Passo a passo vídeo: configurar o AD FS com o SharePoint Server 2010 para autenticação de SAML

IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática… erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.

Clique aqui para ver a versão em Inglês deste artigo: 3064450
O vídeo que se segue mostra como configurar serviços de Federação do Active Directory (AD FS) com o SharePoint Server 2010 para autenticação de SAML.


Notas útil para os passos

Passo 1: Configurar serviços de Federação do Active Directory

  • O nome de serviços de Federação é um nome de domínio através da Internet do seu servidor de AD FS. O utilizador do Microsoft Office 365 será redireccionado para este domínio para autenticação. Certifique-se de que adicionou um público um registo para o nome de domínio.
  • Manualmente, é possível escrever um nome para o nome do serviço de Federação. Este nome é determinado pelo enlace de certificado para "Web Site predefinido" no Internet Information Services (IIS). Por isso, tem de associar o novo certificado para o Web site predefinido antes de configurar o AD FS.
  • Pode utilizar qualquer conta como a conta de serviço. Se a palavra-passe da conta de serviço expirou, o AD FS pára de funcionar. Certifique-se de que a palavra-passe da conta está definida para que nunca expira.


Passo 2: Adicionar dependente de uma das partes de fidedignidade para a aplicação web do SharePoint 2010



  • O interlocutor URL de protocolo WS-Federation Passive deve estar no seguinte formato:
    https://<>FQDN> /_trust/
    Não se esqueça de escrever o carácter de barra (/) após "_trust".

  • O identificador de fidedignidade da parte de resposta tem de começar com urn:.

Passo 3: Importar o certificado de assinatura de AD FS para o servidor do SharePoint



O AD FS contém três certificados. Certifique-se de que o certificado importado é o certificado "Assinatura de tokens".

Passo 4: Configurar o SharePoint a utilizar o AD FS, como um SAML identificar fornecedor

Scripts para configurar o SharePoint 2010 com o AD FS
$cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2(“C:\adfs.cer”) New-SPTrustedRootAuthority -Name “Token Signing Cert“ -Certificate $cert $map1= New-SPClaimTypeMapping -IncomingClaimType “http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName “EmailAddress” -SameAsIncoming$map2 = New-SPClaimTypeMapping -IncomingClaimType “http://schemas.microsoft.com/ws/2008/06/identity/claims/role" -IncomingClaimTypeDisplayName “Role” -SameAsIncoming$realm = “urn:lg-sp2010”$signingURL=https://myadfs.contoso.com/adfs/ls ##comment: "myadfs.contoso.com" is the ADFS federation service name.$SPT = New-SPTrustedIdentityTokenIssuer -Name “My ADFSv2 SAML Provider” -Description “ADFS for SharePoint” -realm $realm -ImportTrustCertificate $cert -ClaimsMappings $map1,$map2 -SignInUrl $signingURL -IdentifierClaim “http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"


Passo 5: Configurar permissões de utilizador para autenticação de SAML no SharePoint

  • Tem de certificar-se de que a conta de utilizador tem o respectivo endereço de correio electrónico configurado nocorreio electrónico campo no Active Directory. Caso contrário, será devolvido o erro "Acesso negado" do servidor SharePoint.

Depois de adicionar o nome do servidor de Federação para a zona de local intranet na Internet, a autenticação NTLM é utilizada quando os utilizadores tentam autenticar o servidor de AD FS. Por conseguinte, não for pedidos para introduzir as respectivas credenciais.

Os administradores podem implementar definições de política de grupo para configurar uma solução de Single Sign-On em computadores cliente que estejam associados ao domínio.

PERGUNTAS MAIS FREQUENTES
Q: Como pode activar único início de sessão para computadores cliente para que o utilizador não será avisado as credenciais quando o utilizador iniciar sessão Web site do SharePoint?

A: No computador cliente, adicione o nome do servidor de Federação para a zona da local intranet no Internet Explorer. Depois disso, a autenticação NTLM é utilizada quando os utilizadores tentam autenticar o servidor de AD FS e não for pedidos para introduzir as respectivas credenciais. Os administradores podem implementar definições de política de grupo para configurar a zona da intranet local em computadores cliente que estejam associados ao domínio.

Aviso: Este artigo foi traduzido automaticamente

Propriedades

ID do Artigo: 3064450 - Última Revisão: 07/28/2015 17:06:00 - Revisão: 1.0

Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Foundation, Windows Server 2008 Standard, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Foundation, Windows Server 2008 R2 Standard

  • kbsurveynew kbhowto kbexpertiseinter kbmt KB3064450 KbMtpt
Comentários