דלג לתוכן הראשי
תמיכה
היכנס
היכנס דרך Microsoft
היכנס או צור חשבון.
שלום,
בחר חשבון אחר.
יש לך חשבונות מרובים
בחר את החשבון שברצונך להיכנס באמצעותו.

תופעות

שקול את התרחיש הבא:

  • אתה משתמש באימות Windows-תביעות (באמצעות Windows Challenge/Response [NTLM] או Kerberos) ביישום אינטרנט של Microsoft SharePoint Server 2013.

  • אתה מחליט לעבור לטענות ספק מהימן באמצעות שימוש בספק מאובטח של שפת סימון של יישומים (SAML), כגון שירותי האיחוד של Active Directory (AD FS).

  • באפשרותך לסקור את השלבים בהעברה של אימות תביעות של Windows לאימות תביעות מבוססות SAML בנושא SharePoint Server 2013 בנושא האתר של Microsoft Developer NETWORK (MSDN).

  • אתה מפעיל את הפקודה הבאה:

    המרת-SPWebApplication-id $wa-לתביעות-אמין-ברירת המחדל-מטענות-WINDOWS-TrustedProvider $tp-SourceSkipList $csv-RetainPermissions

בתרחיש זה, אתה מקבל את הודעת השגיאה הבאה:

אימות התביעה המבוסס על SAML אינו תואם.

סיבה

בעיה זו מתרחשת מאחר שמנפיק האסימון של הזהות המהימנה לא נוצר באמצעות תצורת ברירת המחדל. יש להשתמש בתצורת ברירת המחדל כדי שהפקודה Convert-SPWebApplication תפעל כהלכה. הפקודה Convert-SPWebApplication מחייבת קביעת תצורה ספציפית עבור הספק המהימן כדי שהיא תהיה תואמת להמרה מטענות Windows ל-SAML או להיפך. באופן ספציפי, יש ליצור את מנפיק אסימון הזהויות המהימן באמצעות הפרמטרים UseDefaultConfiguration ו- IdentifierClaimIs . באפשרותך לבדוק אם מנפיק אסימון הזהות המהימנה נוצר באמצעות הפרמטר UseDefaultConfiguration על-ידי הפעלת קבצי ה-script הבאים של Windows PowerShell.הערה סקריפטים אלה מניחים שיש לך ספק זהויות מהימן אחד בלבד שנוצר בחווה הנוכחית.

$tp = Get-SPTrustedIdentityTokenIssuer$tp.claimtypes

סוגי התביעות שסקריפט זה אמור להיות בפלט הם כדלקמן:

  • http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname

  • http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid

  • http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid

  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn

#Get the Identity claim:$tp = Get-SPTrustedIdentityTokenIssuer$tp.IdentityClaimTypeInformation

דרישת הזהות חייבת להיות אחת מהאפשרויות הבאות:

  • WindowAccountName

  • EmailAddress

  • UPN

פלט לדוגמה עבור $tp. IdentityClaimTypeInformation: DisplayName: דואר אלקטרוני InputClaimType: Http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddressMappedClaimType: Http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress#IsIdentityClaim : True שם צריך להיות ספק תביעה מותאם אישית עם שם זהה לזה של מנפיק האסימונים, והוא אמור להיות מסוג SPTrustedBackedByActiveDirectoryClaimProvider. הפעלה זו כדי לראות אם ספק הטענות קיים ותואם:

 $tp = Get-SPTrustedIdentityTokenIssuer$name = $tp.name$cp = Get-SPClaimProvider $nameif($cp.typename -match "SPTrustedBackedByActiveDirectoryClaimProvider"){write-host "Claim provider is present and has TypeName of " $cp.typename " it should be valid"}else{write-host "Claim provider is not present. Trusted Identity Token Issuer" $tp.name " is not compatible with convert-spwebapplication"}

פתרון

כדי לפתור בעיה זו, מחק ולאחר מכן צור מחדש את מנפיק אסימון הזהויות המהימן. לשם כך, בצע את השלבים הבאים:

  1. הפעלת הסקריפט הבא:

    $tp = Get-SPTrustedIdentityTokenIssuer$tp | fl$tp.name$tp.IdentityClaimTypeInformation

    צור עותק של הפלט של קובץ script זה לצורך עיון עתידי. באופן ספציפי, אנו זקוקים לערך עבור המאפיין Name כדי שניתן יהיה ליצור את מנפיק האסימונים החדש באמצעות אותו שם, ואנו זקוקים לדרישת הזהות כדי שספק הטענות החדש ייווצר באמצעות אותה תביעה זהות. כל עוד אותו שם משמש עבור מנפיק האסימונים ואותה תביעה משמשת כדרישת הזהות, כל המשתמשים ישמרו את ההרשאות שלהם בתוך יישום האינטרנט לאחר שמנפיק האסימון ייווצר מחדש.

  2. הסר את ספק הזהות המהימנה הנוכחי מספקי אימות עבור כל יישום אינטרנט המשתמש בו כעת.

  3. מחק את מנפיק האסימונים על-ידי הפעלת הפקודה הבאה:

    Remove-SPTrustedIdentityTokenIssuer -Identity "TheNameOfYourTokenIssuer"

  4. צור מחדש את מנפיק האסימונים. כדי לעשות זאת, בצע את השלבים המפורטים בנושא ' יישום אימות מבוסס SAML ' בנושא SharePoint Server 2013 באתר האינטרנט של Microsoft TechNet לקבלת מידע נוסף.חשוב כאשר אתה מפעיל את הפקודה New-SPTrustedIdentityTokenIssuer , עליך להשתמש בפרמטרים UseDefaultConfiguration ו- IdentifierClaimIs . הפרמטר UseDefaultConfiguration הוא רק בורר. הערכים האפשריים עבור הפרמטר IdentifierClaimIs הם כדלקמן:

    • שם החשבון

    • דואר אלקטרוני

    • שם משתמש-ראשי

    קובץ script לדוגמה:

    $ap = New-SPTrustedIdentityTokenIssuer -Name $tokenIdentityProviderName -Description $TrustedIdentityTokenIssuerDescription -realm $siteRealm -ImportTrustCertificate $adfsCert-SignInUrl $signInUrl -UseDefaultConfiguration -IdentifierClaimIs EMAIL -RegisteredIssuerName $siteRealm

  5. בניהול המרכזי, הוסף את מנפיק אסימון הזהויות המהימן החדש שלך בחזרה לספקי האימות של יישום האינטרנט שאתה מנסה להמיר. יישום האינטרנט חייב לכלול גם אימות Windows וגם ספק הזהות המהימן של היעד נבחר.

מידע נוסף

עצות נוספות להמרה מוצלחת: אם ערך הדואר האלקטרוני משמש לדרישת המזהה (כלומר, עבור הפרמטר IdentifierClaimIs ), רק המשתמשים שכתובות הדואר האלקטרוני שלהם מאוכלסים ב-Active Directory יומרו. כל חשבונות המשתמשים המפורטים בקובץ ה-. csv המוגדר בפרמטר SourceSkipList לא יומרו ל-SAML. להמרת מטענות Windows ל-SAML, ניתן לרשום את שמות חשבונות המשתמשים עם או ללא סימון הטענות. לדוגמה, האפשרות "contoso\user1" או "i:0. w | contoso\user1" מקובלת. עליך להוסיף לקובץ. csv כל חשבונות משתמש שאינך מעוניין להמיר. אלה אמורים לכלול חשבונות שירות וחשבונות מנהל מערכת.

Facebook LinkedIn דואר אלקטרוני
הרשמה כמנוי להזנות RSS

זקוק לעזרה נוספת?

מעוניין באפשרויות נוספות?

לגלות קהילה

גלה את יתרונות המנוי, עיין בקורסי הדרכה, למד כיצד לאבטח את המכשיר שלך ועוד.

הטבות מינוי Microsoft 365

הדרכת Microsoft 365

אבטחת Microsoft

מרכז הנגישות

קהילות עוזרות לך לשאול שאלות ולהשיב עליהן, לתת משוב ולשמוע ממומחים בעלי ידע עשיר.

שאל את Microsoft Community

Microsoft Tech Community

משתתפי Windows Insider

משתתפי Insider של Microsoft 365

האם מידע זה היה שימושי?

עד כמה אתם מרוצים מאיכות השפה?
מה השפיע על החוויה שלך?
בלחיצה על 'שלח', אתה מאפשר למשוב שלך לשפר מוצרים ושירותים של Microsoft. מנהל ה-IT שלך יוכל לאסוף נתונים אלה. הצהרת הפרטיות.

תודה על המשוב!

×