Aanmelden met Microsoft
Meld u aan of maak een account.
Hallo,
Selecteer een ander account.
U hebt meerdere accounts
Kies het account waarmee u zich wilt aanmelden.

Symptomen

Neem het volgende scenario:

  • U gebruikt Windows-claimverificatie (via Windows Challenge/antwoord [NTLM] of Kerberos) in een webtoepassing van Microsoft SharePoint Server 2013.

  • U besluit om te schakelen naar claim voor vertrouwde providers met behulp van een toepassing van Secure Directory Federation Services (SAML) op basis van een toepassing van de service voor Active Directory Federation Services (AD FS).

  • U vindt de stappen in de migratie van Windows claims Authentication naar SAML-claimverificatie in SharePoint Server 2013 op de website van MSDN (Microsoft Developer Network).

  • Voer de volgende opdracht uit:

    Convert-SPWebApplication-id $wa-in CLAIMS-vertrouwd-standaard van CLAIMS-WINDOWS-TrustedProvider $tp-SourceSkipList $csv-RetainPermissions

In dit scenario wordt het volgende foutbericht weergegeven:

Op SAML gebaseerde claimverificatie is niet compatibel.

Oorzaak

Dit probleem treedt op omdat de uitgever van het vertrouwde identiteits token niet is gemaakt met de standaardconfiguratie. De standaardconfiguratie moet worden gebruikt voor de opdracht converteren-SPWebApplication om correct te werken. Voor de opdracht converteren-SPWebApplication is een specifieke configuratie vereist voor de vertrouwde provider, zodat deze compatibel is met de conversie van Windows claims naar SAML of omgekeerd. Met name de Issuer van het vertrouwde identiteits token moet worden gemaakt met behulp van de parameters UseDefaultConfiguration en IdentifierClaimIs . Met de volgende Windows PowerShell-scripts kunt u controleren of de uitgever van het vertrouwde identiteits token is gemaakt met behulp van de UseDefaultConfiguration -parameter.Opmerking: Bij deze scripts wordt ervan uitgegaan dat u slechts één vertrouwde identiteits provider hebt gemaakt binnen de huidige farm.

$tp = Get-SPTrustedIdentityTokenIssuer$tp.claimtypes 

De claimtypen die dit script moet uitvoeren, zijn als volgt:

  • http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname

  • http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid

  • http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid

  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn

#Get the Identity claim:$tp = Get-SPTrustedIdentityTokenIssuer$tp.IdentityClaimTypeInformation 

De identiteits claim moet een van de volgende zijn:

  • WindowAccountName

  • EmailAddress

  • UPN

Voorbeeld van uitvoer voor $tp. IdentityClaimTypeInformation: DisplayName: e-mail InputClaimType: http://schemas.xmlsoap.org/WS/2005/05/Identity/claims/EmailAddressMappedClaimType: http://schemas.xmlsoap.org/WS/2005/05/Identity/claims/EmailAddress#IsIdentityClaim : waar er moet een aangepaste claimprovider zijn met dezelfde naam als de certificaatuitgever en de naam van de token moet SPTrustedBackedByActiveDirectoryClaimProvider. Voer deze opdracht uit om te zien of de claimprovider aanwezig en compatibel is:

 $tp = Get-SPTrustedIdentityTokenIssuer$name = $tp.name$cp = Get-SPClaimProvider $nameif($cp.typename -match "SPTrustedBackedByActiveDirectoryClaimProvider"){write-host "Claim provider is present and has TypeName of " $cp.typename " it should be valid"}else{write-host "Claim provider is not present. Trusted Identity Token Issuer" $tp.name " is not compatible with convert-spwebapplication"}

Oplossing

Als u dit probleem wilt oplossen, verwijdert u de uitgever van het vertrouwde identiteits token en maakt u deze vervolgens opnieuw. Ga hiervoor als volgt te werk:

  1. Voer het volgende script uit:

    $tp = Get-SPTrustedIdentityTokenIssuer$tp | fl$tp.name$tp.IdentityClaimTypeInformation

    Maak een kopie van de uitvoer van dit script voor toekomstige naslaginformatie. We hebben in het bijzonder de waarde voor de eigenschap naam nodig, zodat de nieuwe token uitgever met dezelfde naam kan worden gemaakt, zodat de nieuwe claimprovider kan worden gemaakt met behulp van dezelfde identiteitsclaim. Zolang dezelfde naam wordt gebruikt voor de tokenuitgever en dezelfde claim wordt gebruikt als de identiteitsclaim, blijven alle gebruikers hun machtigingen binnen de webtoepassing behouden nadat de tokenuitgever opnieuw is gemaakt.

  2. Verwijder de huidige vertrouwde identiteits provider van verificatie providers voor een webtoepassing die deze momenteel gebruikt.

  3. Verwijder de token issue door de volgende opdracht uit te voeren:

    Remove-SPTrustedIdentityTokenIssuer -Identity "TheNameOfYourTokenIssuer"
  4. Maak de tokenuitgever opnieuw. Hiertoe volgt u de stappen in het onderwerp SAML-gebaseerde verificatie op basis van SharePoint Server 2013 op de Microsoft TechNet-website voor meer informatie.Belangrijk Wanneer u de opdracht New-SPTrustedIdentityTokenIssuer uitvoert, moet u de parameters UseDefaultConfiguration en IdentifierClaimIs gebruiken. De parameter UseDefaultConfiguration is slechts een schakeloptie. Mogelijke waarden voor de parameter IdentifierClaimIs zijn de volgende:

    • ACCOUNT NAAM

    • E-mail

    • USER-PRINCIPAL-NAME

    Voorbeeld van script:

    $ap = New-SPTrustedIdentityTokenIssuer -Name $tokenIdentityProviderName -Description $TrustedIdentityTokenIssuerDescription -realm $siteRealm -ImportTrustCertificate $adfsCert-SignInUrl $signInUrl -UseDefaultConfiguration -IdentifierClaimIs EMAIL -RegisteredIssuerName $siteRealm
  5. Voeg in Centraal beheer uw nieuwe certificaatbeheerder voor vertrouwde identiteit toe aan de authenticatieproviders van de webtoepassing die u wilt converteren. Voor de webtoepassing moet zowel Windows-verificatie als de vertrouwde identiteits provider zijn geselecteerd.

Meer informatie

Extra tips voor een succesvolle conversie: als de waarde van de E-mail wordt gebruikt voor de id-claim (dat wil zeggen voor de parameter IdentifierClaimIs ), worden alleen de gebruikers van wie de e-mailadressen in Active Directory zijn ingevuld, geconverteerd. Gebruikersaccounts die worden vermeld in het CSV-bestand dat is gedefinieerd in de SourceSkipList -parameter, worden niet GECONVERTEERD naar SAML. Voor conversie van Windows-claims naar SAML kunnen de namen van gebruikersaccounts worden weergegeven met of zonder de claim notatie. U kunt bijvoorbeeld "contoso\user1" of "i:0 #. w | contoso\user1" accepteren. U moet een CSV-bestand toevoegen aan de gebruikersaccounts die u niet wilt converteren. Dit omvat serviceaccounts en beheerdersaccounts.

Meer hulp nodig?

Uw vaardigheden uitbreiden

TRAINING VERKENNEN >

Als eerste nieuwe functies krijgen

DEELNEMEN AAN MICROSOFT 365 INSIDERS >

Was deze informatie nuttig?

Hoe tevreden bent u met de taalkwaliteit?
Wat heeft uw ervaring beïnvloed?

Hartelijk dank voor uw feedback.

×