逐步的視訊: 設定成與 SharePoint 伺服器 2010 AD FS SAML 驗證

請注意--重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,且可能由 Microsoft Community 利用 Community Translation Framework技術或人工進行事後編修。翻譯過程並無專業譯者參與。Microsoft 同時提供使用者人為翻譯、機器翻譯及社群編修後的機器翻譯三種版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,所有翻譯文章都可能不盡完美,內容都可能出現詞彙、語意或文法上的錯誤。就翻譯內容之不正確或錯誤,或客戶因使用翻譯內容所產生的任何損害,微軟不負擔任何責任。Microsoft將依合理的商業努力不斷地更新機器翻譯軟體和工具,以期能為使用者提供更好的服務。

按一下這裡查看此文章的英文版本:3064450
下面的影片會顯示如何設定 [Active Directory 聯盟服務 (AD FS) 與 SharePoint 伺服器 2010 SAML 驗證。


如需步驟的有用備忘稿

步驟 1: 設定 Active Directory 聯盟服務

  • 同盟服務名稱是網際網路的網域名稱的 AD FS 伺服器。Microsoft Office 365 使用者會被重新導向到這個網域進行驗證。請確定已加入公用網域名稱的記錄。
  • 您無法手動輸入聯盟的服務名稱的名稱。這個名稱是由憑證繫結至 「 預設的網站 「 網際網路資訊服務 (IIS) 所決定的。因此,您必須在設定 AD FS 之前,將新的憑證繫結至預設網站。
  • 您可以使用任何帳戶做為服務帳戶。如果服務帳戶的密碼過期,AD FS 會停止運作。因此請確定已設定帳戶的密碼,以便永遠不會過期。


步驟 2: 新增至 SharePoint 2010 web 應用程式的信賴憑證者的合作對象信任



  • 信賴憑證者 WS-同盟被動式的通訊協定 URL 必須是以下列格式:
    https://<>FQDN> /_trust/
    別忘了輸入斜線字元 (/) 之後"_trust"。

  • 回覆廠商信任的識別項必須以開頭 urn:.

步驟 3: 匯入 SharePoint 伺服器的 AD FS 的簽署憑證



AD FS 會包含三個憑證。請確定您匯入的憑證 」 語彙基元簽署 」 憑證。

步驟 4: 設定 SharePoint AD FS,作為 SAML 識別提供者

針對使用 AD FS 設定 SharePoint 2010 的指令碼
$cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2(“C:\adfs.cer”) New-SPTrustedRootAuthority -Name “Token Signing Cert“ -Certificate $cert $map1= New-SPClaimTypeMapping -IncomingClaimType “http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName “EmailAddress” -SameAsIncoming$map2 = New-SPClaimTypeMapping -IncomingClaimType “http://schemas.microsoft.com/ws/2008/06/identity/claims/role" -IncomingClaimTypeDisplayName “Role” -SameAsIncoming$realm = “urn:lg-sp2010”$signingURL=https://myadfs.contoso.com/adfs/ls ##comment: "myadfs.contoso.com" is the ADFS federation service name.$SPT = New-SPTrustedIdentityTokenIssuer -Name “My ADFSv2 SAML Provider” -Description “ADFS for SharePoint” -realm $realm -ImportTrustCertificate $cert -ClaimsMappings $map1,$map2 -SignInUrl $signingURL -IdentifierClaim “http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"


步驟 5: 在 SharePoint 中設定 SAML 驗證的使用者權限

  • 您必須確定使用者帳戶具有中設定其電子郵件地址電子郵件 在 Active Directory 中的欄位。否則,將傳回 「 拒絕存取 」 錯誤,從 SharePoint 伺服器。

同盟伺服器名稱新增到 「 網際網路 」 的 「 近端內部網路 」 區域後,當使用者嘗試在 AD FS 伺服器上驗證時,就是會使用 NTLM 驗證。因此,它們不會提示輸入他們的認證。

系統管理員可以實作群組原則 」 設定來加入網域的用戶端電腦上設定單一登入方案。

常見問題集
Q:我如何啟用單一登入用戶端電腦,讓使用者將不會提示您提供認證時使用者登入到 SharePoint 網站?

A:在用戶端電腦上,加入 Internet Explorer 的 「 近端內部網路 」 區域中的同盟伺服器名稱。在那之後,當使用者嘗試在 AD FS 伺服器上,驗證,則不提示輸入他們的認證使用者使用 NTLM 驗證。系統管理員可以實作群組原則 」 設定來設定 [加入網域的用戶端電腦上的 [近端內部網路區域。

警告:本文為自動翻譯

內容

文章識別碼:3064450 - 最後檢閱時間:07/29/2015 22:24:00 - 修訂: 1.0

Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Foundation, Windows Server 2008 Standard, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Foundation, Windows Server 2008 R2 Standard

  • kbsurveynew kbhowto kbexpertiseinter kbmt KB3064450 KbMtzh
意見反應