SharePoint Server 2013 ' te Convert-SPWebApplication komutu Windows taleplerinin SAML 'ya dönüştürülemez

Belirtiler

Aşağıdaki senaryoyu inceleyin:

• Microsoft SharePoint Server 2013 Web uygulamasında Windows-Talep kimlik doğrulaması (Windows Challenge/Response [NTLM] veya Kerberos aracılığıyla) kullanılır.

• Active Directory Federasyon Hizmetleri (AD FS) gibi bir güvenli uygulama Işaretleme dili (SAML) tabanlı sağlayıcı kullanarak güvenilen sağlayıcı taleplerini değiştirmeye karar verirsiniz.

• Microsoft Developer Network (MSDN) Web sitesindeki SharePoint Server 2013 konusunda Windows Talep kimlik DOĞRULAMASıNıN SAML tabanlı talep kimlik doğrulamasına yönelik geçiş adımlarını gözden geçirirsiniz.

• Aşağıdaki komutu çalıştırırsınız:

  Convert-SPWebApplication-id $wa-CLAIM-GÜVENILEN-varsayılan-başlangıç TALEPLERI-WINDOWS-TrustedProvider $tp-SourceSkipList $csv-RetainPermissions

Bu senaryoda, aşağıdaki hata iletisini alırsınız:

Neden

Bu sorun, güvenilen kimlik belirteci veren varsayılan yapılandırma kullanılarak oluşturulmadığından oluşur. Convert-SPWebApplication komutunun doğru çalışması için varsayılan yapılandırma kullanılmalıdır. Convert-SPWebApplication komutu, güvenilen sağlayıcı Için, WINDOWS taleplerinin SAML 'ya veya tam tersi ile uyumlu olması için belirli bir yapılandırma gerektirir. Özel olarak, güvenilen kimlik belirteci verenin UseDefaultConfiguration ve ıdentifierclaimis parametreleri kullanılarak oluşturulması gerekir. Aşağıdaki Windows PowerShell komut dosyalarını çalıştırarak, güvenilen kimlik belirteci verenin UseDefaultConfiguration parametresini kullanarak oluşturulup oluşturulmayacağını denetleyebilirsiniz.Not: Bu komut dosyalarında, geçerli grupta yalnızca bir güvenilen kimlik sağlayıcınız oluşturulduğunu varsaymaktadır.

$tp = Get-SPTrustedIdentityTokenIssuer$tp.claimtypes 

Bu komut dosyasının çıktısı gereken talep türleri şunlardır:

• http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname

• http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid

• http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid

• http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

• http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn

#Get the Identity claim:$tp = Get-SPTrustedIdentityTokenIssuer$tp.IdentityClaimTypeInformation 

Kimlik talebi aşağıdakilerden biri olmalıdır:

• WindowAccountName

• EmailAddress

• UPN

$Tp için örnek çıktı. Identityclaimtypeınformation: DisplayName: e-posta ınputclaimtype: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/EmailAddressmappedclaimtype: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/EmailAddress#IsIdentityClaim : doğru belirteci veren özel bir talep sağlayıcısı olmalıdır; bu, Sptrustedbackedbyactivedirectoryclaimprovidertüründe olmalıdır. Talep sağlayıcısının bulunup uyumlu olup olmadığını görmek için bunu çalıştırır:

 $tp = Get-SPTrustedIdentityTokenIssuer$name = $tp.name$cp = Get-SPClaimProvider $nameif($cp.typename -match "SPTrustedBackedByActiveDirectoryClaimProvider"){write-host "Claim provider is present and has TypeName of " $cp.typename " it should be valid"}else{write-host "Claim provider is not present. Trusted Identity Token Issuer" $tp.name " is not compatible with convert-spwebapplication"}

Çözüm

Bu sorunu çözmek için güvenilen kimlik belirteci vereni silin ve yeniden oluşturun. Bunu yapmak için şu adımları izleyin:

1. Aşağıdaki komut dosyasını çalıştırır:

   $tp = Get-SPTrustedIdentityTokenIssuer$tp | fl$tp.name$tp.IdentityClaimTypeInformation

   Bu komut dosyasının çıktısının bir kopyasını gelecekte başvuru için yapın. Özellikle, yeni belirteç verenin aynı adı kullanarak oluşturulabilmesi için, ad özelliğinin değerine ihtiyacımız var ve yeni talep sağlayıcısının aynı kimlik talebini kullanarak oluşturulabilmeleri için kimlik talebine ihtiyacımız var. Aynı ad, belirteç verenin da kullanıldığı sürece, kimlik talebi olarak aynı talep kullanıldığında, belirteç veren yeniden oluşturulduktan sonra tüm kullanıcılar Web uygulamasındaki izinlerini korur.

2. Geçerli güvenilir kimlik sağlayıcısını kullanmakta olan Web uygulamalarının kimlik doğrulama sağlayıcılarından kaldırın.

3. Aşağıdaki komutu çalıştırarak belirteç vereni silin:

   Remove-SPTrustedIdentityTokenIssuer -Identity "TheNameOfYourTokenIssuer"

4. Belirteç vereni yeniden oluşturun. Bunu yapmak için, daha fazla bilgi için Microsoft TechNet Web sitesindeki SharePoint Server 2013Önemli New-Sptrustedidentitytokenıssuer komutunu çalıştırdığınızda UseDefaultConfiguration ve ıdentifierclaimtype parametrelerini kullanmalısınız. UseDefaultConfiguration parametresi yalnızca bir Switch. Identifierclaimdeğer parametresi için olası değerler aşağıdaki gibidir:

   • HESAP ADı

   • E-posta

   • KULLANıCı-SORUMLU-ADı

   Örnek komut dosyası:

   $ap = New-SPTrustedIdentityTokenIssuer -Name $tokenIdentityProviderName -Description $TrustedIdentityTokenIssuerDescription -realm $siteRealm -ImportTrustCertificate $adfsCert-SignInUrl $signInUrl -UseDefaultConfiguration -IdentifierClaimIs EMAIL -RegisteredIssuerName $siteRealm

5. Yönetim merkezinde, dönüştürmeye çalıştığınız Web uygulamasının kimlik doğrulama sağlayıcılarına yeni güvenilir kimlik belirteci verene geri dönün. Web uygulamasında hem Windows kimlik doğrulaması hem de hedef güvenilen kimlik sağlayıcısı seçilmiş olmalıdır.

Ek Bilgi

Başarılı dönüştürme için ek ipuçları: kimlik talebi için e-posta değeri kullanılırsa (yani, ıdentifierclaimvalue parametresi için), yalnızca e-posta adresleri Active Directory 'de doldurulan kullanıcılar dönüştürülür. SourceSkipList parametresinde tanımlanan. csv dosyasında listelenen tüm Kullanıcı hesapları, SAML 'ya dönüştürülmez. Windows taleplerini SAML 'ya dönüştürmek için, Kullanıcı hesap adları talep gösterimi ile veya bu gösterim olmadan listelenebilir. Örneğin, "contoso\user1" veya "ID:0 #. w | contoso\user1" kabul edilebilir. Bu. csv dosyasına, dönüştürülmesini istemediğiniz tüm Kullanıcı hesaplarını eklemelisiniz. Bunlar hizmet hesaplarını ve yönetici hesaplarını içermelidir.