Способы настройки AD FS v 2.0 в SharePoint Server 2010
Применимо к: SharePoint Foundation 2010, SharePoint Server 2010
Последнее изменение раздела: 2016-12-08
Процедуры в этой статье описывают службы федерации Active Directory версии 2.0 (AD FS) в Microsoft SharePoint Server 2010.
Можно использовать службы федерации Active Directory (AD FS) 2.0 с ОС Windows Server 2008 для построения федеративного решения для управления удостоверениями, расширяющего возможности распределенных служб идентификации, проверки подлинности и авторизации в веб-приложениях в масштабах организации и платформы. Путем развертывания AD FS 2.0 можно обеспечить использование возможностей Интернета в существующей системе управления удостоверениями в организации с учетом возможностей Интернета.
В этой статье AD FS v2 является поставщиком удостоверений, также известным как IP-STS (служба маркеров безопасности). AD FS предоставляет проверку подлинности на основе утверждений. Для начала AD FS необходимо настроить, используя данные о проверяющей стороне (в этом случае SharePoint Server 2010). В отношении продуктов Продукты Microsoft SharePoint 2013 для AD FS необходимо настроить доверие к службе маркеров безопасности поставщика удостоверений, который выполняет отправку сопоставлений на основе утверждений. И наконец, создается веб-приложение и семейство веб-сайтов, которые будут использовать уровень проверки подлинности на основе утверждений.
Примечание
Перед выполнением процедур, описанных в данной статье, необходимо установить и настроить сервер, на котором запущены федеративные службы Active Directory (AD FS) 2.0. Сведения о настройке сервера для запуска AD FS 2.0 см. в руководстве по развертыванию AD FS 2.0 (Возможно, на английском языке) (https://go.microsoft.com/fwlink/?linkid=191723&clcid=0x419) (Возможно, на английском языке).
В следующей видеозаписи подробно демонстрируется настройка служб федерации Active Directory версии 2.0 (AD FS) в Microsoft SharePoint Server 2010.
Продолжительность: 9:43 |
Для оптимизации просмотра загрузите видеозапись "Настройка SharePoint Server 2010 с помощью надежных утверждений служб федерации Active Directory". Щелкните ссылку правой кнопкой мыши и выберите команду Сохранить как, чтобы загрузить копию. При щелчке ссылки левой кнопкой мыши видеозапись откроется в виде WMV-файла в проигрывателе по умолчанию и в полноэкранном режиме. |
Содержание:
Настройка проверяющей стороны
Настройка правила утверждений
Экспорт сертификата для подписи маркера
Экспорт нескольких родительских сертификатов
Импорт сертификата для подписи маркера с помощью Windows PowerShell
Определение уникального идентификатора для сопоставления утверждений с помощью Windows PowerShell
Создание нового поставщика проверки подлинности
Привязка веб-приложения к доверенному поставщику удостоверений
Создание семейства веб-сайтов
Примечание
Шаги, указанные в данной статье, необходимо выполнять по порядку.
Настройка проверяющей стороны
Используйте процедуру, описанную в данном разделе, для настройки проверяющей стороны. Проверяющая сторона определяет способ, которым AD FS распознает проверяющую сторону и создает утверждения для нее.
Настройка проверяющей стороны
Убедитесь в том, что учетная запись пользователя, от имени которого выполняется процедура, принадлежит к группе "Администраторы" на локальном компьютере. Дополнительные сведения об учетных записях и членстве в группах см. в статье Local and Domain Default Groups
Откройте консоль управления служб федерации Active Directory (AD FS) 2.0.
В области слева разверните узел Отношения доверия и дважды щелкните папку Отношения доверия проверяющей стороны.
В области справа щелкните Добавить отношение доверия для проверяющей стороны. Откроется мастер конфигурации федеративных служб Active Directory (AD FS) 2.0.
На странице приветствия мастера добавления отношений доверия для проверяющей стороны щелкните Начать.
Выберите Вручную ввести данные о проверяющей стороне и нажмите кнопку Далее.
Введите имя принимающей стороны и нажмите кнопку Далее.
Убедитесь в том, что выбран Профиль федеративных служб Active Directory (AD FS) 2.0, и нажмите кнопку Далее.
Не используйте сертификат шифрования. Нажмите кнопку Далее.
Щелкните, чтобы установить флажок Включить поддержку пассивного протокола WS-Federation.
В поле URL-адрес пассивного протокола WS-Federation укажите имя URL-адреса веб-приложения и добавьте в конце /_trust/ (например, https://WebAppName/_trust/). Нажмите кнопку Далее.
Примечание
Имя URL-адреса должно использовать протокол SSL.
Укажите имя идентификатора отношения доверия проверяющей стороны (например, urn:sharepoint:WebAppName) и нажмите Добавить. Нажмите кнопку Далее.
Выберите Разрешить всем пользователям доступ к этой проверяющей стороне. Нажмите кнопку Далее.
На странице готовности к добавлению отношения доверия не нужно выполнять никаких действий. Просто нажмите кнопку Далее.
На странице завершения операции нажмите Закрыть. Консоль управления редактированием правил будет закрыта. Используйте эту консоль для настройки сопоставления утверждений из веб-приложения LDAP в SharePoint Server 2010.
Настройка правила утверждений
С помощью процедуры, описанной в этом шаге, можно отправлять значения атрибута протокола LDAP в виде утверждений и определять способы сопоставления атрибутов с типом исходящих утверждений.
Чтобы настроить правило утверждений, выполните следующие действия:
Убедитесь в том, что учетная запись пользователя, от имени которого выполняется процедура, принадлежит к группе "Администраторы" на локальном компьютере. Дополнительные сведения об учетных записях и членстве в группах см. в статье Local and Domain Default Groups
На вкладке Правила преобразования выдачи выберите Добавить правило.
На странице выбора шаблона правила выберите Отправлять атрибуты LDAP в виде утверждений. Нажмите кнопку Далее.
На странице настройки правила введите имя правила утверждений в поле Имя правила утверждений.
В раскрывающемся списке Хранилище атрибутов выберите Active Directory.
В разделе Сопоставление атрибутов LDAP с типами исходящих утверждений на вкладке Атрибут LDAP выберите Адреса электронной почты.
В разделе Тип исходящего утверждения выберите Адрес электронной почты.
На вкладке Атрибут LDAP выберите Группы маркеров – неизвестные имена
В разделе Тип исходящего утверждения выберите Роль.
Нажмите Готово, а затем — ОК.
Экспорт сертификата для подписи маркера
С помощью процедуры, описанной в этом разделе, можно экспортировать сертификат для подписи маркера сервера AD FS, с которым необходимо установить отношения доверия, и затем скопировать сертификат в расположение, доступное для SharePoint Server 2010.
Чтобы экспортировать сертификат для подписи маркера, выполните следующие действия:
Убедитесь в том, что учетная запись пользователя, от имени которого выполняется процедура, принадлежит к группе "Администраторы" на локальном компьютере. Дополнительные сведения об учетных записях и членстве в группах см. в статье Local and Domain Default Groups
Откройте консоль управления служб федерации Active Directory (AD FS) 2.0.
В области слева разверните узел Служба и щелкните папку Сертификаты.
В разделе Подпись маркера щелкните сертификат основного маркера, указанного в столбце "Основные".
В области справа щелкните Просмотр ссылки на сертификат. Отобразятся свойства сертификата.
Щелкните вкладку Подробно.
Нажмите Копировать в файл. Откроется мастер экспорта сертификатов.
На странице мастера экспорта сертификатов нажмите кнопку Далее.
На странице экспорта закрытых ключей выберите Не экспортировать закрытый ключ и нажмите кнопку Далее.
На странице формата экспортируемого файла выберите Файлы в DER-кодировке X.509 (.CER) и нажмите кнопку Далее.
На странице "Экспортируемый файл" укажите имя и расположение файла, который необходимо экспортировать, после чего нажмите кнопку Далее. Например, C:\ADFS.cer.
На странице завершения работы мастера экспорта сертификатов нажмите кнопку Готово.
Экспорт нескольких родительских сертификатов
Для завершения настройки сервера AD FS скопируйте файл с расширением CER на компьютер, где запущена служба AD FS.
В цепочке сертификатов для подписи маркера может содержаться один или несколько родительских сертификатов. В этом случае каждый сертификат в такой цепочке следует добавить в список SharePoint Server доверенных корневых центров.
Чтобы выявить наличие одного или нескольких родительских сертификатов, выполните следующие действия.
Примечание
Эти шаги необходимо выполнять до тех пор, пока все сертификаты не будут экспортированы в сертификат корневого центра сертификации.
Экспорт нескольких родительских сертификатов
Убедитесь в том, что учетная запись пользователя, от имени которого выполняется процедура, принадлежит к группе "Администраторы" на локальном компьютере. Дополнительные сведения об учетных записях и членстве в группах см. в статье Local and Domain Default Groups
Откройте консоль управления служб федерации Active Directory (AD FS) 2.0.
В области слева разверните узел Служба и щелкните папку Сертификаты.
В разделе Подпись маркера щелкните сертификат основного маркера, указанного в столбце "Основные".
В области справа щелкните Просмотр ссылки на сертификат. Отобразятся свойства сертификата.
Перейдите на вкладку Сертификация.
Отобразятся все остальные сертификаты в цепочке.
Щелкните вкладку Подробно.
Нажмите Копировать в файл. Откроется мастер экспорта сертификатов.
На странице мастера экспорта сертификатов нажмите кнопку Далее.
На странице экспорта закрытых ключей выберите Не экспортировать закрытый ключ и нажмите кнопку Далее.
На странице "Формат экспортируемого файла" выберите Файлы в DER-кодировке X.509 (.CER) и нажмите кнопку Далее.
На странице "Экспортируемый файл" укажите имя и расположение файла, который необходимо экспортировать, после чего нажмите кнопку Далее. Например, C:\ADFS.cer.
На странице завершения работы мастера экспорта сертификатов нажмите кнопку Готово.
Импорт сертификата для подписи маркера с помощью Windows PowerShell
С помощью этого раздела можно импортировать сертификаты для подписи маркеров в список доверенных корневых центров сертификации, размещенных на сервере SharePoint. Этот этап необходимо выполнять для каждого сертификата для подписи маркеров в цепочке, пока не будет достигнут корневой центр сертификации.
Чтобы импортировать сертификат для подписи маркера с помощью Windows PowerShell, выполните следующие действия:
Убедитесь, что удовлетворяются следующие минимальные требования: См. статью Add-SPShellAdmin.
В меню Пуск выберите пункт Все программы.
Выберите пункт Продукты Microsoft SharePoint 2010.
Щелкните компонент Командная консоль SharePoint 2010.
В командной строке Windows PowerShell импортируйте родительский сертификат сертификата для подписи маркера (то есть, сертификат корневого центра сертификации), как показано в следующем примере кода:
$root = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("C:\adfsParent.cer") New-SPTrustedRootAuthority -Name "Token Signing Cert Parent" -Certificate $root
В командной строке Windows PowerShell импортируйте сертификат для подписи маркера, который скопирован с сервера AD FS, как показано в следующем примере кода:
$cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("C:\adfs.cer ") New-SPTrustedRootAuthority -Name "Token Signing Cert" -Certificate $cert
Дополнительные сведения о командлете New-SPTrustedRootAuthority см. в статье New-SPTrustedRootAuthority
Определение уникального идентификатора для сопоставления утверждений с помощью Windows PowerShell
С помощью процедуры, представленной в этом разделе, можно определить уникальный идентификатор для сопоставления утверждений. Как правило, эти данные представлены в виде адреса электронной почты. Эти данные предоставляются администратором доверенной службы маркеров безопасности, так как только владелец службы маркеров безопасности знает, какой тип утверждения будет всегда уникальным для каждого из пользователей.
Порядок определения уникального идентификатора для сопоставления утверждений с помощью Windows PowerShell
Убедитесь, что удовлетворяются следующие минимальные требования: См. статью Add-SPShellAdmin.
В меню Пуск выберите пункт Все программы.
Выберите пункт Продукты Microsoft SharePoint 2010.
Щелкните компонент Командная консоль SharePoint 2010.
В командной строке Windows PowerShell создайте сопоставление утверждения удостоверения, как показано в следующем примере кода:
$map = New-SPClaimTypeMapping -IncomingClaimType "https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming
В командной строке Windows PowerShell создайте сопоставление утверждения роли, как показано в следующем примере кода:
$map2 = New-SPClaimTypeMapping -IncomingClaimType "https://schemas.microsoft.com/ws/2008/06/identity/claims/role" -IncomingClaimTypeDisplayName "Role" -SameAsIncoming
Дополнительные сведения о командлете New-SPClaimTypeMapping см. в статье New-SPClaimTypeMapping
Создание нового поставщика проверки подлинности
Используйте процедуру, описанную в данном разделе, для создания нового SPTrustedIdentityTokenIssuer.
Порядок создания новой службы проверки подлинности с помощью Windows PowerShell
Убедитесь, что удовлетворяются следующие минимальные требования: См. статью Add-SPShellAdmin.
В меню Пуск выберите пункт Все программы.
Выберите пункт Продукты Microsoft SharePoint 2010.
Щелкните компонент Командная консоль SharePoint 2010.
В командной строке Windows PowerShell создайте новую службу проверки подлинности, как показано в следующем примере.
Примечание
Переменная
$realm
определяет доверенную службу маркеров безопасности, которая идентифицирует отдельную ферму SharePoint; переменная$cert
используется в разделе Импорт сертификата для подписи маркера с помощью Windows PowerShell. Параметр SignInUrl присваивается для сервера AD FS.$realm = "urn:sharepoint:WebAppName" $ap = New-SPTrustedIdentityTokenIssuer -Name "SAML Provider" -Description "SharePoint secured by SAML" -realm $realm -ImportTrustCertificate $cert -ClaimsMappings $map,$map2 -SignInUrl "https://congen1.contoso.local/adfs/ls" -IdentifierClaim "https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"
Дополнительные сведения о командлете New-SPTrustedIdentityTokenIssuer см. в статье New-SPTrustedIdentityTokenIssuer
Привязка веб-приложения к доверенному поставщику удостоверений
Чтобы настроить существующее веб-приложение для использования входа SAML, необходимо изменить доверенного поставщика удостоверений в разделе "Тип проверки подлинности утверждений".
Настройка существующего веб-приложения для использования поставщика SAML
Убедитесь, что учетная запись пользователя, с помощью которой выполняется данная процедура, является участником группы администраторов фермы SharePoint.
На домашней странице центра администрирования выберите элемент Управление приложениями.
На странице "Управление приложениями" в разделе Веб-приложения нажмите Управление веб-приложениями.
Щелкните для выбора нужного веб-приложения.
На ленте щелкните Поставщики проверки подлинности.
В разделе Зона щелкните имя зоны. Например, зона "По умолчанию".
На странице Изменение параметров проверки подлинности в разделе Типы проверки подлинности утверждений щелкните, чтобы установить флажок напротив имени нового доверенного поставщика удостоверений.
Сведения о создании веб-приложения и его настройке для использования входа SAML см. в разделе Создание нового веб-приложения SharePoint и его настройка для использования входа SAML.
Создание семейства веб-сайтов
На последнем этапе необходимо создать семейство веб-сайтов SharePoint и назначить владельца. Обратите внимание, что при добавлении администратора семейства веб-сайтов необходимо указать имя в формате утверждения удостоверения. Например, в этой статье утверждение удостоверения является адресом электронной почты. Дополнительные сведения см. в статье Создание семейства сайтов (Office SharePoint Server).