Příkaz Convert SPWebApplication nelze převést z deklarace identity systému Windows na SAML v 2013 serveru SharePoint

DŮLEŽITÉ: Tento článek je přeložen pomocí softwaru na strojový překlad Microsoft. Nepřesný či chybný překlad lze opravit prostřednictvím technologie Community Translation Framework (CTF). Microsoft nabízí strojově přeložené, komunitou dodatečně upravované články, a články přeložené lidmi s cílem zajistit přístup ke všem článkům v naší znalostní bázi ve více jazycích. Strojově přeložené a dodatečně upravované články mohou obsahovat chyby ve slovníku, syntaxi a gramatice. Společnost Microsoft není odpovědná za jakékoliv nepřesnosti, chyby nebo škody způsobené nesprávným překladem obsahu nebo jeho použitím našimi zákazníky. Více o CTF naleznete na http://support.microsoft.com/gp/machine-translation-corrections/cs.

Projděte si také anglickou verzi článku: 3042604
Příznaky
Jde o takovouto situaci:
  • Ve webové aplikaci Microsoft SharePoint Server 2013 použijete ověřování Windows nároky (prostřednictvím výzvy a odezvy systému Windows [NTLM] nebo protokol Kerberos).
  • Rozhodnete se přepnout do důvěryhodného zprostředkovatele nároků pomocí zprostředkovatele zabezpečení SAML Application Markup Language založené například Active Directory Federation Services (AD FS).
  • Zkontrolujte kroky uvedené v Ověřování na základě SAML tvrzení ověřování v serveru SharePoint Server 2013 tvrdí přenesení systému Windows téma na webu Microsoft Developer Network (MSDN).
  • Spuštěním následujícího příkazu:

    Convert SPWebApplication-id $wa-k žádosti DŮVĚRYHODNÉ-výchozí-$tp z pohledávky-WINDOWS - TrustedProvider - SourceSkipList $csv - RetainPermissions

V tomto scénáři obdržíte následující chybová zpráva:

Ověřování založené SAML tvrzení není kompatibilní.

Příčina
K tomuto problému dochází, protože nebyla vytvořena důvěryhodné Identity vydavatele tokenu pomocí výchozí konfigurace. Ve výchozí konfiguraci je použít příkaz Convert SPWebApplication pracovat správně.

Příkaz Convert SPWebApplication vyžaduje určitou konfiguraci pro důvěryhodného poskytovatele je kompatibilní s převodem z Windows tvrzení SAML a naopak.

Konkrétně důvěryhodné Identity vydavatele tokenu, je nutné vytvořit pomocí parametrů UseDefaultConfiguration a IdentifierClaimIs .

Můžete zkontrolovat, zda vaše důvěryhodné Identity vydavatele tokenu byla vytvořena pomocí parametru UseDefaultConfiguration spuštěním následujících skriptů prostředí Windows PowerShell.

Poznámka: Tyto skripty Předpokládejme, že máte pouze jeden důvěryhodný poskytovatel Identity vytvořeny v aktuální farmě.

$tp = Get-SPTrustedIdentityTokenIssuer$tp.claimtypes 

Typy deklarací, které by tento skript výstupu jsou následující:
  • http://schemas.microsoft.com/ws/2008/06/identity/Claims/windowsaccountname
  • http://schemas.microsoft.com/ws/2008/06/identity/Claims/primarysid
  • http://schemas.microsoft.com/ws/2008/06/identity/Claims/groupsid
  • http://schemas.xmlsoap.org/ws/2005/05/identity/Claims/email
  • http://schemas.xmlsoap.org/ws/2005/05/identity/Claims/upn


#Get the Identity claim:$tp = Get-SPTrustedIdentityTokenIssuer$tp.IdentityClaimTypeInformation 



Deklarace Identity musí být jeden z následujících kroků:
  • WindowAccountName
  • Email
  • UPN

Příklad výstupu pro $tp. IdentityClaimTypeInformation:
DisplayName: E-mail
InputClaimType: http://schemas.xmlsoap.org/ws/2005/05/identity/Claims/EmailAddress
MappedClaimType: http://schemas.xmlsoap.org/ws/2005/05/identity/Claims/EmailAddress#IsIdentityClaim : True


By měla být vlastní deklaraci poskytovatele se stejným názvem jako vydavatele tokenu a musí být typu SPTrustedBackedByActiveDirectoryClaimProvider.
Spusťte to zda poskytovatele deklarací identity není přítomen a kompatibilní:

 $tp = Get-SPTrustedIdentityTokenIssuer$name = $tp.name$cp = Get-SPClaimProvider $nameif($cp.typename -match "SPTrustedBackedByActiveDirectoryClaimProvider"){write-host "Claim provider is present and has TypeName of " $cp.typename " it should be valid"}else{write-host "Claim provider is not present. Trusted Identity Token Issuer" $tp.name " is not compatible with convert-spwebapplication"}

Řešení
Chcete-li vyřešit tento problém, odstraňte a znovu vytvořte důvěryhodné Identity vydavatele tokenu. Chcete-li to provést, postupujte takto:
  1. Spusťte následující skript:

    $tp = Get-SPTrustedIdentityTokenIssuer$tp | fl$tp.name$tp.IdentityClaimTypeInformation

    Vytvořte kopii výstup tento skript pro pozdější použití. Zejména musíme hodnotu pro vlastnost název tak, aby nové vydavatele tokenu lze vytvořit pomocí stejného názvu a potřebujeme identitu požadovat, aby nové poskytovatele deklarací identity lze vytvořit pomocí stejné deklarace identity. Tak dlouho, dokud se stejným názvem se používá pro vydavatele tokenu a používá stejný nárok jako deklaraci identity, všichni uživatelé, bude zachováno jejich oprávnění v rámci webové aplikace vydavatele tokenu je znovu vytvořen.

  2. Odeberte aktuální poskytovatel Identity důvěryhodné zprostředkovatelé ověřování pro webovou aplikaci, která je aktuálně používá.
  3. Vydavatele tokenu odstraňte spuštěním následujícího příkazu:

    Remove-SPTrustedIdentityTokenIssuer -Identity "TheNameOfYourTokenIssuer"

  4. Znovu vytvořte vydavatele tokenu. Chcete-li to provést, postupujte podle pokynů v Implementovat ověřování na základě SAML 2013 serveru SharePoint téma na webu Microsoft TechNet pro další informace.

    Důležité Při spuštění Nový SPTrustedIdentityTokenIssuer příkaz, je nutné použít UseDefaultConfiguration a IdentifierClaimIs Parametry. Na UseDefaultConfiguration parametr je pouze přepínač. Možné hodnoty pro IdentifierClaimIs Parametr jsou následující:
    • NÁZEV ÚČTU
    • E-MAILEM
    • JMÉNO HLAVNÍHO


    Příklad skriptu:

    $ap = New-SPTrustedIdentityTokenIssuer -Name $tokenIdentityProviderName -Description $TrustedIdentityTokenIssuerDescription -realm $siteRealm -ImportTrustCertificate $adfsCert-SignInUrl $signInUrl -UseDefaultConfiguration -IdentifierClaimIs EMAIL -RegisteredIssuerName $siteRealm
  5. V Centrální správě přidáte zpět do zprostředkovatelů ověřování pro webové aplikace, kterou se pokoušíte převést váš nový důvěryhodné Identity vydavatele tokenu. Webové aplikace musí mít obě Ověřování systému Windows a cíl vybrána důvěryhodného poskytovatele Identity.
Další informace
Additionaltips pro úspěšný převod:

Pokud je použita hodnota e-MAILU pro deklarace identifikátoru (to znamená pro parametrIdentifierClaimIs), budou převedeny pouze uživatelé, jejichž e-mailové adresy jsou naplněna ve službě Active Directory.

Všechny uživatelské účty, které jsou uvedeny v souboru CSV, který je definován parametrem SourceSkipList nebudou převedeny na SAML. Pro převod z deklarace identity systému Windows na SAML mohou být uvedeny názvy uživatelských účtů s nebo bez zápis deklarací. Například, buď "contoso\user1" nebo "i:0 č. w|contoso\user1" je přijatelná. Všechny uživatelské účty, které chcete převedené se měli přidat do souboru CSV. By měl patří účty služby a účty správce.

Upozornění: Tento článek je přeložený automaticky

Vlastnosti

ID článku: 3042604 - Poslední kontrola: 12/01/2015 23:49:00 - Revize: 2.0

Microsoft SharePoint Foundation 2013, Microsoft SharePoint Server 2013

  • kbexpertiseinter kbprb kbsurveynew kbmt KB3042604 KbMtcs
Váš názor