Крок за кроком відео: встановити SAML автентифікації AD FS з SharePoint Server 2010

ВАЖЛИВО! Ця стаття перекладена засобами машинного перекладу Microsoft. Статтю можна редагувати в середовищі Community Translation Framework (CTF). Щоб якомога швидше перекласти всі статті у своїй базі знань різними мовами, компанія Microsoft не лише звертається до професійних перекладачів, але й вдається до машинного перекладу, який потім редагується спільнотою. Такі статті можуть містити лексичні, синтаксичні та граматичні помилки. Microsoft не несе відповідальності за будь-які неточності, помилки або збитки, до яких може призвести неправильний переклад статей або їх використання. Докладніше про CTF див. на веб-сторінці http://support.microsoft.com/gp/machine-translation-corrections/uk-ua.

Клацніть тут, щоб переглянути цю статтю англійською мовою: 3064450
Наступні відео показано, як налаштувати служба Active Directory (AD FS) об'єднання служби SharePoint Server 2010 SAML автентифікації.


Корисні примітки інтерактивні елементи

Крок 1: З настроювання служби об'єднання служба Active Directory

  • Служби об'єднання це домену Інтернет-сервера AD FS. Microsoft Office 365 користувача буде перенаправлено до цього домену, для перевірки автентичності. Переконайтеся, що додано до спільного запис А на ім'я домену.
  • Неможливо ввести вручну ім'я ім'я служби об'єднання. Це ім'я визначається сертифікат прив'язку до "за промовчанням веб-сайту" в інформаційних службах Інтернету (IIS). Таким чином, потрібно пов'язувати нового сертифіката веб-сайт за промовчанням, перед тим, як налаштувати AD FS.
  • Можна використовувати будь-який рахунок як обліковий запис А комп'ютера служби. Якщо на обліковий запис А комп'ютера служби пароля минув, AD FS припинить роботу. Тому переконайтеся, що пароль облікового запису настроєно таким чином, щоб він не минув.


Крок 2: Додати покладається виробників безпеки та конфіденційності веб-застосунок SharePoint 2010



  • Покладається виробників WS-об'єднання пасивний URL-протокол, має бути в такому форматі:
    HTTPS://<>повне доменне ім’я> /_trust/
    Не забудьте введіть символ скісна риска (/) після "_trust."

  • ідентифікатор безпеки відповідь від виробника, має починатися з URN:.

Крок 3: Імпорт, AD FS сертифікат на сервер SharePoint



AD FS, містить три сертифікатів. Перевірте сертифікат, що сертифікат "Підписання маркер".

Крок 4: Настроювання, SharePoint на SAML-визначити постачальника використовувати AD FS

Сценарії для настроювання SharePoint 2010 з AD FS
$cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2(“C:\adfs.cer”) New-SPTrustedRootAuthority -Name “Token Signing Cert“ -Certificate $cert $map1= New-SPClaimTypeMapping -IncomingClaimType “http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName “EmailAddress” -SameAsIncoming$map2 = New-SPClaimTypeMapping -IncomingClaimType “http://schemas.microsoft.com/ws/2008/06/identity/claims/role" -IncomingClaimTypeDisplayName “Role” -SameAsIncoming$realm = “urn:lg-sp2010”$signingURL=https://myadfs.contoso.com/adfs/ls ##comment: "myadfs.contoso.com" is the ADFS federation service name.$SPT = New-SPTrustedIdentityTokenIssuer -Name “My ADFSv2 SAML Provider” -Description “ADFS for SharePoint” -realm $realm -ImportTrustCertificate $cert -ClaimsMappings $map1,$map2 -SignInUrl $signingURL -IdentifierClaim “http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"


Крок 5: Настроїти дозволи для користувачів SAML автентифікації, у програмі SharePoint

  • Потрібно переконайтеся, що обліковий запис А комп'ютера користувача свою адресу електронна пошта, які настроєно у наелектронна пошта поля в служба Active Directory. В іншому випадку протокол IMAP про помилку "Немає доступу" повертається із сервера SharePoint.

Ім'я сервера об'єднання додати до зони локальної інтрамережі в Інтернеті, перевірка автентичності NTLM використовується при спробі автентифікації на сервері AD FS. Таким чином, вони не буде запропоновано свої облікові дані.

Адміністратори можуть здійснити, настройки групової політики, настроювання єдиного входу рішення на клієнтських комп'ютерах, які підключено до домену.

ЗАПИТАННЯ Й ВІДПОВІДІ ЩОДО
Q: Як увімкнути службу єдиного входу на клієнтських комп'ютерах так, що користувач не з'явиться запит на введення фінансові дані під Вільний час входу користувача на веб-сайті SharePoint?

A: На клієнтському комп'ютері додайте ім'я сервера об'єднання, до зони локальної інтрамережі в Internet Explorer. Після того Перевірка автентичності NTLM використовується, коли користувачі намагаються для автентифікації на сервері AD FS, і вони не пропонується ввести облікові. Адміністратори, можете здійснити настройки групової політики, для настроювання локальної інтрамережі, на клієнтські комп'ютери, підключені до домену.

Попередження. Цю статтю переведено автоматично

Thuộc tính

ID Bài viết: 3064450 - Xem lại Lần cuối: 07/29/2015 22:23:00 - Bản sửa đổi: 1.0

Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Foundation, Windows Server 2008 Standard, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Foundation, Windows Server 2008 R2 Standard

  • kbsurveynew kbhowto kbexpertiseinter kbmt KB3064450 KbMtuk
Phản hồi