Momentálne ste offline a čaká sa, kým sa znova pripojíte na internet

Príkaz Convert SPWebApplication nemôže konvertovať Windows pohľadávky SAML SharePoint Server 2013

DÔLEŽITÉ: Tento článok je preložený pomocou softvéru na strojový preklad od spoločnosti Microsoft a možno ho opraviť prostredníctvom technológie Community Translation Framework (CTF). Microsoft ponúka strojovo preložené články, články upravené komunitou aj články preložené prekladateľmi, aby zabezpečil prístup ku všetkým článkom databázy Knowledge Base vo viacerých jazykoch. Strojovo preložené články aj upravené články môžu obsahovať chyby týkajúce sa slovnej zásoby, syntaxe alebo gramatiky. Microsoft nenesie zodpovednosť za akékoľvek nepresnosti, chyby alebo škody spôsobené neprávnym prekladom obsahu alebo jeho použitím zo strany našich zákazníkov. Ďalšie informácie o technológii CTF nájdete na lokalite http://support.microsoft.com/gp/machine-translation-corrections/sk.

Pokiaľ chcete vidieť anglickú verziu článku, kliknite sem: 3042604
Príznaky
Predstavte si nasledujúcu situáciu:
  • Používate overovanie požiadavky systému Windows (cez Windows Challenge/Response [NTLM] alebo Kerberos) vo webovej aplikácii Microsoft SharePoint Server 2013.
  • Ste sa rozhodli zmeniť dôveryhodný poskytovateľ nároky pomocou Secure aplikácie Markup Language SAML procesorom poskytovateľa ako Active Directory Federation Services (ADFS) (AD FS).
  • Kroky v kontrole Migrácia Windows uvádza overenia overovanie deklarácií SAML systémom v SharePoint Server 2013 Téma na webovej lokalite webová lokalita Microsoft Developer Network (MSDN).
  • Môžete spustiť nasledujúci príkaz:

    Konverzia-SPWebApplication-id $wa-na deklarácii dôveryhodné zlyhanie - z pohľadávky-WINDOWS - TrustedProvider $tp - SourceSkipList $csv - RetainPermissions

V tomto scenári sa zobrazí nasledujúce chybové hlásenie:

SAML na overenie nároku nie je kompatibilný.

Príčina
Tento problém sa vyskytuje, pretože dôveryhodné Identity vydavateľa tokenu nie vytvorený v predvolenom nastavení. Predvolené nastavenie musia používať príkaz Convert SPWebApplication pracovať správne.

Príkaz Convert SPWebApplication vyžaduje konkrétnu konfiguráciu dôveryhodného poskytovateľa to kompatibilné s konverziou z Windows nároky na SAML a naopak.

Konkrétne dôveryhodné Identity vydavateľa tokenu musí vytvorený pomocou UseDefaultConfiguration a IdentifierClaimIs parametre.

Môžete skontrolovať, či vaše dôveryhodné Identity vydavateľa tokenu vytvorený pomocou parametra UseDefaultConfiguration spustením nasledujúcich skriptov prostredia Windows PowerShell.

Poznámka: Tieto skripty Predpokladajme, že máte iba jeden dôveryhodný poskytovateľ Identity vytvorené v aktuálnej farme.

$tp = Get-SPTrustedIdentityTokenIssuer$tp.claimtypes 

Skript by výstup typy nároku sú nasledovné:
  • http://schemas.Microsoft.com/ws/2008/06/identity/claims/windowsaccountname
  • http://schemas.Microsoft.com/ws/2008/06/identity/claims/primarysid
  • http://schemas.Microsoft.com/ws/2008/06/identity/claims/groupsid
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/email
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn


#Get the Identity claim:$tp = Get-SPTrustedIdentityTokenIssuer$tp.IdentityClaimTypeInformation 



Nárok Identity musí byť jeden z nasledujúcich krokov:
  • WindowAccountName
  • Email
  • UPN

Príklad výstupu na $tp. IdentityClaimTypeInformation:
DisplayName: E-mail
InputClaimType: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/EmailAddress
MappedClaimType: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/EmailAddress#IsIdentityClaim : True


Mali vlastné pohľadávky poskytovateľa s rovnakým názvom ako vydavateľa tokenu a treba typu SPTrustedBackedByActiveDirectoryClaimProvider.
Spustiť tento či poskytovateľ deklarácie je prítomný a kompatibilný:

 $tp = Get-SPTrustedIdentityTokenIssuer$name = $tp.name$cp = Get-SPClaimProvider $nameif($cp.typename -match "SPTrustedBackedByActiveDirectoryClaimProvider"){write-host "Claim provider is present and has TypeName of " $cp.typename " it should be valid"}else{write-host "Claim provider is not present. Trusted Identity Token Issuer" $tp.name " is not compatible with convert-spwebapplication"}

Riešenie
Ak chcete vyriešiť tento problém, odstráňte a potom znovu vytvoriť dôveryhodné Identity vydavateľa tokenu. Ak to chcete urobiť, postupujte nasledovne:
  1. Spustite nasledujúci skript:

    $tp = Get-SPTrustedIdentityTokenIssuer$tp | fl$tp.name$tp.IdentityClaimTypeInformation

    Vytvorte kópiu výstup tohto skriptu pre budúce použitie. Najmä potrebujeme hodnota vlastnosti názov nového vydavateľa tokenu je možné vytvoriť pomocou rovnakého mena a potrebujeme totožnosť nárok tak, že nový Poskytovateľ deklarácie je možné vytvoriť pomocou rovnakého nárok totožnosti. Použije rovnaký názov vydavateľa tokenu a používa rovnaký nárok ako nárok totožnosti, všetci používatelia po obnovení vydavateľa tokenu zachová svoje povolenia webovej aplikácie.

  2. Odstránenie aktuálneho dôveryhodného poskytovateľa Identity poskytovateľov overovania pre všetky webové aplikácie, ktoré sa momentálne používa.
  3. Odstránenie vydavateľa tokenu spustením nasledujúceho príkazu:

    Remove-SPTrustedIdentityTokenIssuer -Identity "TheNameOfYourTokenIssuer"

  4. Opätovné vytvorenie vydavateľa tokenu. Postupujte podľa pokynov Vykonávanie overovania na základe SAML SharePoint Server 2013 Téma na webovej lokalite Microsoft TechNet ďalšie informácie.

    Dôležité upozornenie: Pri spustení Nové SPTrustedIdentityTokenIssuer príkaz, je potrebné použiť UseDefaultConfiguration a IdentifierClaimIs parametre. Na UseDefaultConfiguration parameter je len prepínač. Možné hodnoty IdentifierClaimIs Parameter sú nasledovné:
    • NÁZOV KONTA
    • E-MAILU
    • HLAVNÉ MENO POUŽÍVATEĽA


    Príklad skriptu:

    $ap = New-SPTrustedIdentityTokenIssuer -Name $tokenIdentityProviderName -Description $TrustedIdentityTokenIssuerDescription -realm $siteRealm -ImportTrustCertificate $adfsCert-SignInUrl $signInUrl -UseDefaultConfiguration -IdentifierClaimIs EMAIL -RegisteredIssuerName $siteRealm
  5. V centrálnej správe pridať vaše nové dôveryhodné Identity vydavateľa tokenu na overenie služieb pre webovú aplikáciu, ktorú sa pokúšate skonvertovať. Webová aplikácia musí mať ako Overovanie systému Windows a cieľ vybrali dôveryhodný poskytovateľ Identity.
Ďalšie informácie
Additionaltips úspešné konverziu:

Ak sa použije hodnota E-mail identifikátor žiadosti (t. j. parametraIdentifierClaimIs), skonvertuje len používatelia, ktorých adresy sú vyplnené v službe Active Directory.

Všetky používateľské kontá, ktoré sú uvedené v súbore .csv, ktorý je definovaný v parametri SourceSkipList sa nekonvertujú SAML. Pri konverzii zo systému Windows pohľadávky SAML názvy používateľských kont môžu byť uvedené alebo bez požiadaviek zápis. Napríklad buď "contoso\user1" alebo "i:0 #. w|contoso\user1" je prijateľné. Je potrebné pridať do súboru .csv všetky používateľské kontá, ktoré chcete previesť. Tieto zahrnú kontá a kontá.

Upozornenie: Tento článok bol preložený automaticky.

Vlastnosti

ID článku: 3042604 – Posledná kontrola: 12/02/2015 12:52:00 – Revízia: 2.0

Microsoft SharePoint Foundation 2013, Microsoft SharePoint Server 2013

  • kbexpertiseinter kbprb kbsurveynew kbmt KB3042604 KbMtsk
Pripomienky