De opdracht Convert SPWebApplication kan niet worden geconverteerd van Windows claims naar SAML in SharePoint Server 2013

BELANGRIJK: Dit artikel is vertaald door middel van automatische vertalingssoftware van Microsoft en is mogelijk nabewerkt door de Microsoft Community via CTF-technologie (Community Translation Framework) of door een menselijke vertaler. Microsoft biedt zowel automatisch vertaalde, door mensen vertaalde en door de community nabewerkte artikelen aan, zodat er in meerdere talen toegang is tot alle artikelen in onze Knowledge Base. Een vertaald of bewerkt artikel kan fouten bevatten in vocabulaire, syntaxis of grammatica.. Microsoft is niet verantwoordelijk voor eventuele onjuistheden, fouten of schade ten gevolge van een foute vertaling van de inhoud van een bericht of het gebruik van deze vertaalde berichten door onze klanten.

De Engelstalige versie van dit artikel is de volgende: 3042604
Symptomen
Overweeg het volgende scenario:
  • U gebruikt Windows claims-verificatie (via [NTLM] van Windows Challenge/Response of Kerberos) in een webtoepassing van Microsoft SharePoint Server 2013.
  • Wilt u overschakelen naar de vertrouwde Provider vorderingen met behulp van een beveiligde toepassing Markup Language SAML gebaseerde voorziening zoals Active Directory Federation Services (AD FS).
  • U bekijkt u de stappen in de Migratie van Windows claims SAML gebaseerde claimverificatie in 2013 van SharePoint Server-verificatie het onderwerp op de website van Microsoft Developer Network (MSDN).
  • U voert de volgende opdracht uit:

    Convert SPWebApplication-id $wa-aan vorderingen-VERTROUWD-standaard-$tp van CLAIMS-WINDOWS - TrustedProvider - SourceSkipList $csv - RetainPermissions

In dit scenario wordt het volgende foutbericht weergegeven:

Op basis van SAML claim verificatie is niet compatibel.

Oorzaak
Dit probleem treedt op omdat de vertrouwde identiteit Token uitgevende instelling niet is gemaakt met behulp van de standaardconfiguratie. De standaardconfiguratie moet worden gebruikt voor de opdracht Convert SPWebApplication correct te laten werken.

De opdracht Convert SPWebApplication vereist een specifieke configuratie voor de vertrouwde Provider voor deze compatibel is met de conversie van Windows claims naar SAML of vice versa.

Met name moet de vertrouwde identiteit Token uitgevende instelling worden gemaakt met behulp van de parameters UseDefaultConfiguration en IdentifierClaimIs .

U kunt controleren of uw vertrouwde identiteit tokenuitgever is gemaakt met behulp van de parameter UseDefaultConfiguration door de volgende Windows PowerShell-scripts uit te voeren.

Opmerking: Deze scripts wordt ervan uitgegaan dat er slechts één die vertrouwde identiteitsprovider binnen de huidige farm gemaakt.

$tp = Get-SPTrustedIdentityTokenIssuer$tp.claimtypes 

De claim dat dit script uitgevoerd moet zijn als volgt:
  • http://schemas.Microsoft.com/ws/2008/06/Identity/claims/windowsaccountname
  • http://schemas.Microsoft.com/ws/2008/06/Identity/claims/primarysid
  • http://schemas.Microsoft.com/ws/2008/06/Identity/claims/groupsid
  • http://schemas.xmlsoap.org/ws/2005/05/Identity/claims/EmailAdres
  • http://schemas.xmlsoap.org/ws/2005/05/Identity/claims/upn


#Get the Identity claim:$tp = Get-SPTrustedIdentityTokenIssuer$tp.IdentityClaimTypeInformation 



De identiteitsclaim moet een van de volgende opties:
  • WindowAccountName
  • EmailAdres
  • UPN

Voorbeeld van uitvoer voor $tp. IdentityClaimTypeInformation:
DisplayName: E-mail
InputClaimType: http://schemas.xmlsoap.org/ws/2005/05/Identity/claims/EmailAddress
MappedClaimType: http://schemas.xmlsoap.org/ws/2005/05/Identity/claims/EmailAddress#IsIdentityClaim : True


Moet er een provider aangepaste claim met dezelfde naam als het token verlener en moet van het type SPTrustedBackedByActiveDirectoryClaimProvider.
Hiermee kunt u controleren of de claimprovider aanwezig en compatibel is uitvoeren:

 $tp = Get-SPTrustedIdentityTokenIssuer$name = $tp.name$cp = Get-SPClaimProvider $nameif($cp.typename -match "SPTrustedBackedByActiveDirectoryClaimProvider"){write-host "Claim provider is present and has TypeName of " $cp.typename " it should be valid"}else{write-host "Claim provider is not present. Trusted Identity Token Issuer" $tp.name " is not compatible with convert-spwebapplication"}

Oplossing
Dit probleem op te lossen verwijdert en de vertrouwde identiteit tokenuitgever opnieuw maken. Ga hiervoor als volgt te werk:
  1. Voer het volgende script:

    $tp = Get-SPTrustedIdentityTokenIssuer$tp | fl$tp.name$tp.IdentityClaimTypeInformation

    Een kopie maken van de uitvoer van dit script voor toekomstig gebruik. In het bijzonder moeten we de waarde van de eigenschap naam zodat de nieuwe tokenuitgever kunnen worden gemaakt met behulp van dezelfde naam, en we de identiteit moeten beweren dat de nieuwe claimprovider kan worden gemaakt met behulp van de identiteitsclaim hetzelfde. Als dezelfde naam wordt gebruikt voor de tokenuitgever en de dezelfde claim wordt gebruikt als de identiteitsclaim, behouden alle gebruikers hun machtigingen in de webtoepassing nadat de uitgever van het token opnieuw gemaakt wordt.

  2. Verwijder de huidige vertrouwde identiteitsprovider verificatieproviders voor een webtoepassing die momenteel wordt gebruikt.
  3. De token uitgevende instelling verwijderen door de volgende opdracht uit te voeren:

    Remove-SPTrustedIdentityTokenIssuer -Identity "TheNameOfYourTokenIssuer"

  4. De uitgever van het token opnieuw maken. Volg hiertoe de stappen in de Verificatie op basis van SAML implementeren in SharePoint Server 2013 het onderwerp op de Microsoft TechNet-website voor meer informatie.

    Belangrijk Bij het uitvoeren van de Nieuwe SPTrustedIdentityTokenIssuer de opdracht, moet u de UseDefaultConfiguration en IdentifierClaimIs parameters. Het UseDefaultConfiguration parameter is gewoon een switch. Mogelijke waarden voor de IdentifierClaimIs parameter zijn als volgt:
    • ACCOUNT NAAM
    • E-MAILADRES
    • PRINCIPAL-GEBRUIKERSNAAM


    Van voorbeeldscript:

    $ap = New-SPTrustedIdentityTokenIssuer -Name $tokenIdentityProviderName -Description $TrustedIdentityTokenIssuerDescription -realm $siteRealm -ImportTrustCertificate $adfsCert-SignInUrl $signInUrl -UseDefaultConfiguration -IdentifierClaimIs EMAIL -RegisteredIssuerName $siteRealm
  5. In Centraal beheer van de nieuwe vertrouwde identiteit tokenuitgever opnieuw toevoegen aan de verificatieproviders voor de webtoepassing die u wilt converteren. De webtoepassing moet hebben. beide Windows-verificatie en het doel is de vertrouwde identiteitsprovider geselecteerd.
Meer informatie
Additionaltips voor een geslaagde conversie:

Als de waarde van het e-MAILADRES wordt gebruikt voor het argument id (dat wil zeggen voor de parameterIdentifierClaimIs), alleen die gebruikers waarvan e-mailadressen worden gevuld in Active Directory worden geconverteerd.

Alle gebruikersaccounts die worden vermeld in het CSV-bestand dat is gedefinieerd in de parameter SourceSkipList worden niet geconverteerd naar SAML. Voor conversie van Windows claims naar SAML, kunnen de namen van gebruikersaccounts worden aangeboden met of zonder de notatie vorderingen. Bijvoorbeeld, een "contoso\user1" of "i:0 #. w|contoso\user1" aanvaardbaar is. U moet toevoegen aan het CSV-bestand dat alle gebruikersaccounts die u niet laten omzetten wilt. Ook deze serviceaccounts en administrator-accounts.

Waarschuwing: dit artikel is automatisch vertaald

Eigenschappen

Artikel-id: 3042604 - Laatst bijgewerkt: 12/02/2015 12:48:00 - Revisie: 2.0

Microsoft SharePoint Foundation 2013, Microsoft SharePoint Server 2013

  • kbexpertiseinter kbprb kbsurveynew kbmt KB3042604 KbMtnl
Feedback