Команда SPWebApplication преобразования не могут преобразовывать из утверждения SAML в SharePoint Server 2013 для Windows

ВНИМАНИЕ! Данная статья переведена с использованием программного обеспечения Майкрософт для машинного перевода и, возможно, отредактирована посредством технологии Community Translation Framework (CTF). Корпорация Майкрософт предлагает вам статьи, обработанные средствами машинного перевода, отредактированные членами сообщества Майкрософт и переведенные профессиональными переводчиками, чтобы вы могли ознакомиться со всеми статьями нашей базы знаний на нескольких языках. Статьи, переведенные с использованием средств машинного перевода и отредактированные сообществом, могут содержать смысловое, синтаксические и (или) грамматические ошибки. Корпорация Майкрософт не несет ответственности за любые неточности, ошибки или ущерб, вызванные неправильным переводом контента или его использованием нашими клиентами. Подробнее об CTF можно узнать по адресу http://support.microsoft.com/gp/machine-translation-corrections/ru.

Эта статья на английском языке: 3042604
Проблема
Рассмотрим следующий сценарий:
  • В веб-приложении Microsoft SharePoint Server 2013 используется проверка подлинности Windows заявок (через Windows запрос/ответ [NTLM] или Kerberos).
  • Вы решили перейти надежного поставщика утверждений с помощью поставщика на основе безопасности SAML язык разметки приложений, например службы федерации Active Directory (AD FS).
  • Просмотрите действия в Миграции Windows требует проверки подлинности для проверки подлинности на основе SAML заявок в SharePoint Server 2013 раздел на веб-узле Microsoft Developer Network (MSDN).
  • Выполните следующую команду:

    Преобразовать SPWebApplication-идентификатор $wa-для УТВЕРЖДЕНИЯ НАДЕЖНЫХ-по умолчанию-из УТВЕРЖДЕНИЙ WINDOWS - TrustedProvider $tp - SourceSkipList $csv - RetainPermissions

В этом случае появляется следующее сообщение об ошибке:

Утверждения проверки подлинности на основе SAML не совместим.

Причина
Эта проблема возникает из-за поставщика маркера удостоверения доверенного не был создан с помощью конфигурации по умолчанию. Конфигурация по умолчанию должен использоваться для команды Convert SPWebApplication для правильной работы.

Команда Convert SPWebApplication требует особой настройки для надежного поставщика для него совместимы с преобразование из Windows утверждения SAML и наоборот.

В частности доверенные удостоверения поставщика маркера должен быть создан с помощью параметров UseDefaultConfiguration и IdentifierClaimIs .

Можно проверить, был ли создан с помощью параметра UseDefaultConfiguration , выполнив следующие сценарии Windows PowerShell на доверенные удостоверения поставщика маркера.

Примечание: Эти сценарии предполагается, что установлен только один доверенный поставщик удостоверений, созданного в текущей ферме.

$tp = Get-SPTrustedIdentityTokenIssuer$tp.claimtypes 

Ниже перечислены типы утверждений, которые должна выводить этот сценарий.
  • http://schemas.Microsoft.com/ws/2008/06/IDENTITY/claims/windowsaccountname
  • http://schemas.Microsoft.com/ws/2008/06/IDENTITY/claims/primarysid
  • http://schemas.Microsoft.com/ws/2008/06/IDENTITY/claims/groupsid
  • http://schemas.xmlsoap.org/ws/2005/05/IDENTITY/claims/emailaddress
  • http://schemas.xmlsoap.org/ws/2005/05/IDENTITY/claims/имя участника-пользователя


#Get the Identity claim:$tp = Get-SPTrustedIdentityTokenIssuer$tp.IdentityClaimTypeInformation 



Идентификационное утверждение должно быть одним из следующих:
  • WindowAccountName
  • EmailAddress
  • ИМЯ УЧАСТНИКА-ПОЛЬЗОВАТЕЛЯ

Пример выходных данных для $tp. IdentityClaimTypeInformation:
Отображаемое имя: электронная почта
InputClaimType: http://schemas.xmlsoap.org/ws/2005/05/IDENTITY/claims/EmailAddress
MappedClaimType: http://schemas.xmlsoap.org/ws/2005/05/IDENTITY/claims/EmailAddress#IsIdentityClaim : True


Должно быть поставщика настраиваемых утверждений с тем же именем в качестве поставщика маркера, и он должен иметь тип SPTrustedBackedByActiveDirectoryClaimProvider.
Запустите это присутствует и совместимы ли поставщик запросов:

 $tp = Get-SPTrustedIdentityTokenIssuer$name = $tp.name$cp = Get-SPClaimProvider $nameif($cp.typename -match "SPTrustedBackedByActiveDirectoryClaimProvider"){write-host "Claim provider is present and has TypeName of " $cp.typename " it should be valid"}else{write-host "Claim provider is not present. Trusted Identity Token Issuer" $tp.name " is not compatible with convert-spwebapplication"}

Решение
Чтобы устранить эту проблему, удалите и заново создать поставщика маркера идентификации доверенных. Чтобы сделать это, выполните следующие действия.
  1. Запустите следующий сценарий:

    $tp = Get-SPTrustedIdentityTokenIssuer$tp | fl$tp.name$tp.IdentityClaimTypeInformation

    Скопировать выходные данные этого сценария для дальнейшего использования. В частности, мы должны значение для свойства Name, чтобы создать поставщика маркера могут быть созданы с использованием того же имени, и нам нужна Идентификация утверждений, чтобы новый поставщик запросов могут быть созданы с помощью того же идентификационное утверждение. До тех пор, пока для поставщика маркера используется то же имя и ту же заявку используется в качестве идентификационного утверждения, всех пользователей будет поддерживать их разрешения внутри веб-приложения после создания поставщика маркера.

  2. Удаление текущего надежного поставщика удостоверений от поставщиков проверки подлинности для любого веб-приложения, в настоящее время он используется.
  3. Удалите поставщика маркера, запустив следующую команду:

    Remove-SPTrustedIdentityTokenIssuer -Identity "TheNameOfYourTokenIssuer"

  4. Повторно создайте поставщика маркера. Чтобы сделать это, выполните действия, описанные в Реализация проверки подлинности на основе SAML в SharePoint Server 2013 раздел на веб-сайте Microsoft TechNet для получения дополнительных сведений.

    Важные При запуске Новый SPTrustedIdentityTokenIssuer необходимо использовать команды UseDefaultConfiguration и IdentifierClaimIs параметры. В UseDefaultConfiguration параметр является просто коммутатора. Возможны следующие значения IdentifierClaimIs параметр, как показано ниже:
    • ИМЯ УЧЕТНОЙ ЗАПИСИ
    • ПО ЭЛЕКТРОННОЙ ПОЧТЕ
    • ИМЯ ПОЛЬЗОВАТЕЛЯ УЧАСТНИКА


    Пример сценария:

    $ap = New-SPTrustedIdentityTokenIssuer -Name $tokenIdentityProviderName -Description $TrustedIdentityTokenIssuerDescription -realm $siteRealm -ImportTrustCertificate $adfsCert-SignInUrl $signInUrl -UseDefaultConfiguration -IdentifierClaimIs EMAIL -RegisteredIssuerName $siteRealm
  5. В центре администрирования добавьте ваш новый доверенные удостоверения поставщика маркера поставщиков проверки подлинности для веб-приложения, которому необходимо преобразовать. Необходимо иметь веб-приложения Оба Проверка подлинности Windows и целевой объект выбранного доверенного поставщика удостоверений.
Дополнительная информация
Additionaltips для успешного преобразования:

Если используется значение по электронной ПОЧТЕ заявки, идентификатор (т.е., для параметраIdentifierClaimIs), будут преобразованы только тем пользователям, чьи адреса электронной почты заполняются в Active Directory.

Все учетные записи пользователей, перечисленных в CSV-файл, который определен в параметре SourceSkipList не преобразуются в SAML. Для преобразования из утверждения SAML для Windows могут быть перечислены имена учетных записей пользователей с или без утверждения нотации. Например, либо «contoso\user1» или "i:0 #. w|contoso\user1» допустимо. Следует добавить в файл .csv все учетные записи пользователей, которые не требуется преобразовать. Сюда должны входить учетные записи администраторов и учетные записи служб.

Внимание! Эта статья переведена автоматически

Свойства

Номер статьи: 3042604 — последний просмотр: 12/02/2015 12:51:00 — редакция: 2.0

Microsoft SharePoint Foundation 2013, Microsoft SharePoint Server 2013

  • kbexpertiseinter kbprb kbsurveynew kbmt KB3042604 KbMtru
Отзывы и предложения