Δεν μπορεί να μετατρέψει την εντολή Convert-εφαρμογή SPWebApplication {απαιτήσεων των Windows για να SAML στο SharePoint Server 2013

ΣΗΜΑΝΤΙΚΟ: Αυτό το άρθρο έχει μεταφραστεί χρησιμοποιώντας λογισμικό μηχανικής μετάφρασης της Microsoft και μπορείτε να το διορθώσετε χρησιμοποιώντας την τεχνολογία Community Translation Framework (CTF) (Πλαίσιο μετάφρασης κοινότητας). Η Microsoft παρέχει μηχανική μετάφραση, επεξεργασία μετά τη μηχανική μετάφραση από την κοινότητα και άρθρα μεταφρασμένα από επαγγελματίες προκειμένου να έχετε πρόσβαση σε όλα τα άρθρα της Γνωσιακής βάσης σε πολλές γλώσσες. Τα άρθρα μηχανικής μετάφρασης και αυτά που επεξεργάζονται ύστερα από μηχανική μετάφραση ενδέχεται να περιέχουν σφάλματα στο λεξιλόγιο, στη σύνταξη ή/και στη γραμματική. Η Microsoft δεν φέρει καμία ευθύνη για τυχόν ανακρίβειες, σφάλματα ή ζημίες που προκύψουν λόγω τυχόν παρερμηνειών στη μετάφραση του περιεχομένου ή χρήσης του από τους πελάτες μας. Για περισσότερες πληροφορίες σχετικά με το CTF, μεταβείτε στην τοποθεσία http://support.microsoft.com/gp/machine-translation-corrections/el.

Η αγγλική έκδοση αυτού του άρθρου είναι η ακόλουθη: 3042604
Συμπτώματα
Εξετάστε το ακόλουθο σενάριο:
  • Μπορείτε να χρησιμοποιήσετε τον έλεγχο ταυτότητας αξιώσεων των Windows (μέσω πρόκληση/απόκριση των Windows [NTLM] ή Kerberos) σε μια εφαρμογή web του Microsoft SharePoint Server 2013.
  • Μπορείτε να αποφασίσετε να μεταβείτε στις απαιτήσεις της αξιόπιστης υπηρεσίας παροχής, χρησιμοποιώντας μια υπηρεσία παροχής που βασίζεται σε ασφαλή SAML γλώσσα σήμανσης εφαρμογών, όπως υπηρεσίες Ομοσπονδία Active Directory (AD ΛΕ).
  • Δείτε τα βήματα του Μετεγκατάσταση των Windows απαιτεί έλεγχο ταυτότητας σε έλεγχο ταυτότητας με ισχυρισμούς SAML βασίζεται στο SharePoint Server 2013 το θέμα στην τοποθεσία Web της Microsoft Developer Network (MSDN).
  • Εκτελέστε την ακόλουθη εντολή:

    Μετατροπή-εφαρμογή SPWebApplication {-id $wa-για ΑΞΙΏΣΕΙΣ ΑΞΙΌΠΙΣΤΗΣ-ΠΡΟΕΠΙΛΕΓΜΈΝΕΣ-από ΑΠΑΙΤΉΣΕΙΣ-WINDOWS - TrustedProvider $tp - SourceSkipList $csv - RetainPermissions

Σε αυτό το σενάριο, λαμβάνετε το ακόλουθο μήνυμα λάθους:

Έλεγχος ταυτότητας αξιώσεων SAML με βάση δεν είναι συμβατή.

Αιτία
Αυτό το ζήτημα παρουσιάζεται επειδή η αξιόπιστη ταυτότητα εκδότη διακριτικού δεν δημιουργήθηκε χρησιμοποιώντας την προεπιλεγμένη ρύθμιση παραμέτρων. Η προεπιλεγμένη ρύθμιση παραμέτρων, πρέπει να χρησιμοποιείται για την εντολή Convert-εφαρμογή SPWebApplication { για να λειτουργήσει σωστά.

Η εντολή Convert-εφαρμογή SPWebApplication { απαιτεί μια συγκεκριμένη ρύθμιση παραμέτρων για την αξιόπιστη υπηρεσία παροχής για αυτό ώστε να είναι συμβατές με μετατροπή από των αξιώσεων των Windows σε SAML ή το αντίστροφο.

Συγκεκριμένα, πρέπει να δημιουργηθεί η αξιόπιστη ταυτότητα εκδότη διακριτικού, χρησιμοποιώντας τις παραμέτρους UseDefaultConfiguration και IdentifierClaimIs .

Μπορείτε να ελέγξετε εάν σας αξιόπιστης ταυτότητας εκδότη διακριτικού δημιουργήθηκε χρησιμοποιώντας την παράμετρο UseDefaultConfiguration , εκτελώντας τις ακόλουθες δέσμες ενεργειών του Windows PowerShell.

Σημείωση: Αυτές οι δέσμες ενεργειών ας υποθέσουμε ότι έχετε μόνο μια αξιόπιστη υπηρεσία παροχής ταυτότητας που δημιουργήθηκαν στην τρέχουσα συστοιχία.

$tp = Get-SPTrustedIdentityTokenIssuer$tp.claimtypes 

Οι τύποι αξιώσεων που θα πρέπει να εξαγάγετε αυτήν τη δέσμη ενεργειών είναι οι εξής:
  • http://Schemas.Microsoft.com/ws/2008/06/Identity/claims/windowsaccountname
  • http://Schemas.Microsoft.com/ws/2008/06/Identity/claims/primarysid
  • http://Schemas.Microsoft.com/ws/2008/06/Identity/claims/groupsid
  • http://Schemas.xmlsoap.org/ws/2005/05/Identity/claims/,ΔιεύθυνσηΗλεκτρονικούΤαχυδρομείου
  • http://Schemas.xmlsoap.org/ws/2005/05/Identity/claims/upn


#Get the Identity claim:$tp = Get-SPTrustedIdentityTokenIssuer$tp.IdentityClaimTypeInformation 



Ο ισχυρισμός της ταυτότητας πρέπει να είναι ένα από τα εξής:
  • WindowAccountName
  • ΔιεύθυνσηΗλεκτρονικούΤαχυδρομείου
  • UPN

ΔΕΙΓΜΑ ΕΞΟΔΟΥ για $tp. IdentityClaimTypeInformation:
Εμφανιζόμενο όνομα: ηλεκτρονικό ταχυδρομείο
InputClaimType: http://Schemas.xmlsoap.org/ws/2005/05/Identity/claims/emailAddress
MappedClaimType: http://Schemas.xmlsoap.org/ws/2005/05/Identity/claims/emailAddress#IsIdentityClaim : True


Θα πρέπει να υπάρχει μια υπηρεσία παροχής προσαρμοσμένης ισχυρισμών με το ίδιο όνομα με τον εκδότη διακριτικού και θα πρέπει να είναι του τύπου SPTrustedBackedByActiveDirectoryClaimProvider.
Εκτελέστε αυτό για να δείτε εάν η υπηρεσία παροχής ισχυρισμών υπάρχει και συμβατό:

 $tp = Get-SPTrustedIdentityTokenIssuer$name = $tp.name$cp = Get-SPClaimProvider $nameif($cp.typename -match "SPTrustedBackedByActiveDirectoryClaimProvider"){write-host "Claim provider is present and has TypeName of " $cp.typename " it should be valid"}else{write-host "Claim provider is not present. Trusted Identity Token Issuer" $tp.name " is not compatible with convert-spwebapplication"}

Προτεινόμενη αντιμετώπιση
Για να επιλύσετε αυτό το πρόβλημα, διαγράψτε και κατόπιν να δημιουργήσετε ξανά την αξιόπιστη ταυτότητα εκδότη διακριτικού. Για να γίνει αυτό, ακολουθήστε τα εξής βήματα:
  1. Εκτελέστε την ακόλουθη δέσμη ενεργειών:

    $tp = Get-SPTrustedIdentityTokenIssuer$tp | fl$tp.name$tp.IdentityClaimTypeInformation

    Δημιουργήστε ένα αντίγραφο της εξόδου από αυτήν τη δέσμη ενεργειών για μελλοντική αναφορά. Ειδικότερα, πρέπει η τιμή για την ιδιότητα Name ώστε να μπορεί να δημιουργηθεί το νέο εκδότη διακριτικού, χρησιμοποιώντας το ίδιο όνομα, και θα χρειαστεί η ταυτότητα απαίτηση ώστε η νέα υπηρεσία παροχής ισχυρισμών μπορούν να δημιουργηθούν χρησιμοποιώντας το ίδιο δήλωσης ταυτότητας. Με την προϋπόθεση ότι χρησιμοποιείται το ίδιο όνομα για τον εκδότη διακριτικού και το ίδιο αίτημα χρησιμοποιείται ως ο ισχυρισμός ταυτότητα, όλοι οι χρήστες θα διατηρήσει τα δικαιώματά τους εντός της εφαρμογής web μετά τον εκδότη διακριτικού δημιουργείται ξανά.

  2. Καταργήστε την τρέχουσα αξιόπιστη υπηρεσία παροχής ταυτότητας από υπηρεσίες παροχής ελέγχου ταυτότητας για κάθε εφαρμογή web που χρησιμοποιεί αυτήν τη στιγμή το.
  3. Διαγράψτε τον εκδότη διακριτικού εκτελώντας την ακόλουθη εντολή:

    Remove-SPTrustedIdentityTokenIssuer -Identity "TheNameOfYourTokenIssuer"

  4. Δημιουργήστε ξανά τον εκδότη διακριτικού. Για να γίνει αυτό, ακολουθήστε τα βήματα του Εφαρμογή SAML ελέγχου ταυτότητας που βασίζεται στο SharePoint Server 2013 το θέμα στην τοποθεσία Microsoft TechNet στο Web για περισσότερες πληροφορίες.

    Σημαντικό Κατά την εκτέλεση της Νέα SPTrustedIdentityTokenIssuer η εντολή, πρέπει να χρησιμοποιήσετε το UseDefaultConfiguration και IdentifierClaimIs Οι παράμετροι. Το UseDefaultConfiguration η παράμετρος είναι απλώς ένας διακόπτης. Πιθανές τιμές για το IdentifierClaimIs η παράμετρος είναι οι εξής:
    • ΌΝΟΜΑ ΛΟΓΑΡΙΑΣΜΟΎ
    • ΗΛΕΚΤΡΟΝΙΚΌ ΤΑΧΥΔΡΟΜΕΊΟ
    • ΌΝΟΜΑ ΧΡΉΣΤΗ ΚΎΡΙΟΥ ΥΠΌΧΡΕΟΥ


    Παράδειγμα δέσμης ενεργειών:

    $ap = New-SPTrustedIdentityTokenIssuer -Name $tokenIdentityProviderName -Description $TrustedIdentityTokenIssuerDescription -realm $siteRealm -ImportTrustCertificate $adfsCert-SignInUrl $signInUrl -UseDefaultConfiguration -IdentifierClaimIs EMAIL -RegisteredIssuerName $siteRealm
  5. Στην κεντρική διαχείριση, προσθέσετε το νέο αξιόπιστης ταυτότητας εκδότη διακριτικού ξανά τις υπηρεσίες παροχής ελέγχου ταυτότητας για την εφαρμογή web που προσπαθείτε να μετατρέψετε. Η εφαρμογή web πρέπει να έχει και τα δύο Έλεγχος ταυτότητας των Windows και το στόχο που έχει επιλεγεί αξιόπιστη υπηρεσία παροχής ταυτότητας.
Περισσότερες πληροφορίες
Additionaltips για την επιτυχημένη μετατροπή:

Εάν η τιμή του ηλεκτρονικού ΤΑΧΥΔΡΟΜΕΊΟΥ χρησιμοποιείται για την απαίτηση αναγνωριστικού (δηλαδή, για την παράμετροIdentifierClaimIs), μόνο οι χρήστες των οποίων οι διευθύνσεις ηλεκτρονικού ταχυδρομείου είναι κατειλημμένο στο θέμα υπηρεσίας καταλόγου Active Directory θα μετατραπούν.

Τους λογαριασμούς χρήστη που παρατίθενται στο αρχείο .csv που καθορίζεται στην παράμετρο SourceSkipList δεν θα μετατραπεί σε SAML. Για μετατροπή από των αξιώσεων των Windows για να SAML, τα ονόματα λογαριασμού των χρηστών να καταχωρηθούν με ή χωρίς τη σημειογραφία απαιτήσεων. Για παράδειγμα, είτε "contoso\user1" ή "i:0 #. w|contoso\user1" είναι αποδεκτά. Θα πρέπει να προσθέσετε σε αυτό το αρχείο .csv τους λογαριασμούς χρήστη που δεν θέλετε να μετατρέψετε. Πρέπει να περιλαμβάνονται υπηρεσίας και των λογαριασμών διαχειριστή.

Προειδοποίηση: Αυτό το άρθρο έχει μεταφραστεί αυτόματα

Ιδιότητες

Αναγνωριστικό άρθρου: 3042604 - Τελευταία αναθεώρηση: 12/01/2015 23:50:00 - Αναθεώρηση: 2.0

Microsoft SharePoint Foundation 2013, Microsoft SharePoint Server 2013

  • kbexpertiseinter kbprb kbsurveynew kbmt KB3042604 KbMtel
Σχόλια