Не можна перетворити перетворення-SPWebApplication команду, від претензій Windows SAML, у SharePoint Server 2013

ВАЖЛИВО! Ця стаття перекладена засобами машинного перекладу Microsoft. Статтю можна редагувати в середовищі Community Translation Framework (CTF). Щоб якомога швидше перекласти всі статті у своїй базі знань різними мовами, компанія Microsoft не лише звертається до професійних перекладачів, але й вдається до машинного перекладу, який потім редагується спільнотою. Такі статті можуть містити лексичні, синтаксичні та граматичні помилки. Microsoft не несе відповідальності за будь-які неточності, помилки або збитки, до яких може призвести неправильний переклад статей або їх використання. Докладніше про CTF див. на веб-сторінці http://support.microsoft.com/gp/machine-translation-corrections/uk-ua.

Клацніть тут, щоб переглянути цю статтю англійською мовою: 3042604
Ознаки
Розглянемо таку ситуацію:
  • Твердження та Windows автентифікації (за допомогою Windows запиту-відповіді [NTLM] або Kerberos) використовується у програмі Microsoft SharePoint Server 2013 веб-застосунку.
  • Потрібно перейти за допомогою захищеного застосунку мова розмітки SAML на основі постачальник послуг оренди застосунків служба Active Directory (AD FS) об'єднання служби, як надійний постачальник послуг оренди застосунків вимог.
  • Слід переглянути інтерактивні елементи, наведені в полі Міграція Windows на основі тверджень автентифікації для автентифікації на основі тверджень, на основі SAML у SharePoint Server 2013 розділ на сайті Microsoft Developer Network (MSDN).
  • Ви, виконайте таку команду:

    Перетворення SPWebApplication-код $wa-до вимог НАДІЙНИХ-за ПРОМОВЧАННЯМ - від претензій WINDOWS - TrustedProvider $tp - SourceSkipList $csv - RetainPermissions

У цій ситуації з'являється таке протокол IMAP про помилку:

Несумісний SAML на основі претензії автентифікації.

причина
Ця проблема виникає, тому що надійних посвідчення маркерів постачальника, не було створено за допомогою стандартної конфігурації. У стандартній конфігурації має використовуватися для команди Convert-SPWebApplication працювати належним чином.

Надійний постачальник послуг оренди застосунків його на сумісність із перехід від Windows претензій, SAML або навпаки Перетворити-SPWebApplication команду вимагає певної конфігурації.

Зокрема, надійних посвідчення маркерів постачальника повинні бути створені за допомогою параметрів UseDefaultConfiguration та IdentifierClaimIs .

Ви можете перевірити, чи ваш надійних посвідчення постачальника маркерів було створено за допомогою параметра UseDefaultConfiguration , запустивши такий сценарій Windows PowerShell.

Примітка. Ці сценарії, припустімо, що у вас є лише один, надійних постачальника посвідчення, створений у поточній фермі.

$tp = Get-SPTrustedIdentityTokenIssuer$tp.claimtypes 

Типи твердження, що цей сценарій, мають вихід є такими:
  • http://schemas.Microsoft.com/ws/2008/06/Identity/Claims/-windowsaccountname
  • http://schemas.Microsoft.com/ws/2008/06/Identity/Claims/-primarysid
  • http://schemas.Microsoft.com/ws/2008/06/Identity/Claims/-groupsid
  • http://schemas.xmlsoap.org/ws/2005/05/Identity/Claims/-emailaddress
  • http://schemas.xmlsoap.org/ws/2005/05/Identity/Claims/-upn


#Get the Identity claim:$tp = Get-SPTrustedIdentityTokenIssuer$tp.IdentityClaimTypeInformation 



Твердження ідентифікації має бути одне з таких:
  • WindowAccountName
  • EmailAddress
  • UPN

Наприклад, виведення для $tp. IdentityClaimTypeInformation:
DisplayName: сповіщення електронною поштою
InputClaimType: http://schemas.xmlsoap.org/ws/2005/05/Identity/Claims/EmailAddress
MappedClaimType: http://schemas.xmlsoap.org/ws/2005/05/Identity/Claims/EmailAddress#IsIdentityClaim : True


Має бути постачальником настроювані тверджень із таким самим ім'ям як маркерів постачальника, і це повинно бути типу SPTrustedBackedByActiveDirectoryClaimProvider.
Запустіть на це, щоб дізнатися, чи постачальника тверджень існує і сумісні.

 $tp = Get-SPTrustedIdentityTokenIssuer$name = $tp.name$cp = Get-SPClaimProvider $nameif($cp.typename -match "SPTrustedBackedByActiveDirectoryClaimProvider"){write-host "Claim provider is present and has TypeName of " $cp.typename " it should be valid"}else{write-host "Claim provider is not present. Trusted Identity Token Issuer" $tp.name " is not compatible with convert-spwebapplication"}

Розв'язанн
Щоб вирішити цю проблему, видалити і повторно створіть надійних посвідчення маркерів постачальника. Щоб це зробити, виконайте такі дії:
  1. Такий сценарій:

    $tp = Get-SPTrustedIdentityTokenIssuer$tp | fl$tp.name$tp.IdentityClaimTypeInformation

    Зробіть копію результатів роботи цього сценарію для сценарій виконання в майбутньому. Зокрема, ми потребуємо значення властивості ім'я, щоб новий маркер постачальник послуг оренди застосунків може бути створено за допомогою таким самим іменем, і ми потребуємо посвідчення стверджують, що так, що службу претензії можуть бути створені за допомогою одного претензії посвідчення. Таким самим іменем, що використовується для маркерів постачальника, і тому ж вимоги, що використовується як посвідчення претензії, всім користувачам буде підтримувати їх дозволів у веб-застосунку після маркерів постачальника відновлюється.

  2. Видалити з поточного постачальника посвідчення надійних постачальники автентифікації для будь-якого веб-застосунок, який наразі використовується.
  3. Видалення маркерів постачальника, запустіть таку команду:

    Remove-SPTrustedIdentityTokenIssuer -Identity "TheNameOfYourTokenIssuer"

  4. Відтворити маркерів постачальника. Для цього виконайте наведені інтерактивні елементи, наведені в полі Автентифікація на основі SAML реалізації SharePoint Server 2013 розділ на веб-сайті Microsoft TechNet, щоб отримати додаткові відомості.

    Увага! Під Вільний час виконання в Нові SPTrustedIdentityTokenIssuer команди, потрібно використовувати у UseDefaultConfiguration і IdentifierClaimIs параметри. У UseDefaultConfiguration параметр – це лише перемикач. Можливо, значення для у IdentifierClaimIs параметр наведено нижче.
    • ІМ'Я _ ОБЛІКОВОГО _
    • сповіщення електронною поштою
    • ім'я користувача УЧАСНИКІВ


    Приклад сценарію:

    $ap = New-SPTrustedIdentityTokenIssuer -Name $tokenIdentityProviderName -Description $TrustedIdentityTokenIssuerDescription -realm $siteRealm -ImportTrustCertificate $adfsCert-SignInUrl $signInUrl -UseDefaultConfiguration -IdentifierClaimIs EMAIL -RegisteredIssuerName $siteRealm
  5. У центрі адміністрування слід додати до нового надійних посвідчення постачальника маркерів на веб-застосунок, який потрібно перетворити, постачальники автентифікації. Веб-застосунку має бути як Автентифікація Windows і мета вибрані надійних постачальника посвідчення.
Додаткові відомості
Additionaltips для успішного перетворення:

Якщо значення електронна пошта використовується для претензії ідентифікатор (, параметраIdentifierClaimIs), буде перетворено лише тих користувачів, що адреси електронна пошта, яких вказано в служба Active Directory.

Не всі облікові запис А бізнес-партнера, зазначених у SourceSkipList параметр CSV-файлу буде перетворено на SAML. Для перетворення Windows претензій SAML імен для облікових записів користувачів до переліку або без позначення вимог. Наприклад, або "contoso\user1" або "i:0 #. w|contoso\user1" прийнятна. Ви повинні додати до CSV-файлу всі облікові запис А бізнес-партнера користувачів, яких не слід перетворити. Описані має облікових записів служби та облікових записів адміністратора.

Попередження. Цю статтю переведено автоматично

Властивості

Ідентифікатор статті: 3042604 – останній перегляд: 12/02/2015 12:57:00 – виправлення: 2.0

Microsoft SharePoint Foundation 2013, Microsoft SharePoint Server 2013

  • kbexpertiseinter kbprb kbsurveynew kbmt KB3042604 KbMtuk
Зворотний зв’язок