SPWebApplication 변환 명령은 Windows SharePoint Server 2013에 SAML 클래임을에서 변환할 수 없습니다.

이 문서는 Microsoft 기계 번역 소프트웨어를 이용하여 번역되었으며 Microsoft Community에 의한 Community Translation Framework(CTF) 기술 혹은 사람이 번역한 내용에 의하여 사후 편집될 수 있습니다. Microsoft는 Knowledge Base에 있는 모든 문서에 다양한 언어로 접근할 수 있도록 하기 위하여 기계 번역, 사람에 의한 번역 및 커뮤니티가 편집한 내용을 모두 제공합니다. 번역된 문서는 어휘, 구문 및/혹은 문법에 오류가 있을 수 있습니다. Microsoft는 번역 오류로 인한 부정확성, 오류 및/또는 손해와 이를 고객이 사용하는 데에 대하여 책임을 지지 않습니다.

이 문서의 영문 버전 보기:3042604
현상
다음 시나리오를 고려하십시오.
  • Microsoft SharePoint Server 2013 웹 응용 프로그램에서 (Windows 챌린지/응답 [NTLM] 또는 Kerberos) 통해 Windows 클레임 인증을 사용합니다.
  • Active Directory 페더레이션 서비스 (ADFS) 같은 보안 응용 프로그램 마크업 언어 SAML 기반 공급자를 사용 하 여 신뢰할 수 있는 공급자 클레임으로 전환 하기로 했습니다.
  • 단계를 검토 하면 마이그레이션 windows SharePoint Server 2013에 SAML 기반 클레임 인증에 대 한 인증 요구 Microsoft Developer Network (MSDN) 웹 사이트에 대 한 항목입니다.
  • 다음 명령을 실행합니다.

    변환-SPWebApplication-$wa id-에 클레임 신뢰-기본-클레임-WINDOWS에서-TrustedProvider $tp-SourceSkipList $csv-RetainPermissions

이 시나리오에서는 다음과 같은 오류 메시지가 나타날 수 있습니다.

기반으로 하는 SAML 클레임 인증 호환 되지 않습니다.

원인
기본 구성을 사용 하 여 만든 신뢰할 수 있는 Identity 토큰 발급자 때문에이 문제가 발생 합니다. 기본 구성이 제대로 작동 하려면 변환 SPWebApplication 명령에 사용 되어야 합니다.

SPWebApplication 변환 명령에서는 Windows 클레임을 SAML 또는 그 반대로 변환와 호환 되도록에 대 한 신뢰할 수 있는 공급자 구성

특히, 신뢰할 수 있는 Identity 토큰 발급자의 UseDefaultConfigurationIdentifierClaimIs 매개 변수를 사용 하 여 만들어야 합니다.

사용자 Identity 토큰 신뢰할 수 있는 발급자 다음 Windows PowerShell 스크립트를 실행 하 여 UseDefaultConfiguration 매개 변수를 사용 하 여 만들어졌는지 여부를 확인할 수 있습니다.

참고: 이러한 스크립트는 현재 팜에 신뢰할 수 있는 Id 공급자가 생성 한 개만 있다고 가정 합니다.

$tp = Get-SPTrustedIdentityTokenIssuer$tp.claimtypes 

이 스크립트를 출력 해야 하는 클레임 유형에 다음과 같습니다.
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/전자
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn


#Get the Identity claim:$tp = Get-SPTrustedIdentityTokenIssuer$tp.IdentityClaimTypeInformation 



Id 클레임은 다음 중 하나 여야 합니다.
  • WindowAccountName
  • 전자 메일 주소
  • UPN

이 예제의 출력에 $tp. IdentityClaimTypeInformation:
DisplayName: 메일
InputClaimType: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
MappedClaimType: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress#IsIdentityClaim : True


토큰 발급자와 같은 이름 가진 사용자 지정 클레임 공급자 있어야 하 고 SPTrustedBackedByActiveDirectoryClaimProvider형식 이어야 합니다.
클레임 공급자 존재 하 고 호환 되는지 확인 하려면이 옵션을 실행 합니다.

 $tp = Get-SPTrustedIdentityTokenIssuer$name = $tp.name$cp = Get-SPClaimProvider $nameif($cp.typename -match "SPTrustedBackedByActiveDirectoryClaimProvider"){write-host "Claim provider is present and has TypeName of " $cp.typename " it should be valid"}else{write-host "Claim provider is not present. Trusted Identity Token Issuer" $tp.name " is not compatible with convert-spwebapplication"}

해결 방법
이 문제를 해결 하려면 삭제 하 고 신뢰할 수 있는 Identity 토큰 발급자를 다시 만듭니다. 이렇게 하려면, 다음 단계를 수행하십시오.
  1. 다음 스크립트를 실행 합니다.

    $tp = Get-SPTrustedIdentityTokenIssuer$tp | fl$tp.name$tp.IdentityClaimTypeInformation

    이 스크립트를 나중에 참조할 수 출력의 복사본을 만듭니다. 특히, 필요한 값 이름 속성 id 필요 하 고 같은 이름을 사용 하 여 새 토큰 발급자를 만들 수 있도록 주장 같은 id 클레임을 사용 하 여 새 클레임 공급자를 만들 수 있도록 합니다. 토큰 발급자 이름이 쓰이고 있고 동일한 클레임 id 클레임으로 사용 하는, 모든 사용자는 토큰 발급자를 다시 만든 후 웹 응용 프로그램의 사용 권한을 유지 합니다.

  2. 인증 공급자에서 사용 하는 웹 응용 프로그램에 대 한 현재 신뢰할 수 있는 Id 공급자를 제거 합니다.
  3. 다음 명령을 실행 하 여 토큰 발급자를 삭제 합니다.

    Remove-SPTrustedIdentityTokenIssuer -Identity "TheNameOfYourTokenIssuer"

  4. 토큰 발급자를 다시 만듭니다. 이렇게 하려면의 단계를 수행 하면 SharePoint Server 2013에 SAML 기반 인증을 구현 합니다. 자세한 내용은 Microsoft TechNet 웹 사이트의 항목입니다.

    중요 실행 하는 경우는 새로운 SPTrustedIdentityTokenIssuer 명령에 사용 해야 하는 UseDefaultConfiguration 하 고 IdentifierClaimIs 매개 변수입니다. 이 UseDefaultConfiguration 매개 변수는 스위치 방금입니다. 가능한 값은 IdentifierClaimIs 매개 변수는 다음과 같습니다.
    • 계정 이름
    • 전자 메일
    • 사용자 보안 주체 이름


    예제 스크립트:

    $ap = New-SPTrustedIdentityTokenIssuer -Name $tokenIdentityProviderName -Description $TrustedIdentityTokenIssuerDescription -realm $siteRealm -ImportTrustCertificate $adfsCert-SignInUrl $signInUrl -UseDefaultConfiguration -IdentifierClaimIs EMAIL -RegisteredIssuerName $siteRealm
  5. 중앙 관리에서에서 새 신뢰할 수 있는 Identity 토큰 발급자 변환 하려는 웹 응용 프로그램의 인증 공급자를 다시 추가 합니다. 웹 응용 프로그램이 있어야 합니다. 둘 다 Windows 인증 및 Id 공급자를 신뢰할 수 있게 해 줍니다.
추가 정보
Additionaltips 변환 작업을 수행 합니다.

전자 메일 값을 사용 하는 경우 식별자 클레임에 대 한 (즉,IdentifierClaimIs매개 변수), 전자 메일 주소가 Active Directory에 채워진 사용자만 변환 됩니다.

SAML에는 SourceSkipList 매개 변수에 정의 된.csv 파일에 나열 된 모든 사용자 계정 변환 되지 않습니다. Windows 클레임을 SAML에서 변환에 대 한 클레임 표기 유무 사용자 계정 이름은 나열할 수 있습니다. 예를 들어, 어떤 "contoso\user1" 또는 "i:0 #. w|contoso\user1" 사용할 수 있습니다. 사용자 계정에 변환 된 원하지 않는.csv 파일에 추가 해야 합니다. 이러한 서비스 계정 및 관리자 계정이 포함 되어야 합니다.

경고: 이 문서는 자동으로 번역되었습니다.

속성

문서 ID: 3042604 - 마지막 검토: 12/02/2015 12:48:00 - 수정: 2.0

Microsoft SharePoint Foundation 2013, Microsoft SharePoint Server 2013

  • kbexpertiseinter kbprb kbsurveynew kbmt KB3042604 KbMtko
피드백