הפקודה Convert-SPWebApplication אינה יכולה להמיר מטענות Windows ל-SAML ב-SharePoint Server 2013

שקול את התרחיש הבא:

  • אתה משתמש באימות Windows-תביעות (באמצעות Windows Challenge/Response [NTLM] או Kerberos) ביישום אינטרנט של Microsoft SharePoint Server 2013.

  • אתה מחליט לעבור לטענות ספק מהימן באמצעות שימוש בספק מאובטח של שפת סימון של יישומים (SAML), כגון שירותי האיחוד של Active Directory (AD FS).

  • באפשרותך לסקור את השלבים בהעברה של אימות תביעות של Windows לאימות תביעות מבוססות SAML בנושא SharePoint Server 2013 בנושא האתר של Microsoft Developer NETWORK (MSDN).

  • אתה מפעיל את הפקודה הבאה:

    המרת-SPWebApplication-id $wa-לתביעות-אמין-ברירת המחדל-מטענות-WINDOWS-TrustedProvider $tp-SourceSkipList $csv-RetainPermissions

בתרחיש זה, אתה מקבל את הודעת השגיאה הבאה:

אימות התביעה המבוסס על SAML אינו תואם.

בעיה זו מתרחשת מאחר שמנפיק האסימון של הזהות המהימנה לא נוצר באמצעות תצורת ברירת המחדל. יש להשתמש בתצורת ברירת המחדל כדי שהפקודה Convert-SPWebApplication תפעל כהלכה. הפקודה Convert-SPWebApplication מחייבת קביעת תצורה ספציפית עבור הספק המהימן כדי שהיא תהיה תואמת להמרה מטענות Windows ל-SAML או להיפך. באופן ספציפי, יש ליצור את מנפיק אסימון הזהויות המהימן באמצעות הפרמטרים UseDefaultConfiguration ו- IdentifierClaimIs . באפשרותך לבדוק אם מנפיק אסימון הזהות המהימנה נוצר באמצעות הפרמטר UseDefaultConfiguration על-ידי הפעלת קבצי ה-script הבאים של Windows PowerShell.הערה סקריפטים אלה מניחים שיש לך ספק זהויות מהימן אחד בלבד שנוצר בחווה הנוכחית.

$tp = Get-SPTrustedIdentityTokenIssuer$tp.claimtypes 

סוגי התביעות שסקריפט זה אמור להיות בפלט הם כדלקמן:

  • http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname

  • http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid

  • http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid

  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn

#Get the Identity claim:$tp = Get-SPTrustedIdentityTokenIssuer$tp.IdentityClaimTypeInformation 

דרישת הזהות חייבת להיות אחת מהאפשרויות הבאות:

  • WindowAccountName

  • EmailAddress

  • UPN

פלט לדוגמה עבור $tp. IdentityClaimTypeInformation: DisplayName: דואר אלקטרוני InputClaimType: Http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddressMappedClaimType: Http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress#IsIdentityClaim : True שם צריך להיות ספק תביעה מותאם אישית עם שם זהה לזה של מנפיק האסימונים, והוא אמור להיות מסוג SPTrustedBackedByActiveDirectoryClaimProvider. הפעלה זו כדי לראות אם ספק הטענות קיים ותואם:

 $tp = Get-SPTrustedIdentityTokenIssuer$name = $tp.name$cp = Get-SPClaimProvider $nameif($cp.typename -match "SPTrustedBackedByActiveDirectoryClaimProvider"){write-host "Claim provider is present and has TypeName of " $cp.typename " it should be valid"}else{write-host "Claim provider is not present. Trusted Identity Token Issuer" $tp.name " is not compatible with convert-spwebapplication"}

כדי לפתור בעיה זו, מחק ולאחר מכן צור מחדש את מנפיק אסימון הזהויות המהימן. לשם כך, בצע את השלבים הבאים:

  1. הפעלת הסקריפט הבא:

    $tp = Get-SPTrustedIdentityTokenIssuer$tp | fl$tp.name$tp.IdentityClaimTypeInformation

    צור עותק של הפלט של קובץ script זה לצורך עיון עתידי. באופן ספציפי, אנו זקוקים לערך עבור המאפיין Name כדי שניתן יהיה ליצור את מנפיק האסימונים החדש באמצעות אותו שם, ואנו זקוקים לדרישת הזהות כדי שספק הטענות החדש ייווצר באמצעות אותה תביעה זהות. כל עוד אותו שם משמש עבור מנפיק האסימונים ואותה תביעה משמשת כדרישת הזהות, כל המשתמשים ישמרו את ההרשאות שלהם בתוך יישום האינטרנט לאחר שמנפיק האסימון ייווצר מחדש.

  2. הסר את ספק הזהות המהימנה הנוכחי מספקי אימות עבור כל יישום אינטרנט המשתמש בו כעת.

  3. מחק את מנפיק האסימונים על-ידי הפעלת הפקודה הבאה:

    Remove-SPTrustedIdentityTokenIssuer -Identity "TheNameOfYourTokenIssuer"
  4. צור מחדש את מנפיק האסימונים. כדי לעשות זאת, בצע את השלבים המפורטים בנושא ' יישום אימות מבוסס SAML ' בנושא SharePoint Server 2013 באתר האינטרנט של Microsoft TechNet לקבלת מידע נוסף.חשוב כאשר אתה מפעיל את הפקודה New-SPTrustedIdentityTokenIssuer , עליך להשתמש בפרמטרים UseDefaultConfiguration ו- IdentifierClaimIs . הפרמטר UseDefaultConfiguration הוא רק בורר. הערכים האפשריים עבור הפרמטר IdentifierClaimIs הם כדלקמן:

    • שם החשבון

    • דואר אלקטרוני

    • שם משתמש-ראשי

    קובץ script לדוגמה:

    $ap = New-SPTrustedIdentityTokenIssuer -Name $tokenIdentityProviderName -Description $TrustedIdentityTokenIssuerDescription -realm $siteRealm -ImportTrustCertificate $adfsCert-SignInUrl $signInUrl -UseDefaultConfiguration -IdentifierClaimIs EMAIL -RegisteredIssuerName $siteRealm
  5. בניהול המרכזי, הוסף את מנפיק אסימון הזהויות המהימן החדש שלך בחזרה לספקי האימות של יישום האינטרנט שאתה מנסה להמיר. יישום האינטרנט חייב לכלול גם אימות Windows וגם ספק הזהות המהימן של היעד נבחר.

עצות נוספות להמרה מוצלחת: אם ערך הדואר האלקטרוני משמש לדרישת המזהה (כלומר, עבור הפרמטר IdentifierClaimIs ), רק המשתמשים שכתובות הדואר האלקטרוני שלהם מאוכלסים ב-Active Directory יומרו. כל חשבונות המשתמשים המפורטים בקובץ ה-. csv המוגדר בפרמטר SourceSkipList לא יומרו ל-SAML. להמרת מטענות Windows ל-SAML, ניתן לרשום את שמות חשבונות המשתמשים עם או ללא סימון הטענות. לדוגמה, האפשרות "contoso\user1" או "i:0. w | contoso\user1" מקובלת. עליך להוסיף לקובץ. csv כל חשבונות משתמש שאינך מעוניין להמיר. אלה אמורים לכלול חשבונות שירות וחשבונות מנהל מערכת.

זקוק לעזרה נוספת?

הרחב את הכישורים שלך
סייר בהדרכה
קבל תכונות חדשות לפני כולם
הצטרף למשתתפי Microsoft insider

האם מידע זה היה שימושי?

עד כמה אתה מרוצה מאיכות התרגום?

מה השפיע על החוויה שלך?

יש לך משוב נוסף? (אופציונלי)

תודה על המשוב!

×