Prihláste sa s kontom Microsoft
Prihláste sa alebo si vytvorte konto.
Dobrý deň,
Vyberte iné konto.
Máte viacero kont
Vyberte konto, s ktorým sa chcete prihlásiť.

Príznaky

Zoberme si nasledujúcu situáciu:

  • Vo webovej aplikácii Microsoft SharePoint Server 2013 používate overovanie pohľadávok systému Windows (cez Windows Challenge/Response [NTLM] alebo Kerberos).

  • Rozhodli ste sa prepnúť na dôveryhodného poskytovateľa pohľadávok prostredníctvom poskytovateľa služby secure Application Markup Language (SAML), ako sú napríklad služby Active Directory Federation Services (AD FS).

  • Prezrite si kroky v migrácii systému Windows deklarácie pohľadávok na overenie pohľadávok na základe SAML v téme SharePoint Server 2013 na webovej lokalite Microsoft Developer Network (MSDN).

  • Spustite nasledujúci príkaz:

    Konverzia – SPWebApplication – id $wa – na nároky – dôveryhodné – predvolené – z pohľadávok – WINDOWS-TrustedProvider $tp-SourceSkipList $csv-RetainPermissions

V tomto scenári sa zobrazí nasledujúce chybové hlásenie:

Overenie deklarácie na základe SAML nie je kompatibilné.

Príčina

Tento problém sa vyskytuje, pretože Vydavateľ tokenu dôveryhodných identít sa nevytvoril pomocou predvolenej konfigurácie. Ak chcete, aby príkaz convert-SPWebApplication fungoval správne, musí sa použiť predvolená konfigurácia. Príkaz convert-SPWebApplication vyžaduje konkrétnu konfiguráciu dôveryhodného poskytovateľa, aby bola kompatibilná s konverziou z Windowsu na SAML alebo naopak. Konkrétne je nutné, aby sa vydavateľ tokenu dôveryhodnej identity vytvoril pomocou parametrov UseDefaultConfiguration a IdentifierClaimIs . Spustením nasledujúcich skriptov prostredia Windows PowerShell môžete skontrolovať, či sa vydavateľ tokenu dôveryhodnej identity vytvoril pomocou parametra UseDefaultConfiguration .Poznámka: Tieto skripty predpokladajú, že máte v rámci aktuálnej farmy vytvorený iba jeden dôveryhodný poskytovateľ identity.

$tp = Get-SPTrustedIdentityTokenIssuer$tp.claimtypes

Typ deklarácie, že tento skript by mal byť výstupom, je nasledujúci:

  • http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname

  • http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid

  • http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid

  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn

#Get the Identity claim:$tp = Get-SPTrustedIdentityTokenIssuer$tp.IdentityClaimTypeInformation

Žiadosť o identitu musí byť jedna z týchto možností:

  • WindowAccountName

  • EmailAddress

  • UPN

Príklad výstupu pre $tp. IdentityClaimTypeInformation: DisplayName: E-mail InputClaimType: http://schemas.xmlsoap.org/WS/2005/05/identity/claims/EmailAddressMappedClaimType: http://schemas.xmlsoap.org/WS/2005/05/identity/claims/EmailAddress#IsIdentityClaim : True tam by mal byť vlastný Poskytovateľ deklarácie s rovnakým názvom ako emitent tokenu a mal by byť typu SPTrustedBackedByActiveDirectoryClaimProvider. Spustite toto, ak chcete zistiť, či je poskytovateľ deklarácie prítomný a kompatibilný:

 $tp = Get-SPTrustedIdentityTokenIssuer$name = $tp.name$cp = Get-SPClaimProvider $nameif($cp.typename -match "SPTrustedBackedByActiveDirectoryClaimProvider"){write-host "Claim provider is present and has TypeName of " $cp.typename " it should be valid"}else{write-host "Claim provider is not present. Trusted Identity Token Issuer" $tp.name " is not compatible with convert-spwebapplication"}

Riešenie

Ak chcete tento problém vyriešiť, odstráňte a znova vytvorte dôveryhodného vydavateľa tokenu identity. Postupujte podľa nasledujúcich krokov:

  1. Spustite nasledujúci skript:

    $tp = Get-SPTrustedIdentityTokenIssuer$tp | fl$tp.name$tp.IdentityClaimTypeInformation

    Vytvorte kópiu výstupu tohto skriptu na budúce použitie. Potrebujeme najmä hodnotu vlastnosti Name, aby sa nový emitent tokenov mohol vytvoriť pomocou rovnakého názvu a potrebujeme nárok na identitu, aby sa nový poskytovateľ deklarácií mohol vytvoriť pomocou rovnakého nároku na identitu. Pokiaľ sa na emitenta tokenu použije rovnaký názov a použije sa rovnaké tvrdenie ako nárok na identitu, všetci používatelia si budú zachovávať svoje povolenia v rámci webovej aplikácie po opätovnom vytvorení vydavateľa tokenu.

  2. Odstráňte aktuálneho poskytovateľa dôveryhodných identít z poskytovateľov overovania pre ľubovoľnú webovú aplikáciu, ktorá ju aktuálne používa.

  3. Odstránenie vydavateľa tokenu spustením nasledujúceho príkazu:

    Remove-SPTrustedIdentityTokenIssuer -Identity "TheNameOfYourTokenIssuer"

  4. Znova vytvorte vydavateľa tokenu. Ak to chcete urobiť, postupujte podľa krokov v téme implementácia overovania na základe SAML v SharePoint serveri 2013 na webovej lokalite Microsoft TechNet a získajte ďalšie informácie.Dôležité upozornenie: Keď spustíte príkaz New-SPTrustedIdentityTokenIssuer , musíte použiť parametre UseDefaultConfiguration a IdentifierClaimIs . Parameter UseDefaultConfiguration je len prepínač. Možné hodnoty parametra IdentifierClaimIs sú nasledovné:

    • NÁZOV KONTA

    • E-mail

    • USER-PRINCIPAL NAME

    Príklad skriptu:

    $ap = New-SPTrustedIdentityTokenIssuer -Name $tokenIdentityProviderName -Description $TrustedIdentityTokenIssuerDescription -realm $siteRealm -ImportTrustCertificate $adfsCert-SignInUrl $signInUrl -UseDefaultConfiguration -IdentifierClaimIs EMAIL -RegisteredIssuerName $siteRealm

  5. V centrálnej správe pridajte nového dôveryhodného vydavateľa tokenu identity späť na poskytovateľov overovania pre webovú aplikáciu, ktorú sa pokúšate skonvertovať. Webová aplikácia musí mať vybraté overovanie systému Windows a vybratie cieľového dôveryhodného poskytovateľa identity.

Ďalšie informácie

Ďalšie tipy na úspešnú konverziu: Ak sa použije hodnota e-MAILu pre pohľadávku identifikátora (to znamená pre parameter IdentifierClaimIs ), skonvertujú sa len tí používatelia, ktorých e-mailové adresy sú vyplnené v službe Active Directory. Všetky používateľské kontá, ktoré sú uvedené v súbore. csv, ktorý je definovaný v parametri SourceSkipList , sa nekonvertujú na SAML. Pri konverzii z Windowsu na SAML sa môžu názvy používateľských kont uvádzať aj bez zápisu pohľadávok. Napríklad "contoso\user1" alebo "i:0 #. w | contoso\user1" je prijateľná. Do súboru. CSV by ste mali pridať všetky používateľské kontá, ktoré nechcete skonvertovať. Tieto by mali zahŕňať kontá služby a kontá správcu.

Facebook LinkedIn E-mail
PRIHLÁSIŤ SA NA ODBER INFORMAČNÝCH KANÁLOV RSS

Potrebujete ďalšiu pomoc?

Chcete ďalšie možnosti?

Ponuka funkcií Komunita

Môžete preskúmať výhody predplatného, prehľadávať školiace kurzy, naučiť sa zabezpečiť svoje zariadenie a ešte oveľa viac.

Výhody predplatného služby Microsoft 365

Školenie k službe Microsoft 365

Zabezpečenie od spoločnosti Microsoft

Centrum zjednodušenia ovládania

Komunity pomôžu s kladením otázok a odpovedaním na ne, s poskytovaním pripomienok a so získavaním informácií od odborníkov s bohatými znalosťami.

Opýtať sa na lokalite Microsoft Community

Microsoft Tech Community

Insideri pre Windows

Insideri pre Microsoft 365

Boli tieto informácie užitočné?

Aká je podľa vás jazyková kvalita textu?
Čo sa vám páčilo, prípadne čo nie?
Stlačením tlačidla Odoslať sa vaše pripomienky použijú na zlepšenie produktov a služieb spoločnosti Microsoft. Váš správca IT bude môcť tieto údaje zhromažďovať. Vyhlásenie o ochrane osobných údajov.

Ďakujeme za vaše pripomienky!

×