Você está offline; aguardando reconexão

O comando SPWebApplication de conversão não pode converter de declarações do Windows para SAML do SharePoint Server 2013

IMPORTANTE: Este artigo foi traduzido pelo software de tradução automática da Microsoft e eventualmente pode ter sido editado pela Microsoft Community através da tecnologia Community Translation Framework (CTF) ou por um tradutor profissional. A Microsoft oferece artigos traduzidos automaticamente por software, por tradutores profissionais e editados pela comunidade para que você tenha acesso a todos os artigos de nossa Base de Conhecimento em diversos idiomas. No entanto, um artigo traduzido pode conter erros de vocabulário, sintaxe e/ou gramática. A Microsoft não é responsável por qualquer inexatidão, erro ou dano causado por qualquer tradução imprecisa do conteúdo ou por seu uso pelos nossos clientes.

Clique aqui para ver a versão em Inglês deste artigo: 3042604
Sintomas
Considere o seguinte cenário:
  • Usar autenticação de declarações do Windows (através de desafio/resposta do Windows [NTLM] ou Kerberos) em um aplicativo da web do Microsoft SharePoint Server 2013.
  • Você decide alternar para declarações de provedor confiável usando um provedor de SAML segura aplicativo Markup Language como os serviços de Federação do Active Directory (AD FS).
  • Examine as etapas do Autenticação para a autenticação de declarações baseadas em SAML do SharePoint Server 2013 de declarações de migração do Windows tópico no site da Microsoft Developer Network (MSDN).
  • Execute o seguinte comando:

    Converter SPWebApplication-id $wa-para declarações confiáveis-padrão-$tp de declarações-WINDOWS - TrustedProvider - SourceSkipList $csv - RetainPermissions

Nesse cenário, você recebe a seguinte mensagem de erro:

Autenticação de declarações SAML com base não é compatível.

Causa
Esse problema ocorre porque o emissor de Token de identidade confiável não foi criado usando a configuração padrão. A configuração padrão deve ser usada para o comando Convert SPWebApplication para funcionar corretamente.

O comando Convert SPWebApplication requer uma configuração específica para o provedor confiável para que ele seja compatível com a conversão de declarações do Windows SAML ou vice-versa.

Especificamente, o emissor de Token de identidade confiável deve ser criado usando os parâmetros UseDefaultConfiguration e IdentifierClaimIs .

Você pode verificar se o emissor de Token de identidade confiável foi criado usando o parâmetro UseDefaultConfiguration , executando os seguintes scripts do Windows PowerShell.

Observação: Esses scripts pressupõem que você tenha somente um que provedor de identidade confiável criado dentro do farm atual.

$tp = Get-SPTrustedIdentityTokenIssuer$tp.claimtypes 

Os tipos de declaração de que este script deve saída são os seguintes:
  • http://schemas.microsoft.com/WS/2008/06/Identity/Claims/windowsaccountname
  • http://schemas.microsoft.com/WS/2008/06/Identity/Claims/primarysid
  • http://schemas.microsoft.com/WS/2008/06/Identity/Claims/Get groupsid
  • http://schemas.xmlsoap.org/ws/2005/05/Identity/Claims/ deendereço de email
  • http://schemas.xmlsoap.org/ws/2005/05/Identity/Claims/upn


#Get the Identity claim:$tp = Get-SPTrustedIdentityTokenIssuer$tp.IdentityClaimTypeInformation 



A declaração de identidade deve ser um dos seguintes procedimentos:
  • WindowAccountName
  • Endereço de email
  • UPN

Saída de exemplo para $tp. IdentityClaimTypeInformation:
DisplayName: E-mail
InputClaimType: http://schemas.xmlsoap.org/ws/2005/05/Identity/Claims/EmailAddress
MappedClaimType: http://schemas.xmlsoap.org/ws/2005/05/Identity/Claims/EmailAddress#IsIdentityClaim : True


Deve haver um provedor de declaração personalizada com o mesmo nome como o emissor do token e ela deve ser do tipo SPTrustedBackedByActiveDirectoryClaimProvider.
Execute para ver se o provedor de declaração estiver presente e compatíveis:

 $tp = Get-SPTrustedIdentityTokenIssuer$name = $tp.name$cp = Get-SPClaimProvider $nameif($cp.typename -match "SPTrustedBackedByActiveDirectoryClaimProvider"){write-host "Claim provider is present and has TypeName of " $cp.typename " it should be valid"}else{write-host "Claim provider is not present. Trusted Identity Token Issuer" $tp.name " is not compatible with convert-spwebapplication"}

Resolução
Para resolver esse problema, exclua e recrie o emissor de Token de identidade confiável. Para fazer isso, execute as seguintes etapas:
  1. Execute o seguinte script:

    $tp = Get-SPTrustedIdentityTokenIssuer$tp | fl$tp.name$tp.IdentityClaimTypeInformation

    Faça uma cópia da saída desse script para referência futura. Em particular, é necessário o valor para a propriedade Name para que o emissor do Token novos podem ser criado usando o mesmo nome e precisamos a identidade da declaração para que o novo provedor de declaração pode ser criado usando a mesma declaração de identidade. Desde que o mesmo nome é usado para o emissor do token e a mesma declaração é usada como a declaração de identidade, todos os usuários manterão suas permissões dentro do aplicativo da web depois que o emissor do token é recriado.

  2. Remova o provedor de identidade confiável atual de provedores de autenticação para qualquer aplicativo da web que ele está sendo usado.
  3. Exclua o emissor do token, executando o seguinte comando:

    Remove-SPTrustedIdentityTokenIssuer -Identity "TheNameOfYourTokenIssuer"

  4. Recrie o emissor do token. Para fazer isso, siga as etapas do Implementar autenticação com base em SAML do SharePoint Server 2013 tópico no site do Microsoft TechNet para obter mais informações.

    Importante Quando você executa o Novo SPTrustedIdentityTokenIssuer comando, você deve usar o UseDefaultConfiguration e IdentifierClaimIs parâmetros. O UseDefaultConfiguration parâmetro é apenas uma opção. Valores possíveis para a IdentifierClaimIs parâmetro são as seguintes:
    • NOME DA CONTA
    • E-MAIL
    • NOME DE USUÁRIO PRINCIPAL


    Script de exemplo:

    $ap = New-SPTrustedIdentityTokenIssuer -Name $tokenIdentityProviderName -Description $TrustedIdentityTokenIssuerDescription -realm $siteRealm -ImportTrustCertificate $adfsCert-SignInUrl $signInUrl -UseDefaultConfiguration -IdentifierClaimIs EMAIL -RegisteredIssuerName $siteRealm
  5. Na Administração Central, adicione o novo confiável identidade do emissor do Token para os provedores de autenticação do aplicativo da web que você está tentando converter. O aplicativo da web deve ter ambos A autenticação do Windows e o destino selecionado do provedor de identidade confiável.
Mais Informações
Additionaltips de conversão bem-sucedida:

Se o valor de E-mail será usado para a declaração de identificador (ou seja, para o parâmetroIdentifierClaimIs), somente os usuários com endereços de e-mail são preenchidos no Active Directory serão convertidos.

As contas de usuário listadas no arquivo. csv que é definido no parâmetro SourceSkipList não serão convertidas em SAML. Para conversão de declarações do Windows para SAML, os nomes de conta de usuário podem ser listados com ou sem a notação de declarações. Por exemplo, o "contoso\user1" ou "i:0 #. w|contoso\user1" é aceitável. Você deve adicionar esse arquivo. csv quaisquer contas de usuário que você não deseja que sejam convertidos. Estes devem incluir contas de serviço e contas de administrador.

Aviso: este artigo foi traduzido automaticamente

Propriedades

ID do Artigo: 3042604 - Última Revisão: 12/02/2015 12:49:00 - Revisão: 2.0

Microsoft SharePoint Foundation 2013, Microsoft SharePoint Server 2013

  • kbexpertiseinter kbprb kbsurveynew kbmt KB3042604 KbMtpt
Comentários
> sByTagName("head")[0].appendChild(m);