Anda sedang offline saat ini, menunggu internet Anda untuk menyambung kembali

Perintah Convert-SPWebApplication tidak dapat mengkonversi dari Windows klaim SAML di SharePoint Server 2013

PENTING: Artikel ini diterjemahkan oleh perangkat lunak penerjemahan mesin Microsoft, dan mungkin telah diedit oleh Masyarakat Microsoft melalui teknologi CTF dan bukan oleh seorang penerjemah profesional. Microsoft menawarkan baik artikel yang diterjemahkan oleh manusia maupun artikel hasil editan terjemahan oleh mesin/komunitas, sehingga Anda dapat mengakses semua artikel di Sentra Pengetahuan yang kami miliki dalam berbagai bahasa. Namun artikel hasil editan mesin atau bahkan komunitas tidak selalu sempurna. Artikel ini dapat mengandung kesalahan dalam hal kosa kata, sintaksis atau tatabahasa, sangat mirip dengan penutur asing yang membuat kekeliruan ketika berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab atas ketidakakuratan, kesalahan atau kerugian apa pun akibat dari kekeliruan dalam penerjemahan isi atau penggunaannya oleh pelanggan kami. Microsoft juga akan senantiasa memperbarui perangkat lunak penerjemahan mesin dan alat untuk menyempurnakan Editan Hasil Penerjemahan Mesin.

Klik disini untuk melihat versi Inggris dari artikel ini: 3042604
Gejala
Pertimbangkan skenario berikut ini:
  • Anda menggunakan otentikasi klaim Windows (melalui Windows tantangan/jawaban [NTLM] atau Kerberos) di aplikasi web Microsoft SharePoint Server 2013.
  • Anda memutuskan untuk beralih ke terpercaya penyedia klaim menggunakan penyedia berbasis Secure aplikasi Markup Language SAML seperti Active Directory Federation Services (AD FS).
  • Anda meninjau langkah-langkah dalam Migrasi dari Windows klaim otentikasi untuk otentikasi klaim berbasis SAML di SharePoint Server 2013 topik di situs web Microsoft Developer Network (MSDN).
  • Anda menjalankan perintah berikut ini:

    Mengkonversi-SPWebApplication-id $wa-untuk klaim-terpercaya-DEFAULT - dari klaim-WINDOWS - TrustedProvider $tp - SourceSkipList $csv - RetainPermissions

Dalam skenario ini, Anda menerima pesan galat berikut:

SAML berbasis klaim otentikasi tidak kompatibel.

Penyebab
Masalah ini terjadi karena terpercaya identitas penerbit Token tidak dibuat dengan menggunakan konfigurasi default. Konfigurasi default harus digunakan untuk Mengkonversi-SPWebApplication perintah untuk bekerja dengan benar.

Perintah Convert-SPWebApplication memerlukan konfigurasi khusus untuk penyedia terpercaya untuk itu agar kompatibel dengan konversi dari Windows klaim SAML atau sebaliknya.

Khususnya, terpercaya identitas penerbit Token harus dibuat dengan menggunakan parameter UseDefaultConfiguration dan IdentifierClaimIs .

Anda dapat memeriksa apakah Anda terpercaya identitas Token penerbit dibuat dengan menggunakan UseDefaultConfiguration parameter dengan menjalankan skrip Windows PowerShell berikut ini.

Catatan: Skrip ini mengasumsikan bahwa Anda hanya memiliki satu terpercaya penyedia identitas dibuat dalam daerah saat ini.

$tp = Get-SPTrustedIdentityTokenIssuer$tp.claimtypes 

Jenis klaim yang skrip ini harus output adalah sebagai berikut:
  • http://schemas.Microsoft.com/WS/2008/06/Identity/Claims/windowsaccountname
  • http://schemas.Microsoft.com/WS/2008/06/Identity/Claims/primarysid
  • http://schemas.Microsoft.com/WS/2008/06/Identity/Claims/groupsid
  • http://schemas.xmlsoap.org/WS/2005/05/Identity/Claims/emailaddress
  • http://schemas.xmlsoap.org/WS/2005/05/Identity/Claims/upn


#Get the Identity claim:$tp = Get-SPTrustedIdentityTokenIssuer$tp.IdentityClaimTypeInformation 



Klaim identitas harus salah satu dari berikut ini:
  • WindowAccountName
  • EmailAddress
  • UPN

Contoh output untuk $tp. IdentityClaimTypeInformation:
DisplayName: Email
InputClaimType: http://schemas.xmlsoap.org/WS/2005/05/Identity/Claims/EmailAddress
MappedClaimType: http://schemas.xmlsoap.org/WS/2005/05/Identity/Claims/EmailAddress#IsIdentityClaim : Benar


Harus ada penyedia klaim kustom dengan nama yang sama sebagai penerbit token, dan harus jenis SPTrustedBackedByActiveDirectoryClaimProvider.
Jalankan ini untuk melihat apakah penyedia klaim sekarang dan kompatibel:

 $tp = Get-SPTrustedIdentityTokenIssuer$name = $tp.name$cp = Get-SPClaimProvider $nameif($cp.typename -match "SPTrustedBackedByActiveDirectoryClaimProvider"){write-host "Claim provider is present and has TypeName of " $cp.typename " it should be valid"}else{write-host "Claim provider is not present. Trusted Identity Token Issuer" $tp.name " is not compatible with convert-spwebapplication"}

Pemecahan masalah
Untuk mengatasi masalah ini, Hapus dan kemudian membuat ulang terpercaya identitas penerbit Token. Untuk melakukannya, ikuti langkah-langkah berikut:
  1. Jalankan skrip berikut ini:

    $tp = Get-SPTrustedIdentityTokenIssuer$tp | fl$tp.name$tp.IdentityClaimTypeInformation

    Buat kopi karbon output skrip ini untuk rujukan. Khususnya, kita perlu nilai properti nama sehingga penerbit Token baru dapat dibuat dengan menggunakan nama yang sama, dan kita perlu identitas klaim sehingga penyedia klaim baru dapat dibuat dengan menggunakan klaim identitas yang sama. Selama nama yang sama digunakan untuk penerbit token dan klaim yang sama digunakan sebagai klaim identitas, semua pengguna akan mempertahankan izin dalam aplikasi web setelah penerbit token dibuat ulang.

  2. Hapus penyedia identitas terpercaya saat ini dari penyedia otentikasi untuk aplikasi web yang saat ini menggunakan itu.
  3. Hapus penerbit token dengan menjalankan perintah berikut ini:

    Remove-SPTrustedIdentityTokenIssuer -Identity "TheNameOfYourTokenIssuer"

  4. Membuat ulang penerbit token. Untuk melakukannya, ikuti langkah-langkah dalam Menerapkan otentikasi berbasis SAML di SharePoint Server 2013 topik di situs web Microsoft TechNet untuk informasi lebih lanjut.

    Penting Ketika Anda menjalankan Baru-SPTrustedIdentityTokenIssuer perintah, Anda harus menggunakan UseDefaultConfiguration dan IdentifierClaimIs parameter. Bagian UseDefaultConfiguration Parameter ini hanya switch. Mungkin nilai untuk IdentifierClaimIs parameter adalah sebagai berikut:
    • NAMA AKUN
    • EMAIL
    • Nama pengguna UTAMA


    Contoh skrip:

    $ap = New-SPTrustedIdentityTokenIssuer -Name $tokenIdentityProviderName -Description $TrustedIdentityTokenIssuerDescription -realm $siteRealm -ImportTrustCertificate $adfsCert-SignInUrl $signInUrl -UseDefaultConfiguration -IdentifierClaimIs EMAIL -RegisteredIssuerName $siteRealm
  5. Di pusat administrasi, tambahkan baru terpercaya identitas Token penerbit Anda kembali ke penyedia otentikasi untuk aplikasi web yang sedang Anda coba Ubah. aplikasi web harus kedua Otentikasi Windows dan target terpercaya penyedia identitas dipilih.
Informasi lebih lanjut
Additionaltips untuk konversi berhasil:

Jika nilai EMAIL yang digunakan untuk klaim Identifier (yaitu, parameterIdentifierClaimIs), hanya pengguna alamat penyuratan email yang telah diisi di direktori aktif akan diubah.

Akun pengguna yang tercantum dalam file .csv yang ditetapkan dalam SourceSkipList parameter tidak dapat dikonversi ke SAML. Konversi dari Windows klaim SAML, nama akun pengguna dapat terdaftar dengan atau tanpa notasi klaim. Misalnya, salah satu "contoso\user1" atau "i:0 #. w|contoso\user1" diterima. Anda harus menambahkan file .csv bahwa setiap akun pengguna yang Anda tidak ingin dikonversi. Ini harus mencakup akun layanan dan akun administrator.

Peringatan: Artikel ini telah diterjemahkan secara otomatis

Properti

ID Artikel: 3042604 - Tinjauan Terakhir: 12/01/2015 23:53:00 - Revisi: 2.0

Microsoft SharePoint Foundation 2013, Microsoft SharePoint Server 2013

  • kbexpertiseinter kbprb kbsurveynew kbmt KB3042604 KbMtid
Tanggapan