Port 443 -AuthenticationProvider $ap
Crie um site gerando primeiro um objeto de declaração, como mostra o exemplo a seguir:
$claim = New-SPClaimsPrincipal -TrustedIdentityTokenIssuerr $ap -Identity $env:UserName
Crie um site, como mostra o exemplo a seguir:
$site = New-SPSite $webappurl -OwnerAlias $claim.ToEncodedString() -template "STS#0"
Editar associações
Depois de configurar um aplicativo Web baseado em declarações do SharePoint, edite as associações.
Para editar associações
Inicie o Gerenciador do IIS digitando INETMGR no prompt de comando.
Acesse o site Aplicativo Web de Declarações no IIS.
No painel esquerdo, clique com o botão direito do mouse em Aplicativo Web de Declarações e selecione Editar Associações.
Selecione https e clique em Editar.
Em Certificado SSL, selecione qualquer certificado listado.
Configurar um aplicativo Web que usa um STS
Depois de configurar um aplicativo Web baseado em declarações do SharePoint Server 2010, editar as associações e configurar o arquivo Web.config, você pode usar o procedimento descrito nesta seção para configurar um aplicativo Web de Serviço de Token de Segurança.
Para configurar um aplicativo Web que usa um STS
Abra o console de gerenciamento do AD FS (Serviços de Federação do Active Directory) 2.0.
No painel esquerdo, expanda Política e selecione Terceiras Partes Confiáveis.
No painel direito, clique em Adicionar Terceira Parte Confiável. Isso abre o assistente de configuração do AD FS (Serviços de Federação do Active Directory) 2.0.
Na primeira página do assistente, clique em Iniciar.
Clique em Inserir manualmente configuração de terceira parte confiável e clique em Avançar.
Digite o nome de uma terceira parte confiável e clique em Avançar.
Verifique se a opção Perfil do Servidor dos Serviços de Federação do Active Directory (AD FS) 2.0 está marcada e clique em Avançar.
Se não estiver planejando usar um certificado de criptografia, clique em Avançar.
Selecione Habilitar suporte para federação de identidade baseada em navegador da Web.
Digite o nome da URL do aplicativo Web e acrescente /_trust/ (por exemplo: https://nomedoservidor/_trust/). Clique em Avançar.
Digite um identificador e clique em Adicionar. Clique em Avançar.
Na página Resumo, clique em Avançar e em Fechar. Isso abre o console de Gerenciamento do Editor de Regras. Use esse console para configurar o mapeamento de declarações de um aplicativo Web LDAP para o SharePoint.
No painel esquerdo, expanda Nova Regra e selecione Regra Predefinida.
Selecione Criar Declarações do Repositório de Atributos LDAP.
No painel direito, na lista suspensa Repositório de Atributos, selecione Repositório Corporativo de Contas de Usuário do Active Directory.
Em Atributo LDAP, selecione sAMAccountName.
Em Tipo de Declaração de Saída, selecione Endereço de Email.
No painel esquerdo, clique em Salvar.