Video hướng dẫn từng bước: thiết lập AD FS với SharePoint Server 2010 SAML xác thực

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch thuật của Microsoft và có thể được Cộng đồng Microsoft chỉnh sửa lại thông qua công nghệ CTF thay vì một biên dịch viên chuyên nghiệp. Microsoft cung cấp các bài viết được cả biên dịch viên và phần mềm dịch thuật thực hiện và cộng đồng chỉnh sửa lại để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng nhiều ngôn ngữ Tuy nhiên, bài viết do máy dịch hoặc thậm chí cộng đồng chỉnh sửa sau không phải lúc nào cũng hoàn hảo. Các bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này: 3064450
Video sau đây cho thấy làm thế nào để thiết lập bản ghi dịch vụ liên kết Thư mục Họat động (AD FS) với SharePoint Server 2010 SAML xác thực.


Các ghi chú hữu ích để biết các bước

Bước 1: Cấu hình bản ghi dịch vụ liên kết Thư mục Họat động

  • bản ghi dịch vụ liên kết tên là tên miền kết nối Internet của máy chủ AD FS. Người dùng Microsoft Office 365 sẽ được chuyển hướng tới vùng này để xác thực. Đảm bảo rằng bạn thêm một bản ghi cho tên miền.
  • Bạn không thể tự gõ tên cho tên bản ghi dịch vụ liên kết. Tên này được xác định bằng chứng chỉ liên kết đến "trang Web mặc định" trong bản ghi dịch vụ thông tin Internet (IIS). Vì vậy, bạn phải liên kết chứng chỉ mới với các web site mặc định trước khi bạn cấu hình AD FS.
  • Bạn có thể sử dụng bất kỳ tài khoản làm tài khoản bản ghi dịch vụ. Nếu mật khẩu tài khoản bản ghi dịch vụ hết hạn, AD FS sẽ ngừng hoạt động. Để đảm bảo rằng mật khẩu của tài khoản được đặt để nó không bao giờ hết hạn.


Bước 2: Thêm tin cậy bên dựa vào ứng dụng web SharePoint 2010



  • Bên dựa thụ WS-liên bang giao thức URL phải ở định dạng sau:
    https://<>FQDN> /_trust/
    Đừng quên nhập kí tự đại diện dấu kiểm gạch chéo (/) sau khi "_trust."

  • Danh tin phản hồi bên phải Bắt đầu với urn:.

Bước 3: Nhập chứng chỉ AD FS ký vào máy chủ SharePoint



AD FS có ba chứng chỉ. Đảm bảo rằng chứng chỉ mà bạn nhập chứng chỉ "Đăng nhập mã thông báo".

Bước 4: Cấu hình SharePoint sử dụng AD FS SAML một xác định nhà cung cấp

Script cấu hình SharePoint 2010 với AD FS
$cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2(“C:\adfs.cer”) New-SPTrustedRootAuthority -Name “Token Signing Cert“ -Certificate $cert $map1= New-SPClaimTypeMapping -IncomingClaimType “http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName “EmailAddress” -SameAsIncoming$map2 = New-SPClaimTypeMapping -IncomingClaimType “http://schemas.microsoft.com/ws/2008/06/identity/claims/role" -IncomingClaimTypeDisplayName “Role” -SameAsIncoming$realm = “urn:lg-sp2010”$signingURL=https://myadfs.contoso.com/adfs/ls ##comment: "myadfs.contoso.com" is the ADFS federation service name.$SPT = New-SPTrustedIdentityTokenIssuer -Name “My ADFSv2 SAML Provider” -Description “ADFS for SharePoint” -realm $realm -ImportTrustCertificate $cert -ClaimsMappings $map1,$map2 -SignInUrl $signingURL -IdentifierClaim “http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"


Bước 5: Đặt cấu hình quyền người dùng cho xác thực SAML trong SharePoint

  • Bạn phải đảm bảo rằng tài khoản người dùng có địa chỉ e-mail của cấu hình trong cácE-Mail trường trong Thư mục Họat động. Ngoài ra, lỗi "Truy cập bị từ chối" sẽ được trả lại từ máy chủ SharePoint.

Sau khi bạn thêm tên máy (ứng dụng) phục vụ liên kết vào vùng intranet Internet, NTLM xác thực được sử dụng khi người dùng cố gắng xác thực trên máy chủ AD FS. Do đó, họ không nhắc nhập uỷ nhiệm của mình.

Quản trị viên có thể áp dụng thiết đặt chính sách nhóm để cấu hình giải pháp đăng nhập đơn trên máy tính khách được kết nối với miền.

câu hỏi thường gặp
Q: Làm thế nào tôi có thể kích hoạt đăng nhập đơn cho máy tính khách để người dùng sẽ không được nhắc nhập uỷ nhiệm khi người dùng kí nhập vào các web site SharePoint?

A: Trên máy tính khách, thêm tên máy (ứng dụng) phục vụ liên kết vào vùng intranet Cục bộ trong Internet Explorer. Sau đó, NTLM xác thực được sử dụng khi người dùng cố gắng xác thực trên máy chủ AD FS và họ không được nhắc nhập uỷ nhiệm của mình. Quản trị viên có thể áp dụng thiết đặt chính sách nhóm để cấu hình vùng intranet Cục bộ trên máy tính khách được kết nối với miền.

Cảnh báo: Bài viết này được dịch tự động

Thuộc tính

ID Bài viết: 3064450 - Xem lại Lần cuối: 07/29/2015 22:23:00 - Bản sửa đổi: 1.0

Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Microsoft Windows Server Foundation 2008 Windows Server Foundation, Windows Server 2008 Standard, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Foundation, Windows Server 2008 R2 Standard

  • kbsurveynew kbhowto kbexpertiseinter kbmt KB3064450 KbMtvi
Phản hồi