Conectați-vă cu Microsoft
Conectați-vă sau creați un cont
Salut,
Selectați un alt cont.
Aveți mai multe conturi
Alegeți contul cu care doriți să vă conectați.

Simptome

Luați în considerare următorul scenariu:

  • Utilizați autentificarea Windows-revendicări (prin Windows Challenge/Response [NTLM] sau Kerberos) într-o aplicație Web Microsoft SharePoint Server 2013.

  • Vă hotărâți să comutați la creanțe ale furnizorului de încredere utilizând un furnizor bazat pe aplicații securizate Application Markup Language, cum ar fi Active Directory Federation Services (AD FS).

  • Revizuiți pașii din migrarea Windows claims Authentication pentru autentificarea cu solicitări bazate pe SAML în SharePoint Server 2013 subiect pe site-ul Web Microsoft Developer Network (MSDN).

  • Veți executa următoarea comandă:

    Convert-SPWebApplication-ID $wa-la revendicări-de încredere-implicit-de la revendicări-WINDOWS-TrustedProvider $tp-SourceSkipList $csv-RetainPermissions

În acest scenariu, veți primi următorul mesaj de eroare:

Autentificarea bazată pe SAML pentru revendicare nu este compatibilă.

Cauză

Această problemă apare deoarece emitentul de simboluri de identitate de încredere nu a fost creat utilizând configurația implicită. Configurația implicită trebuie utilizată pentru ca comanda conversie-SPWebApplication să funcționeze corect. Comanda conversie-SPWebApplication necesită o configurație specifică pentru furnizorul de încredere pentru ca aceasta să fie compatibilă cu conversia de la Windows claims la SAML sau invers. Mai exact, emitentul simbolului de identitate de încredere trebuie să fie creat utilizând parametrii UseDefaultConfiguration și IdentifierClaimIs . Puteți verifica dacă emitentul de simboluri de identitate de încredere a fost creat utilizând parametrul UseDefaultConfiguration executând următoarele scripturi Windows PowerShell.Notă: Aceste scripturi Presupun că aveți un singur furnizor de identitate de încredere creat în cadrul fermei curente.

$tp = Get-SPTrustedIdentityTokenIssuer$tp.claimtypes

Tipurile de revendicări pe care trebuie să le producă acest script sunt următoarele:

  • http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname

  • http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid

  • http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid

  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn

#Get the Identity claim:$tp = Get-SPTrustedIdentityTokenIssuer$tp.IdentityClaimTypeInformation

Revendicarea identității trebuie să fie una dintre următoarele:

  • WindowAccountName

  • EmailAddress

  • UPN

Exemplu de ieșire pentru $tp. IdentityClaimTypeInformation: DisplayName: E-mail InputClaimType: http://schemas.xmlsoap.org/WS/2005/05/Identity/claims/EmailAddressMappedClaimType: http://schemas.xmlsoap.org/WS/2005/05/Identity/claims/EmailAddress#IsIdentityClaim : True trebuie să existe un furnizor de revendicări particularizat cu același nume ca emitentul token și ar trebui să fie de tip SPTrustedBackedByActiveDirectoryClaimProvider. Rulează aceasta pentru a vedea dacă furnizorul de revendicări este prezent și compatibil:

 $tp = Get-SPTrustedIdentityTokenIssuer$name = $tp.name$cp = Get-SPClaimProvider $nameif($cp.typename -match "SPTrustedBackedByActiveDirectoryClaimProvider"){write-host "Claim provider is present and has TypeName of " $cp.typename " it should be valid"}else{write-host "Claim provider is not present. Trusted Identity Token Issuer" $tp.name " is not compatible with convert-spwebapplication"}

Rezolvare

Pentru a rezolva această problemă, ștergeți și creați din nou emitentul de simboluri de identitate de încredere. Pentru a face acest lucru, urmați acești pași:

  1. Rulează următorul script:

    $tp = Get-SPTrustedIdentityTokenIssuer$tp | fl$tp.name$tp.IdentityClaimTypeInformation

    Faceți o copie a rezultatului acestui script pentru referințe ulterioare. În special, avem nevoie de valoarea pentru proprietatea name, astfel încât noul emitent token să poată fi creat utilizând același nume și avem nevoie de solicitarea de identitate, astfel încât noul furnizor de revendicări să poată fi creat utilizând aceeași afirmație de identitate. Atâta timp cât același nume este utilizat pentru emitentul token și aceeași afirmație este utilizată ca revendicare de identitate, toți utilizatorii își vor menține permisiunile în aplicația web după ce emitentul token-ului este creat din nou.

  2. Eliminați furnizorul de identitate de încredere curent de la furnizorii de autentificare pentru orice aplicație Web care o utilizează în prezent.

  3. Ștergeți emitentul token rulând următoarea comandă:

    Remove-SPTrustedIdentityTokenIssuer -Identity "TheNameOfYourTokenIssuer"

  4. Creați din nou emitentul token. Pentru a face acest lucru, urmați pașii din subiectul implementarea autentificării bazate pe SAML în SharePoint Server 2013 pe site-ul Web Microsoft TechNet pentru mai multe informații.Important Atunci când utilizați comanda SPTrustedIdentityTokenIssuer nou , trebuie să utilizați parametrii UseDefaultConfiguration și IdentifierClaimIs . Parametrul UseDefaultConfiguration este doar un comutator. Valorile posibile pentru parametrul IdentifierClaimIs sunt următoarele:

    • NUME CONT

    • E-mail

    • UTILIZATOR-PRINCIPAL-NUME

    Exemplu de script:

    $ap = New-SPTrustedIdentityTokenIssuer -Name $tokenIdentityProviderName -Description $TrustedIdentityTokenIssuerDescription -realm $siteRealm -ImportTrustCertificate $adfsCert-SignInUrl $signInUrl -UseDefaultConfiguration -IdentifierClaimIs EMAIL -RegisteredIssuerName $siteRealm

  5. În administrația centrală, adăugați noul emitent de simboluri de încredere de identitate înapoi la furnizorii de autentificare pentru aplicația web pe care încercați să o efectuați conversia. Aplicația Web trebuie să aibă autentificare Windows și furnizorul de identitate țintă de încredere selectat.

Mai multe informații

Sfaturi suplimentare pentru conversia reușită: dacă valoarea de E-mail este utilizată pentru solicitarea de identificator (adică pentru parametrul IdentifierClaimIs ), doar acei utilizatori ale căror adrese de e-mail sunt populate în Active Directory vor fi convertite. Toate conturile de utilizator care sunt listate în fișierul. csv definit în parametrul SourceSkipList nu vor fi convertite în SAML. Pentru conversia de la Windows claims la SAML, numele contului de utilizator pot fi listate cu sau fără notația de revendicare. De exemplu, "contoso\user1" sau "i:0 #. w | contoso\user1" este acceptabil. Ar trebui să adăugați la fișierul. csv toate conturile de utilizator care nu doriți să fie convertite. Acestea trebuie să includă conturi de serviciu și conturi de administrator.

Facebook LinkedIn E-mail
ABONAȚI-VĂ LA FLUXURI RSS

Aveți nevoie de ajutor suplimentar?

Doriți mai multe opțiuni?

Descoperiți Comunitate

Explorați avantajele abonamentului, navigați prin cursurile de instruire, aflați cum să vă securizați dispozitivul și multe altele.

Beneficiile abonamentului Microsoft 365

Instruire Microsoft 365

Securitate Microsoft

Centru de accesibilitate

Comunitățile vă ajută să adresați întrebări și să răspundeți la întrebări, să oferiți feedback și să primiți feedback de la experți cu cunoștințe bogate.

Întrebați Comunitatea Microsoft

Comunitatea tehnică Microsoft

Utilizatorii Windows Insider

Utilizatori Insider Microsoft 365

Au fost utile aceste informații?

Cât de mulțumit sunteți de calitatea limbajului?
Ce v-a afectat experiența?
Apăsând pe Trimitere, feedbackul dvs. va fi utilizat pentru a îmbunătăți produsele și serviciile Microsoft. Administratorul dvs. IT va avea posibilitatea să colecteze aceste date. Angajamentul de respectare a confidențialității.

Vă mulțumim pentru feedback!

×