分步视频: 设置与 SharePoint Server 2010 中的 AD FS SAML 验证

重要说明:本文是由 Microsoft 机器翻译软件进行的翻译并可能由 Microsoft 社区通过社区翻译机构(CTF)技术进行后期编辑,或可能是由人工进行的翻译。Microsoft 同时向您提供机器翻译、人工翻译及社区后期编辑的文章,以便对我们知识库中的所有文章以多种语言提供访问。翻译的文章可能存在词汇、句法和/或语法方面的错误。Microsoft 对由于内容的误译或客户对内容的使用所导致的任何不准确、错误或损失不承担责任。

点击这里察看该文章的英文版: 3064450
下面的视频显示了如何设置 活动目录的联合身份验证服务 (AD FS) 与 SharePoint Server 2010 SAML 验证。


有用便笺的步骤

步骤 1: 将 活动目录(AD) 联合身份验证服务配置

  • 联合身份验证服务名称是 AD FS 服务器面向互联网的域名。Microsoft Office 365 的用户将被重定向到此域进行身份验证。请确保您添加一个公共的域名记录。
  • 不能手动键入联合身份验证服务名称的名称。此名称由证书绑定到"默认 Web 站点"Internet Information Services (IIS) 中确定。因此,您必须将新的证书绑定到默认网站配置 AD FS 之前。
  • 您可以使用任何帐户作为服务帐户。如果服务帐户的密码已过期,AD FS 将停止工作。因此,请确保该帐户的密码设置,以便它永远不会过期。


步骤 2: 向 SharePoint 2010 web 应用程序添加信赖方信任



  • 依赖方 WS 联合身份验证被动协议 URL 必须以下面的格式:
    https://<>FQDN> /_trust/
    请不要忘记键入斜杠字符 (/) 后"_trust"。

  • 回复方信任标识符必须从开始 urn:.

步骤 3: 导入 SharePoint 服务器的 AD FS 签名证书



AD FS 包含三个证书。请确保导入的证书是"令牌签名"证书。

步骤 4: 配置 SharePoint SAML 标识提供程序用作 AD FS

脚本使用 AD FS 配置 SharePoint 2010
$cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2(“C:\adfs.cer”) New-SPTrustedRootAuthority -Name “Token Signing Cert“ -Certificate $cert $map1= New-SPClaimTypeMapping -IncomingClaimType “http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName “EmailAddress” -SameAsIncoming$map2 = New-SPClaimTypeMapping -IncomingClaimType “http://schemas.microsoft.com/ws/2008/06/identity/claims/role" -IncomingClaimTypeDisplayName “Role” -SameAsIncoming$realm = “urn:lg-sp2010”$signingURL=https://myadfs.contoso.com/adfs/ls ##comment: "myadfs.contoso.com" is the ADFS federation service name.$SPT = New-SPTrustedIdentityTokenIssuer -Name “My ADFSv2 SAML Provider” -Description “ADFS for SharePoint” -realm $realm -ImportTrustCertificate $cert -ClaimsMappings $map1,$map2 -SignInUrl $signingURL -IdentifierClaim “http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"


步骤 5: 在 SharePoint 配置 SAML 身份验证的用户权限

  • 您需要确保用户帐户中配置其电子邮件地址电子邮件 字段在 活动目录(AD) 中。否则,将从 SharePoint 服务器返回"拒绝访问"错误。

联合身份验证服务器名称添加到本地 intranet 区域中互联网之后,当用户试图在 AD FS 服务器上进行身份验证时将使用 NTLM 身份验证。因此,他们不会提示输入用户凭据。

管理员可以配置单一登录解决方案加入到域中的客户端计算机上的组策略设置来实现。

常见问题解答
Q:如何启用单一登录的客户端计算机,以便将不会提示用户提供凭据的用户登录到 SharePoint 网站时?

A:在客户端计算机上,将联合身份验证服务器名称添加到 Internet Explorer 中的本地 intranet 区域。之后,当用户尝试在 AD FS 服务器上,身份验证并且不提示他们输入其凭据,则使用 NTLM 身份验证。管理员可以实现组策略设置来配置加入到域中的客户端计算机上的本地 intranet 区域。

警告:本文已自动翻译

属性

文章 ID:3064450 - 上次审阅时间:07/29/2015 22:23:00 - 修订版本: 1.0

Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Foundation, Windows Server 2008 Standard, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Foundation, Windows Server 2008 R2 Standard

  • kbsurveynew kbhowto kbexpertiseinter kbmt KB3064450 KbMtzh
反馈