Entrar com a conta da Microsoft
Entrar ou criar uma conta.
Olá,
Selecionar uma conta diferente.
Você tem várias contas
Escolha a conta com a qual você deseja entrar.

Sintomas

Considere o seguinte cenário:

  • Você usa autenticação de declarações do Windows (por meio de desafio/resposta do Windows [NTLM] ou Kerberos) em um aplicativo Web do Microsoft SharePoint Server 2013.

  • Você decide alternar para declarações de provedor confiável usando um provedor baseado em SAML (linguagem de marcação de aplicativo) (Active Directory Federation Language), como os serviços de Federação do Active Directory (AD FS).

  • Você revisa as etapas na migração da autenticação de declarações do Windows para autenticação de declarações baseada em SAML no SharePoint Server 2013 no site do Microsoft Developer Network (MSDN).

  • Você executa o seguinte comando:

    Convert-SPWebApplication-ID $wa-to CLAIMs-TRUSTed-DEFAULT-from CLAIMs-WINDOWS-Trustprovider $tp-SourceSkipList $csv-RetainPermissions

Nesse cenário, a seguinte mensagem de erro é exibida:

A autenticação de declarações baseada em SAML não é compatível.

Causa

Esse problema ocorre porque o emissor de token de identidade confiável não foi criado usando a configuração padrão. A configuração padrão deve ser usada para o comando Convert-SPWebApplication funcionar corretamente. O comando Convert-SPWebApplication exige que uma configuração específica para o provedor confiável seja compatível com a conversão de declarações do Windows para SAML ou vice-versa. Especificamente, o emissor de token de identidade confiável deve ser criado usando os parâmetros UseDefaultConfiguration e IdentifierClaimIs . Você pode verificar se o emissor de token de identidade confiável foi criado usando o parâmetro UseDefaultConfiguration executando os seguintes scripts do Windows PowerShell.Observação: Esses scripts pressupõem que você tenha apenas um provedor de identidade confiável criado dentro do farm atual.

$tp = Get-SPTrustedIdentityTokenIssuer$tp.claimtypes

Os tipos de declaração que este script deve produzir são os seguintes:

  • http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname

  • http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid

  • http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid

  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn

#Get the Identity claim:$tp = Get-SPTrustedIdentityTokenIssuer$tp.IdentityClaimTypeInformation

A declaração de identidade deve ser uma das seguintes opções:

  • WindowAccountName

  • EmailAddress

  • UPNS

Exemplo de saída para $tp. IdentityClaimTypeInformation: DisplayName: InputClaimType de email: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/EmailAddressMappedClaimType: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/EmailAddress#IsIdentityClaim : true deve haver um provedor de declaração personalizado com o mesmo nome do emissor do token, e ele deve ser do tipo SPTrustedBackedByActiveDirectoryClaimProvider. Execute isso para ver se o provedor de declarações está presente e é compatível:

 $tp = Get-SPTrustedIdentityTokenIssuer$name = $tp.name$cp = Get-SPClaimProvider $nameif($cp.typename -match "SPTrustedBackedByActiveDirectoryClaimProvider"){write-host "Claim provider is present and has TypeName of " $cp.typename " it should be valid"}else{write-host "Claim provider is not present. Trusted Identity Token Issuer" $tp.name " is not compatible with convert-spwebapplication"}

Resolução

Para solucionar esse problema, exclua e recrie o emissor de token de identidade confiável. Para fazer isto, siga as seguintes etapas:

  1. Execute o seguinte script:

    $tp = Get-SPTrustedIdentityTokenIssuer$tp | fl$tp.name$tp.IdentityClaimTypeInformation

    Faça uma cópia da saída desse script para referência futura. Em particular, precisamos do valor da propriedade Name para que o novo emissor de token possa ser criado usando o mesmo nome, e precisamos da declaração de identidade para que o novo provedor de declaração possa ser criado usando a mesma declaração de identidade. Desde que o mesmo nome seja usado para o emissor do token e a mesma declaração seja usada como declaração de identidade, todos os usuários manterão suas permissões dentro do aplicativo Web após o emissor do token ser recriado.

  2. Remova o provedor de identidade confiável atual dos provedores de autenticação para qualquer aplicativo Web que o está usando no momento.

  3. Exclua o emissor do token executando o seguinte comando:

    Remove-SPTrustedIdentityTokenIssuer -Identity "TheNameOfYourTokenIssuer"

  4. Crie novamente o emissor do token. Para fazer isso, siga as etapas no tópico implementar autenticação baseada em SAML no SharePoint Server 2013 , no site da Microsoft TechNet, para obter mais informações.Importante Ao executar o comando New-SPTrustedIdentityTokenIssuer , você deve usar os parâmetros UseDefaultConfiguration e IdentifierClaimIs . O parâmetro UseDefaultConfiguration é apenas uma opção. Os valores possíveis para o parâmetro IdentifierClaimIs são os seguintes:

    • NOME DA CONTA

    • Email

    • NOME DO USUÁRIO-UPN

    Exemplo de script:

    $ap = New-SPTrustedIdentityTokenIssuer -Name $tokenIdentityProviderName -Description $TrustedIdentityTokenIssuerDescription -realm $siteRealm -ImportTrustCertificate $adfsCert-SignInUrl $signInUrl -UseDefaultConfiguration -IdentifierClaimIs EMAIL -RegisteredIssuerName $siteRealm

  5. Na administração central, adicione seu novo emissor de token de identidade confiável de volta aos provedores de autenticação do aplicativo Web que você está tentando converter. O aplicativo Web deve ter a autenticação do Windows e o provedor de identidade confiável de destino selecionado.

Informações adicionais

Outras dicas para a conversão bem-sucedida: se o valor de EMAIL for usado para a declaração de identificador (ou seja, para o parâmetro IdentifierClaimIs ), somente os usuários cujos endereços de email forem preenchidos no Active Directory serão convertidos. Todas as contas de usuário listadas no arquivo. csv definido no parâmetro SourceSkipList não serão convertidas em SAML. Para a conversão do Windows alega para SAML, os nomes das contas de usuário podem ser listados com ou sem a notação de declarações. Por exemplo, "Contoso\user1" ou "i:0 #. w | Contoso\user1" é aceitável. Você deve adicionar um arquivo. csv a todas as contas de usuário que não deseja converter. Elas devem incluir contas de serviço e contas de administrador.

Facebook LinkedIn Email
ASSINAR RSS FEEDS

Precisa de mais ajuda?

Quer mais opções

Descobrir Comunidade

Explore os benefícios da assinatura, procure cursos de treinamento, saiba como proteger seu dispositivo e muito mais.

Benefícios da assinatura do Microsoft 365

Treinamento do Microsoft 365

Segurança da Microsoft

Centro de acessibilidade

As comunidades ajudam você a fazer e responder perguntas, fazer comentários e ouvir especialistas com conhecimento avançado.

Perguntar à comunidade da Microsoft

Microsoft Tech Community

Windows Insiders

Insiders do Microsoft 365

Essas informações foram úteis?

Qual é o seu grau de satisfação com a qualidade do idioma?
O que afetou sua experiência?
Ao pressionar enviar, seus comentários serão usados para aprimorar os produtos e serviços da Microsoft. Seu administrador de TI poderá coletar esses dados. Política de Privacidade.

Agradecemos seus comentários!

×