Iniciar sessão com a Microsoft
Iniciar sessão ou criar uma conta.
Olá,
Selecione uma conta diferente.
Tem várias contas
Selecione a conta com a qual pretende iniciar sessão.

Sintomas

Considere o seguinte cenário:

  • Utiliza a autenticação de reclamações do Windows (através do Windows Challenge/Response [NTLM] ou Kerberos) numa aplicação web do Microsoft SharePoint Server 2013.

  • Decide mudar para reclamações de Prestadores Fidedignos utilizando um fornecedor baseado em Linguagem de Marcação de Aplicações Seguras (SAML), como serviços da Federação de Diretórios Ativos (AD FS).

  • Reveja os passos na autenticação de reclamações de migração do Windows para a autenticação de sinistros baseados em SAML no tópico SharePoint Server 2013 no website da Microsoft Developer Network (MSDN).

  • Corre o seguinte comando:

    Converte-SPWebApplication -id $wa -Para CLAIMS-TRUSTED-DEFAULT -From CLAIMS-WINDOWS -TrustedProvider $tp -SourceSkipList $csv -Remissions

Neste cenário, recebe a seguinte mensagem de erro:

A autenticação de reclamação baseada em SAML não é compatível.

Causa

Este problema ocorre porque o Emitente de Token de Identidade Fidedigna não foi criado utilizando a configuração padrão. A configuração predefinida deve ser utilizada para que o comando Converte-SPWebApplication funcione corretamente. O comando Converte-SPWebApplication requer uma configuração específica para o Fornecedor Fidedigno para que seja compatível com a conversão de reclamações do Windows para SAML ou vice-versa. Especificamente, o Emitente de Token de Identidade Fidedigna deve ser criado utilizando os parâmetros UseDefaultConfiguration e IdentifierClaimIs. Pode verificar se o seu Emitente de Token de Identidade Fidedigna foi criado utilizando o parâmetro UseDefaultConfiguration executando os seguintes scripts Windows PowerShell.Nota: Estes scripts assumem que tem apenas um Fornecedor de Identidade Fidedigna criado dentro da quinta atual.

$tp = Get-SPTrustedIdentityTokenIssuer$tp.claimtypes

Os tipos de reclamação que este script deve ser de saída são os seguintes:

  • http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname

  • http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid

  • http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid

  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn

#Get the Identity claim:$tp = Get-SPTrustedIdentityTokenIssuer$tp.IdentityClaimTypeInformation

A Reclamação de Identidade deve ser uma das seguintes:

  • WindowAccountName

  • EmailAddress

  • UPN

Saída de exemplo para $tp. IdentidadeClaimTypeInformation: DisplayName : Email InputClaimType : http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddressMappedClaimType : http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress#IsIdentityClaim : True Should have a custom claim provider with the same name as token issuer, and it should be of type SPTrustedBackedByActiveDirectoryClaimProvider. Execute isto para ver se o fornecedor de reclamações está presente e compatível:

 $tp = Get-SPTrustedIdentityTokenIssuer$name = $tp.name$cp = Get-SPClaimProvider $nameif($cp.typename -match "SPTrustedBackedByActiveDirectoryClaimProvider"){write-host "Claim provider is present and has TypeName of " $cp.typename " it should be valid"}else{write-host "Claim provider is not present. Trusted Identity Token Issuer" $tp.name " is not compatible with convert-spwebapplication"}

Resolução

Para resolver este problema, elimine e recorda o Emitente de Token de Identidade Fidedigna. Para tal, siga estes passos:

  1. Execute o seguinte script:

    $tp = Get-SPTrustedIdentityTokenIssuer$tp | fl$tp.name$tp.IdentityClaimTypeInformation

    Faça uma cópia da saída deste script para referência futura. Em particular, precisamos do valor para a propriedade Name para que o novo Emitente Token possa ser criado usando o mesmo nome, e precisamos da reclamação de identidade para que o novo provedor de reclamação possa ser criado usando a mesma reivindicação de identidade. Desde que o mesmo nome seja utilizado para o emitente token e a mesma alegação seja usada como a alegação de identidade, todos os utilizadores manterão as suas permissões dentro da aplicação web após a recriação do emitente de token.

  2. Remova o atual Fornecedor de Identidade Fidedigna dos Fornecedores de Autenticação para qualquer aplicação web que esteja atualmente a usá-la.

  3. Eliminar o emitente de fichas executando o seguinte comando:

    Remove-SPTrustedIdentityTokenIssuer -Identity "TheNameOfYourTokenIssuer"

  4. Re-crie o emitente simbólico. Para isso, siga os passos na autenticação baseada em Implement SAML no tópico SharePoint Server 2013 no website da Microsoft TechNet para obter mais informações.Importante Quando executar o comando New-SPTrustedIdEntityTokenIssuer, deve utilizar os parâmetros UseDefaultConfiguration e IdentifierClaimIs. O parâmetro UseDefaultConfiguration é apenas um interruptor. Os valores possíveis para o parâmetro IdentifierClaimIs são os seguintes:

    • NOME DA CONTA

    • Email

    • NOME PRINCIPAL DO UTILIZADOR

    Roteiro de exemplo:

    $ap = New-SPTrustedIdentityTokenIssuer -Name $tokenIdentityProviderName -Description $TrustedIdentityTokenIssuerDescription -realm $siteRealm -ImportTrustCertificate $adfsCert-SignInUrl $signInUrl -UseDefaultConfiguration -IdentifierClaimIs EMAIL -RegisteredIssuerName $siteRealm

  5. Na Administração Central, adicione o seu novo Emitente de Token de Identidade Fidedigna aos fornecedores de autenticação para a aplicação web que está a tentar converter. A aplicação web deve ter a autenticação do Windows e o fornecedor de identidade fidedigno do alvo selecionado.

Mais Informações

Dicas adicionais para uma conversão bem sucedida:Se o valor do EMAIL for utilizado para a reclamação do Identificador (isto é, para o parâmetro IdentifierClaimIs), apenas os utilizadores cujos endereços de e-mail são preenchidos em Ative Directory serão convertidos. Quaisquer contas de utilizador que estejam listadas no ficheiro .csv que esteja definido no parâmetro SourceSkipList não serão convertidas em SAML. Para conversão de reclamações do Windows para SAML, os nomes da conta de utilizador podem ser listados com ou sem a notação de reclamações. Por exemplo, é aceitável "contoso\user1" ou "i:0#.w/contoso\user1". Deve adicionar a esse ficheiro .csv quaisquer contas de utilizador que não queira converter. Estes devem incluir contas de serviço e contas de administrador.

Facebook LinkedIn E-mail
SUBSCREVER FEEDS RSS

Precisa de mais ajuda?

Quer mais opções?

Descobrir Comunidade

Explore os benefícios da subscrição, navegue em cursos de formação, saiba como proteger o seu dispositivo e muito mais.

Benefícios da subscrição do Microsoft 365

Formação do Microsoft 365

Segurança da Microsoft

Centro de acessibilidade

As comunidades ajudam-no a colocar e a responder perguntas, a dar feedback e a ouvir especialistas com conhecimentos abrangentes.

Pergunte à Comunidade Microsoft

Microsoft Tech Community (Comunidade Tecnológica Microsoft)

Utilizadores do Windows Insider

Microsoft 365 Insiders

Estas informações foram úteis?

Quão satisfeito está com a qualidade do idioma?
O que afetou a sua experiência?
Ao selecionar submeter, o seu feedback será utilizado para melhorar os produtos e serviços da Microsoft. O seu administrador de TI poderá recolher estes dados. Declaração de Privacidade.

Obrigado pelo seu feedback!

×