Schrittweise Video: Einrichten von AD FS mit SharePoint Server 2010 für SAML-Authentifizierung

Wichtig: Dieser Artikel wurde maschinell übersetzt und wird dann möglicherweise mithilfe des Community Translation Framework (CTF) von Mitgliedern unserer Microsoft Community nachbearbeitet. Weitere Informationen zu CTF finden Sie unter http://support.microsoft.com/gp/machine-translation-corrections/de.

Den englischen Originalartikel können Sie über folgenden Link abrufen: 3064450
Das folgende Video zeigt Active Directory Federation Services (AD FS) einrichten mit SharePoint Server 2010 für SAML-Authentifizierung.


Nützliche Hinweise für Schritte

Schritt 1: Konfigurieren von Active Directory-Verbunddienste

  • Verbunddienste-Name ist ein Internetzugriff Domänenname des ADFS-Servers. Microsoft Office 365-Benutzer wird diese Domäne zur Authentifizierung umgeleitet. Stellen Sie sicher, dass öffentliche hinzugefügt einen Eintrag für den Domänennamen.
  • Sie können keinen Namen für die Föderation Service manuell eingeben. Dieser Name wird durch die zertifikatsbindung auf "Standardwebsite" in Internet Information Services (IIS) bestimmt. Daher müssen Sie vor dem Konfigurieren von AD FS das neue Zertifikat auf der Standardwebsite zu binden.
  • Sie können ein Konto als Dienstkonto. Wenn das Dienstkonto Kennwort abgelaufen sind AD FS nicht mehr. So stellen Sie sicher, dass das Kennwort für das Konto festgelegt ist, läuft nie ab.


Schritt 2: SharePoint 2010 Anwendung relying Party vertrauen hinzufügen



  • Die relying Party muss WS-Federation Passive Protokoll-URL im folgenden Format:
    https://<>FQDN&gt; /_trust/
    Vergessen Sie nicht, geben Sie einen Schrägstrich (/) nach "_trust".

  • Antwort Partei vertrauen Bezeichner muss mit beginnen. Urn:.

Schritt 3: Importieren des AD FS-Signaturzertifikats auf dem SharePoint-server



AD FS enthält drei Zertifikate. Stellen Sie sicher, dass das importierte Zertifikat den "" Tokensignaturzertifikat.

Schritt 4: Konfigurieren Sie SharePoint AD FS verwendet ein SAML identifizieren Anbieter

Skripts für das Konfigurieren von SharePoint 2010 mit AD FS
$cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2(“C:\adfs.cer”) New-SPTrustedRootAuthority -Name “Token Signing Cert“ -Certificate $cert $map1= New-SPClaimTypeMapping -IncomingClaimType “http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName “EmailAddress” -SameAsIncoming$map2 = New-SPClaimTypeMapping -IncomingClaimType “http://schemas.microsoft.com/ws/2008/06/identity/claims/role" -IncomingClaimTypeDisplayName “Role” -SameAsIncoming$realm = “urn:lg-sp2010”$signingURL=https://myadfs.contoso.com/adfs/ls ##comment: "myadfs.contoso.com" is the ADFS federation service name.$SPT = New-SPTrustedIdentityTokenIssuer -Name “My ADFSv2 SAML Provider” -Description “ADFS for SharePoint” -realm $realm -ImportTrustCertificate $cert -ClaimsMappings $map1,$map2 -SignInUrl $signingURL -IdentifierClaim “http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"


Schritt 5: Konfigurieren von Benutzerberechtigungen für SAML-Authentifizierung in SharePoint

  • Um sicherzustellen, dass das Benutzerkonto die e-Mail-Adresse konfiguriert haben dieE-Mail Feld in Active Directory. Andernfalls wird der Fehler "Zugriff verweigert" auf dem SharePoint-Server zurückgegeben.

Nach dem Hinzufügen der Föderation Servername der lokalen Intranetzone im Internet wird NTLM-Authentifizierung verwendet, wenn Benutzer versuchen, auf dem AD FS-Server authentifizieren. Daher werden sie nicht aufgefordert, ihre Anmeldeinformationen einzugeben.

Administratoren können Gruppenrichtlinien konfigurieren eine Lösung für einmaliges Anmelden auf Client-Computern, die Mitglied der Domäne implementieren.

HÄUFIG GESTELLTE FRAGEN
Q: Wie kann ich das einmalige Anmelden für Clientcomputer aktivieren, damit der Benutzer nicht Anmeldeinformationen aufgefordert wird, wenn der Benutzer auf der SharePoint-Website anmelden?

A: Die Zone lokales Intranet in Internet Explorer auf dem Clientcomputer fügen Sie Servername Föderation hinzu. Danach wird NTLM-Authentifizierung verwendet, wenn Benutzer versuchen, auf dem AD FS-Server authentifizieren, und sie nicht aufgefordert werden, ihre Anmeldeinformationen einzugeben. Administratoren können Gruppenrichtlinien konfigurieren Zone lokales Intranet auf Client-Computern, die Mitglied der Domäne implementieren.

Warnung: Dieser Artikel wurde automatisch übersetzt.

Eigenschaften

Artikelnummer: 3064450 – Letzte Überarbeitung: 07/28/2015 17:00:00 – Revision: 1.0

Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Foundation, Windows Server 2008 Standard, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Foundation, Windows Server 2008 R2 Standard

  • kbsurveynew kbhowto kbexpertiseinter kbmt KB3064450 KbMtde
Feedback