変換 SPWebApplication コマンドは、Windows SharePoint Server 2013 で SAML 主張から変換できません。

重要: このサポート技術情報 (以下「KB」) は、翻訳者による翻訳の代わりに、マイクロソフト機械翻訳システムによって翻訳されたものです。マイクロソフトは、お客様に、マイクロソフトが提供している全ての KB を日本語でご利用いただけるように、翻訳者による翻訳 KB に加え機械翻訳 KB も提供しています。しかしながら、機械翻訳の品質は翻訳者による翻訳ほど十分ではありません。誤訳や、文法、言葉使い、その他、たとえば日本語を母国語としない方が日本語を話すときに間違えるようなミスを含んでいる可能性があります。マイクロソフトは、機械翻訳の品質、及び KB の内容の誤訳やお客様が KB を利用されたことによって生じた直接または間接的な問題や損害については、いかなる責任も負わないものとします。マイクロソフトは、機械翻訳システムの改善を継続的に行っています。

英語版 KB:3042604
現象
次のような状況を考えます。
  • Microsoft SharePoint Server 2013 web アプリケーションでは、(Windows チャレンジ/レスポンスの [NTLM]、または Kerberos) を使用した Windows クレーム認証を使用します。
  • Active Directory フェデレーション サービス (AD FS) などのセキュリティで保護されたアプリケーションのマークアップ言語の SAML ベースのプロバイダーを使用して信頼できるプロバイダーの要求に切り替えるには決定します。
  • 手順を確認する、 Windows の移行は、SharePoint Server 2013 でクレームの SAML ベース認証を認証を要求します。 Microsoft Developer Network (MSDN) web サイトのトピックです。
  • 次のコマンドを実行するとします。

    変換 SPWebApplication-id $wa-クレーム信頼済みの既定値に-WINDOWS クレームから $tp - TrustedProvider-SourceSkipList $csv - RetainPermissions

この場合、次のようなエラー メッセージが表示されます。

ベースの SAML の要求の認証には互換性がありません。

原因
この問題は、既定の構成を使用して、信頼済みの Id トークン発行元が作成されていないために発生します。既定の構成は正常に動作する変換 SPWebApplicationコマンドを使用しなければなりません。

変換 SPWebApplicationコマンドでは、Windows クレームを SAML またはその逆の変換に対応するように信頼できるプロバイダーの特定の構成が必要です。

具体的には、 UseDefaultConfigurationおよびIdentifierClaimIsパラメーターを使用して、信頼済みの Id トークン発行元を作成しなければなりません。

信頼済みの Id トークン発行元が、次の Windows PowerShell スクリプトを実行して、 UseDefaultConfigurationパラメーターを使用して作成されたかどうかを確認することができます。

注: これらのスクリプトでは、信頼できる Id プロバイダーが現在のファーム内に作成された 1 つだけがあることを前提としています。

$tp = Get-SPTrustedIdentityTokenIssuer$tp.claimtypes 

このスクリプトを出力するクレームの種類は次のとおりです。
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn


#Get the Identity claim:$tp = Get-SPTrustedIdentityTokenIssuer$tp.IdentityClaimTypeInformation 



Id 要求は、次のいずれかである必要があります。
  • WindowAccountName
  • EmailAddress
  • UPN

$Tp. の例の出力結果IdentityClaimTypeInformation。
DisplayName: 電子メール
InputClaimType。 http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
MappedClaimType。 http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress#IsIdentityClaim : True


トークンの発行元として同じ名前を持つカスタム クレーム プロバイダーが存在する必要があり、 SPTrustedBackedByActiveDirectoryClaimProviderの種類である必要があります。
クレーム プロバイダーが存在し、互換性があるかどうかを確認するのにはこれを実行します。

 $tp = Get-SPTrustedIdentityTokenIssuer$name = $tp.name$cp = Get-SPClaimProvider $nameif($cp.typename -match "SPTrustedBackedByActiveDirectoryClaimProvider"){write-host "Claim provider is present and has TypeName of " $cp.typename " it should be valid"}else{write-host "Claim provider is not present. Trusted Identity Token Issuer" $tp.name " is not compatible with convert-spwebapplication"}

解決方法
この問題を解決するには、削除し、信頼済みの Id トークン発行元を再作成します。これを行うには、以下の手順を実行します。
  1. 次のスクリプトを実行します。

    $tp = Get-SPTrustedIdentityTokenIssuer$tp | fl$tp.name$tp.IdentityClaimTypeInformation

    将来の参照用には、このスクリプトの出力のコピーを作成します。具体的には、必要があります値は Name プロパティの同じ名前を使用して新しいトークンの発行元を作成することができます、id が必要とするよう主張するように、同一の id 要求を使用して、新しいクレーム プロバイダーを作成することができます。として同じ名前を使用してトークンの発行元のと同じ主張は、id 要求として使用、トークンの発行元は、再作成した後のすべてのユーザーは、web アプリケーション内でアクセス許可を維持します。

  2. 現在使用されている任意の web アプリケーションの認証プロバイダーからの現在の信頼できる Id プロバイダーを削除します。
  3. トークンの発行元を削除するには、次のコマンドを実行します。

    Remove-SPTrustedIdentityTokenIssuer -Identity "TheNameOfYourTokenIssuer"

  4. トークンの発行元を再作成します。これを行うには、次の手順を実行します SharePoint Server 2013 での SAML ベース認証を実装します。 詳細についてはマイクロソフト TechNet web サイトのトピックです。

    重要: 実行すると、 新しい-SPTrustedIdentityTokenIssuer コマンドを使用する必要があります、 UseDefaultConfigurationIdentifierClaimIs パラメーターです。、 UseDefaultConfiguration パラメーターは、スイッチだけです。値の IdentifierClaimIs パラメーターは次のとおりです。
    • アカウント名
    • 電子メール
    • ユーザー プリンシパル名


    スクリプトの例:

    $ap = New-SPTrustedIdentityTokenIssuer -Name $tokenIdentityProviderName -Description $TrustedIdentityTokenIssuerDescription -realm $siteRealm -ImportTrustCertificate $adfsCert-SignInUrl $signInUrl -UseDefaultConfiguration -IdentifierClaimIs EMAIL -RegisteredIssuerName $siteRealm
  5. サーバーの全体管理では、変換しようとしている web アプリケーションの認証プロバイダーに、新しい信頼済みの Id トークン発行元を追加します。Web アプリケーションが必要 両方 Windows 認証と信頼できる Id プロバイダーを選択します。
詳細
変換に成功したの Additionaltips。

電子メールの値を使用する場合 Id クレームの (つまり、IdentifierClaimIsパラメーターに)、Active Directory 内の電子メール アドレスが設定されますユーザーだけが変換されます。

SAML には、 SourceSkipListパラメーターで定義されている .csv ファイルに記載されているすべてのユーザー アカウントは変換されません。SAML に Windows クレームの変換、クレームの表記の有無にかかわらず、ユーザー アカウント名を追加できます。などのいずれか"contoso\user1"または"i:0 #。 w|contoso\user1」が許容されます。変換しないようにするすべてのユーザー アカウントを .csv ファイルに追加する必要があります。これらは、サービス アカウントおよび管理者アカウントを含める必要があります。

警告: この記事は自動翻訳されています

Properti

ID Artikel: 3042604 - Tinjauan Terakhir: 12/02/2015 12:47:00 - Revisi: 2.0

Microsoft SharePoint Foundation 2013, Microsoft SharePoint Server 2013

  • kbexpertiseinter kbprb kbsurveynew kbmt KB3042604 KbMtja
Tanggapan