Vídeo paso a paso: configurar AD FS con SharePoint Server 2010 para la autenticación de SAML

IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.

Haga clic aquí para ver el artículo original (en inglés): 3064450
En el siguiente vídeo muestra cómo configurar los servicios de federación de Active Directory (AD FS) con SharePoint Server 2010 para la autenticación de SAML.


Notas útiles para los pasos

Paso 1: Configurar los servicios de federación de Active Directory

  • El nombre de los servicios de federación es un nombre de dominio a través de Internet de su servidor de AD FS. El usuario de Microsoft Office 365 será redirigido a este dominio para la autenticación. Asegúrese de que agrega un público un registro para el nombre de dominio.
  • No se puede escribir manualmente un nombre para el nombre de servicio de federación. Este nombre está determinado por el enlace de certificado para "sitio Web predeterminado" en los servicios de Internet Information Server (IIS). Por lo tanto, debe enlazar el nuevo certificado para el sitio Web predeterminado antes de configurar AD FS.
  • Puede utilizar cualquier cuenta como cuenta de servicio. Si ha caducado la contraseña de la cuenta de servicio, AD FS dejará de funcionar. Asegúrese de que la contraseña de la cuenta se establece para que nunca caduca.


Paso 2: Agregar usuario de confianza de fabricantes de confianza a la aplicación web de SharePoint 2010



  • La parte que confía dirección URL de protocolo WS-Federation pasivo debe tener el siguiente formato:
    https://<>NOMBRE DE DOMINIO COMPLETO&gt; /_trust/
    No se olvide de escribir el carácter de barra diagonal (/) después de "_trust".

  • El identificador de confianza de parte de respuesta debe comenzar con urn:.

Paso 3: Importar el certificado de firma de AD FS para el servidor de SharePoint



AD FS contiene tres certificados. Asegúrese de que el certificado importado es la "Firma de símbolo (token)".

Paso 4: Configurar SharePoint para usar AD FS como un SAML identificar proveedor

Secuencias de comandos para configurar SharePoint 2010 con AD FS
$cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2(“C:\adfs.cer”) New-SPTrustedRootAuthority -Name “Token Signing Cert“ -Certificate $cert $map1= New-SPClaimTypeMapping -IncomingClaimType “http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName “EmailAddress” -SameAsIncoming$map2 = New-SPClaimTypeMapping -IncomingClaimType “http://schemas.microsoft.com/ws/2008/06/identity/claims/role" -IncomingClaimTypeDisplayName “Role” -SameAsIncoming$realm = “urn:lg-sp2010”$signingURL=https://myadfs.contoso.com/adfs/ls ##comment: "myadfs.contoso.com" is the ADFS federation service name.$SPT = New-SPTrustedIdentityTokenIssuer -Name “My ADFSv2 SAML Provider” -Description “ADFS for SharePoint” -realm $realm -ImportTrustCertificate $cert -ClaimsMappings $map1,$map2 -SignInUrl $signingURL -IdentifierClaim “http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"


Paso 5: Configurar permisos de usuario para autenticación SAML en SharePoint

  • Tiene que asegurarse de que la cuenta de usuario tiene su dirección de correo electrónico configurada en elcorreo electrónico campo en Active Directory. De lo contrario, se devolverá el error "Acceso denegado" desde el servidor de SharePoint.

Después de agregar el nombre del servidor de federación a la zona de intranet local en Internet, la autenticación NTLM se utiliza cuando los usuarios intentan autenticarse en el servidor de AD FS. Por lo tanto, no se les pide que escriba sus credenciales.

Los administradores pueden implementar la configuración de directiva de grupo para configurar una solución de inicio de sesión único en los equipos cliente que se unen al dominio.

PREGUNTAS MÁS FRECUENTES
Q: ¿Cómo puedo habilitar inicio de sesión único para los equipos cliente para que el usuario no le pedirá las credenciales cuando el usuario inicia una sesión en el sitio Web de SharePoint?

A: En el equipo cliente, agregue el nombre del servidor de federación a la zona de intranet local en Internet Explorer. Después de eso, se utiliza la autenticación de NTLM cuando los usuarios intentan autenticarse en el servidor de AD FS, y no se le pide que escriba sus credenciales. Los administradores pueden implementar la configuración de directiva de grupo para configurar la zona de intranet local en los equipos cliente que se unen al dominio.

Advertencia: este artículo se tradujo automáticamente

Propiedades

Id. de artículo: 3064450 - Última revisión: 07/28/2015 17:01:00 - Revisión: 1.0

Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Foundation, Windows Server 2008 Standard, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Foundation, Windows Server 2008 R2 Standard

  • kbsurveynew kbhowto kbexpertiseinter kbmt KB3064450 KbMtes
Comentarios