Freigeben über


Konfigurieren der Server-zu-Server-Authentifizierung von SharePoint Server in SharePoint Online

 

**Gilt für:**SharePoint Online, SharePoint Server 2013, SharePoint Server 2016

**Letztes Änderungsdatum des Themas:**2017-06-21

Zusammenfassung: Erfahren Sie mehr darüber, wie Sie zwischen SharePoint Server und SharePoint Online eine Server-zu-Server-Vertrauensstellung erstellen.

Dieser Artikel ist Teil einer Roadmap für Verfahren zum Konfigurieren von SharePoint-Hybridlösungen. Stellen Sie sicher, dass Sie einer Roadmap folgen, wenn Sie die Verfahren in diesem Artikel durcharbeiten.

Konfigurieren von Server-zu-Server-Authentifizierung

Dieser Artikel bietet Hilfestellung für den hybriden SharePoint-Umgebungsbereitstellungsprozess, der SharePoint Server und SharePoint Online integriert.

Tipp

Um ein möglichst genaues Ergebnis zu erzielen, führen Sie die Prozeduren in der Reihenfolge aus, in der sie in diesem Artikel aufgeführt sind.

Überprüfen der Webanwendungseinstellungen

Bei einem hybriden SharePoint können unidirektionale Benutzer Anforderungen an SharePoint Online von jeder SharePoint ServerWebanwendung senden, die zur Verwendung der integrierten Windows-Authentifizierung mit NTLM konfiguriert ist.

Sie müssen beispielsweise sicherstellen, dass lokale Suchcenterwebsites, die Sie in Ihrer Lösung einsetzen möchten, für die mit NTML integrierte Windows-Authentifizierung konfiguriert sind. Ist das nicht der Fall, müssen Sie die Webanwendung entweder für die Verwendung der Windows-Authentifizierung mit NTLM konfigurieren oder eine Suchcenterwebsite für eine Webanwendung verwenden, die diese Anforderung erfüllt. Sie müssen außerdem sicherstellen, dass Benutzer, die die Rückgabe von Suchergebnissen aus SharePoint Online erwarten, Verbundbenutzer sind.

So prüfen Sie, ob eine Webanwendung die Anforderung erfüllt.

  1. Vergewissern Sie sich, dass das Benutzerkonto, unter dem dieses Verfahren ausgeführt wird, Mitglied der SharePoint-Gruppe Farmadministratoren ist.

  2. Klicken Sie in der Zentraladministration auf Anwendungsverwaltung und dann auf Webanwendungen verwalten.

  3. Wählen Sie in der Spalte Name die Webanwendung, die Sie überprüfen möchten, und klicken Sie dann auf dem Menüband auf Authentifizierungsanbieter.

  4. Klicken Sie im Dialogfeld Authentifizierungsanbieter in der Spalte Zone auf die Zone, der die Suchcenterwebsite zugeordnet ist.

  5. Vergewissern Sie sich im Dialogfeld Authentifizierung bearbeiten, dass die integrierte Windows-Authentifizierung und NTML (wie in der folgenden Abbildung gezeigt) aktiviert sind.

    Dieses Diagramm veranschaulicht die Authentifizierungstypeinstellung für eine Webanwendung

Konfigurieren von OAuth über HTTP (falls erforderlich)

OAuth in SharePoint Server erfordert standardmäßig HTTPS. Wenn Sie Ihre primäre Webanwendung so konfiguriert haben, dass sie HTTP anstatt SSL verwendet, , müssen Sie OAuth über HTTP auf jedem Webserver in Ihrer SharePoint Server-Farm aktivieren.

Hinweis

Wenn Sie Ihre primäre Webanwendung für die Verwendung von SSL konfigurieren, ist dieser Schritt nicht erforderlich. Sie können mit Erstellen und Konfigurieren einer Zielanwendung für das SSL-Zertifikat in SharePoint Online fortfahren.

Um OAuth über HTTP zu aktivieren, führen Sie die folgenden Befehle als Farmadministratorkonto an der SharePoint 2016-Verwaltungsshell-Eingabeaufforderung auf jedem Webserver in Ihrer SharePoint Server-Farm aus:

$serviceConfig = Get-SPSecurityTokenServiceConfig
$serviceConfig.AllowOAuthOverHttp = $true
$serviceConfig.Update()

Wenn Sie OAuth über HTTP für einen Test aktiviert haben, Ihre Umgebung aber für die Verwendung von SSL konfigurieren möchten, können Sie OAuth über HTTP deaktivieren, indem Sie die folgenden Befehle als Farmadministratorkonto an der SharePoint 2016-Verwaltungsshell-Eingabeaufforderung auf jedem Webserver in Ihrer SharePoint Server-Farm ausführen:

$serviceConfig = Get-SPSecurityTokenServiceConfig
$serviceConfig.AllowOAuthOverHttp = $false
$serviceConfig.Update()

Konfigurieren der Server-zu-Server-Authentifizierung zwischen lokalem SharePoint-Server und SharePoint Online

Dieser Abschnitt hilft Ihnen bei der Server-zu-Server-Authentifizierung zwischen:

  • SharePoint Server

  • SharePoint Online

  • Azure Active Directory

Wenn Sie für hybride Umgebungen eine Server-zu-Server-Authentifizierung einrichten, erstellen Sie eine Vertrauensstellung zwischen Ihrer lokalen SharePoint-Farm und Ihren SharePoint OnlineInstanzen, die Azure Active Directory als vertrauenswürdigen Tokensignaturdienst verwenden. Durch das Hinzufügen der erforderlichen PowerShell-Module und -Snap-Ins kann dieses Verfahren in einem einzigen PowerShell-Fenster auf einem lokalen SharePoint-Webserver erfolgen.

Tipp

Es ist empfehlenswert, die Schritte, die Sie durchführen, die PowerShell-Cmdlets, die Sie ausführen und die Fehler, die möglicherweise auftreten, zu protokollieren. Sie sollten den gesamten Inhalt des PowerShell-Puffers erfassen, wenn Sie fertig sind und bevor Sie das Fenster schließen. Damit erhalten Sie einen Verlauf der Schritte, die Sie vorgenommen haben, und dies kann hilfreich sein, wenn Sie Fehler im Prozess beheben oder den Prozess anderen erklären müssen. Außerdem dient dies als Gedächtnisstütze, wenn die Einrichtung schrittweise erfolgt.

Hier eine allgemeine Ansicht der Verfahren, die Sie in diesem Abschnitt durchführen müssen:

  1. Konfigurieren des Sicherheitstokendienstes in SharePoint Server:

    • Erstellen eines neuen STS-Zertifikats.

    • Ersetzen des Standard-STS-Zertifikats auf jedem Server in Ihrer SharePoint Server-Farm.

  2. Installieren von Onlinedienstverwaltungstools auf einem Webserver in Ihrer SharePoint Server-Farm.

  3. Konfigurieren der Server-zu-Server-Authentifizierung:

    • Festlegen von Variablen für nachfolgende Schritte.

    • Hochladen des neuen lokalen STS-Zertifikats auf SharePoint Online.

    • Hinzufügen eines Dienstprinzipalnamens (Service Principal Name bzw. SPN) zu Azure.

    • Registrieren der Prinzipalobjekt-ID der SharePoint Online-Anwendung mit lokalem SharePoint Server.

    • Konfigurieren eines allgemeinen Authentifizierungsbereichs zwischen Ihrer lokalen SharePoint Server-Farm und SharePoint Online.

    • Konfigurieren eines lokalen Anwendungsproxys für Azure Active Directory.

Installieren von Online-Dienstverwaltungstools und konfigurieren des Windows PowerShell-Fensters

Für die weiteren Schritte müssen Sie diese Tools auf einem lokalen SharePoint Server-Webserver installieren:

  • den Microsoft Online Services-Anmeldeassistenten

  • Das Azure Active Directory-Modul für Windows PowerShell

  • Die SharePoint Online-Verwaltungsshell

Am einfachsten erreichen Sie dies mithilfe eines Webservers in Ihrer SharePoint-Farm, da es leichter ist, das Microsoft.SharePoint.PowerShell-Snap-In auf Webservern zu laden als auf Servern, auf denen SharePoint Server nicht installiert ist.

Für die Authentifizierung mit SharePoint Server, SharePoint Online und Azure Active Directory sind unterschiedliche Benutzerkonten erforderlich. Informationen zur Bestimmung des richtigen Kontos finden Sie unter Erforderliche Konten für die Konfiguration und das Testen der Hybridlösung.

Hinweis

Um die in diesem Abschnitt beschriebenen Schritte leichter ausführen zu können, sollten Sie ein PowerShell-Eingabeaufforderungsfenster auf einem SharePoint Server-Webserver öffnen und die Module und Snap-Ins hinzufügen, mit denen Sie sich mit SharePoint Server, SharePoint Online und Azure Active Directory verbinden können.. (Detaillierte Schritte dazu finden Sie weiter unten in diesem Artikel.) Wir lassen dieses Fenster dann geöffnet für die verbleibenden PowerShell-Schritte in diesem Artikel.

So installieren Sie die Online-Dienstverwaltungstools und konfigurieren das PowerShell-Fenster:

  1. Installieren Sie die Online-Dienstverwaltungstools:

    1. Installieren des Microsoft Online Services-Anmeldeassistenten:

      Microsoft Online Services-Anmeldeassistent für IT-Spezialisten BETA (64-Bit-Version) (https://go.microsoft.com/fwlink/?LinkId=391943)

      Weitere Informationen finden Sie unter Microsoft Online Services-Anmeldeassistent für IT-Experten RTW (https://go.microsoft.com/fwlink/?LinkId=392322).

    2. Installieren des Azure Active Directory-Modul für Windows PowerShell:

      Windows Azure Active Directory-Modul für Windows PowerShell (64-Bit-Version) (https://go.microsoft.com/fwlink/p/?linkid=236297)

      Weitere Informationen zum Azure Active Directory-Modul für Windows PowerShell finden Sie unter Verwalten von Windows Azure Active Directory mithilfe von Windows PowerShell (https://aka.ms/aadposh).

    3. Installieren der SharePoint OnlineVerwaltungsshell:

      SharePoint Online-Verwaltungsshell (64-Bit-Version) (https://go.microsoft.com/fwlink/?LinkId=392323)

      Weitere Informationen zur finden Sie unter Einführung in die SharePoint Online-Verwaltungsshell (https://go.microsoft.com/fwlink/?LinkId=392324).

  2. Öffnen Sie ein PowerShell-Fenster.

  3. Um sicherzustellen, dass Sie den Puffer nicht vollständig füllen und keinen Teil Ihres Befehlsverlaufs verlieren, erhöhen Sie die Puffergröße des PowerShell-Fensters:

    1. Klicken Sie auf die obere linke Ecke des PowerShell-Fensters und anschließend auf Eigenschaften.

    2. Klicken Sie im PowerShell-Eigenschaftenfenster auf die Registerkarte Layout.

    3. Legen Sie den Wert im Feld Höhe unterhalb von Bildschirmpuffergröße auf 9999 fest, und klicken Sie anschließend auf OK.

  4. Mit diesem Schritt werden die Module, die Sie heruntergeladen haben, geladen, sodass Sie sie in Ihrer PowerShell-Sitzung verwenden können. Kopieren Sie die folgenden Befehle in Ihre PowerShell-Sitzung, und drücken Sie anschließend die Eingabetaste.

    Add-PSSnapin Microsoft.SharePoint.PowerShell
    Import-Module Microsoft.PowerShell.Utility
    Import-Module MSOnline -force
    Import-Module MSOnlineExtended -force
    Import-Module Microsoft.Online.SharePoint.PowerShell -force
    

    Falls Sie später einen der Konfigurationsschritte erneut ausführen müssen, verwenden Sie diese Befehle erneut, um die erforderlichen Module und Snap-Ins in PowerShell zu laden.

  5. Konfigurieren von Remoting in Microsoft PowerShell:

    Geben Sie in die PowerShell-Eingabeaufforderung die folgenden Befehle ein.

    enable-psremoting
    new-pssession
    

    Weitere Informationen finden Sie unter About_Remote_Requirements (https://go.microsoft.com/fwlink/?LinkId=392326).

  6. Um sich an Ihrer SharePoint Online-Instanz anzumelden (über die PowerShell-Eingabeaufforderung), geben Sie die folgenden Befehle ein.

    $cred=Get-Credential
    Connect-MsolService -Credential $cred
    

    Sie werden aufgefordert, sich anzumelden. Sie müssen sich mit einem globalen Office 365-Administratorkonto anmelden.

    Lassen Sie das PowerShell-Fenster geöffnet, bis sie alle in diesem Artikel beschriebenen Schritte durchgeführt haben. Sie benötigen es für eine Reihe von Prozeduren in den folgenden Abschnitten.

Konfigurieren der Server-zu-Server-Authentifizierung (S2S-Authentifizierung)

An dieser Stelle haben Sie bereits Tools installiert, mit denen Sie Azure Active Directory und SharePoint Online dezentral verwalten können; nun können Sie die Server-zu-Server-Authentifizierugn einrichten.

Zu erstellende Variablen

In diesem Abschnitt werden die Variablen beschrieben, die Sie im folgenden Prozess erstellen. Diese Variablen enthalten wichtige Informationen, die noch in einer Reihe der verbleibenden Konfigurationsschritte verwendet werden.

Variable

Comments

$spcn

Der Stammdomänenname Ihrer öffentlichen Domäne. Dieser Wert darf keine URL sein; er sollte nur der Domänennameohne Protokoll sein.

Ein Beispiel ist "adventureworks.com".

$spsite

Die interne URL Ihrer lokalen primären Webanwendung, https://sharepoint oder https://sharepoint.adventureworks.com. Dies ist eine vollständige URL, die das richtige Protokoll (entweder http: oder https://) verwendet.

Dies ist die interne URL der Webanwendung, die Sie für die Hybridfunktion verwenden:

Ein Beispiel ist "http://sharepoint" oder "https://sharepoint.adventureworks.com".

$site

Das Objekt Ihrer lokalen primären Webanwendung. Der Befehl, mit dem diese Variable gefüllt wird, ruft das Objekt der Website, die Sie in der $spsite-Variablen angegeben haben, ab.

Diese Variable wird automatisch gefüllt.

$spoappid

Die Prinzipal-ID der SharePoint Online-Anwendung lautet immer 00000003-0000-0ff1-ce00-000000000000. Dieser generische Wert identifiziert SharePoint Online-Objekte in einer Office 365-Instanz.

$spocontextID

Die Kontext-ID (ObjectID) Ihrer SharePoint Online-Instanz. Dieser Wert ist eine eindeutige GUID, die Ihre SharePoint Online-Instanz identifiziert.

Dieser Wert wird automatisch erfasst, sobald Sie den Befehl zum Festlegen der Variablen ausführen.

$metadataEndpoint

Die URL, die von Ihrem Azure Active Directory-Proxy verwendet wird, um eine Verbindung mit Ihrer Azure Active Directory-Instanz herzustellen.

Für diese Variable müssen Sie keinen Wert eingeben.

Schritt 1: Festlegen von Variablen

Nachdem Sie die Variablen identifiziert haben, die Sie festlegen müssen, legen Sie die Werte anhand der folgenden Anweisungen fest. Indem Sie die am häufigsten verwendeten Variablen vorab festlegen, sollten Sie die nachfolgenden Schritte schneller ausführen können. Diese Variablen behalten ihren Wert so lange, wie Sie die PowerShell-Sitzung nicht schließen. Achten Sie darauf, überall dort, wo Sie spitze Klammern (< >) sehen, präzise Informationen anzugeben und die spitzen Klammern vor Ausführen des Befehls zu entfernen. Ändern Sie keinesfalls den Code außerhalb der spitzen Klammern.

Hinweis

Wenn Sie einen oder mehrere dieser Konfigurationsschritte später wiederholen müssen, sollten Sie zunächst die folgenden PowerShell-Befehle in diesem Schritt ausführen, um die wichtigen Variablenwerte erneut einzugeben.

Kopieren Sie die folgenden Variablendeklarationen, und geben Sie sie in einen Texteditor wie Notepad ein. Legen Sie die für Ihr Unternehmen spezifischen Eingabewerte fest. Führen Sie über die PowerShell-Eingabeaufforderung, die Sie mit den Online-Dienstverwaltungstools erstellt haben, die Befehle aus.

$spcn="*.<public_root_domain_name>.com"
$spsite=Get-Spsite <principal_web_application_URL>
$site=Get-Spsite $spsite
$spoappid="00000003-0000-0ff1-ce00-000000000000"
$spocontextID = (Get-MsolCompanyInformation).ObjectID
$metadataEndpoint = "https://accounts.accesscontrol.windows.net/" + $spocontextID + "/metadata/json/1"

Nachdem Sie die Werte dieser Variablen eingegeben haben, können Sie diese Werte anzeigen, indem Sie den Namen der entsprechenden Variablen in das PowerShell-Fenster eingeben. Wenn Sie beispielsweise $metadataEndpoint eingeben, erhalten Sie einen ähnlichen Wert wie diesen:

https://accounts.accesscontrol.windows.net/00fceb75-246c-4ac4-a0ad-7124xxxxxxxx/metadata/json/1

Schritt 2: Hochladen von STS-Zertifikaten auf SharePoint Online

In diesem Schritt laden Sie das STS-Zertifikat für Ihre SharePoint Server-Farm an Ihren SharePoint Online-Mandanten hoch , sodass SharePoint Server und SharePoint Online sich gegenseitig mit ihren Serviceanwendungen verbinden und diese verwenden können.

Diese Abbildung veranschaulicht die Architektur, wenn ein STS-Zertifikat in SharePoint Online hochgeladen wird

Durch die Befehle, die Sie in diesem Schritt verwenden, werden das neue lokale STS-Zertifikat (nur öffentlicher Schlüssel) dem SharePoint OnlinePrinzipalobjekt Ihrer Office 365-Instanz hinzugefügt.

Geben Sie an der PowerShell-Eingabeaufforderung die folgenden Befehle ein.

$stsCert=(Get-SPSecurityTokenServiceConfig).LocalLoginProvider.SigningCertificate
$binCert = $stsCert.GetRawCertData()
$credValue = [System.Convert]::ToBase64String($binCert);
New-MsolServicePrincipalCredential -AppPrincipalId $spoappid -Type asymmetric -Usage Verify -Value $credValue

Schritt 3: Hinzufügen eines SPN zum öffentlichen Domänenname Azure Active Directory

In diesem Schritt fügen Sie Ihrer Azure Active Directory-Instanz einen Dienstprinzipalnamen (SPN) hinzu. Der SPN besteht aus dem SharePoint Online-Prinzipalobjekt und dem öffentlichen DNS-Namespace Ihres Unternehmens.

Ebenso wie SPNs in Active Directory funktionieren, wird durch die Erstellung dieses SPNs im Azure Active Directory ein Objekt registriert, das für die beiderseitige Authentifizierung zwischen SharePoint Server und Ihrer SharePoint Online-Instanz verwendet wird. Die grundlegende Syntax für den SPN lautet:

<service type>/<instance name>

Dabei gilt:

  • <service type> stellt das SharePoint Online-Prinzipalobjekt dar, das für alle SharePoint Online-Instanzen gleich ist.

  • <instance name> ist die URL des öffentlichen DNS-Namespace des Unternehmens, die stets als Platzhalter ausgedrückt wird, auch wenn das Secure-Channel-Zertifikat bzw. SSL-Zertifikat ein SAN-Zertifikat ist.

Hier ein Beispiel:

00000003-0000-0ff1-ce00-000000000000/*.<public domain name>.com

Wenn der allgemeine Name in Ihrem Zertifikat "sharepoint.adventureworks.com" lautet, sieht die Syntax des SPN folgendermaßen aus:

00000003-0000-0ff1-ce00-000000000000/*.adventureworks.com

Durch die Verwendung eines Platzhalterwerts kann SharePoint Online Verbindungen zu beliebigen Hosts in der Domäne überprüfen. Dies ist nützlich, falls Sie den Hostnamen des externen Endpunkts (sofern Ihre Topologie über einen solchen verfügt) oder Ihre SharePoint Server-Webanwendung einmal ändern müssen.

Um dem Azure Active Directory den SPN hinzuzufügen, geben Sie an der Azure Active Directory-Modul für Windows PowerShell-Eingabeaufforderung die folgenden Befehle ein:

$msp = Get-MsolServicePrincipal -AppPrincipalId $spoappid
$spns = $msp.ServicePrincipalNames
$spns.Add("$spoappid/$spcn") 
Set-MsolServicePrincipal -AppPrincipalId $spoappid -ServicePrincipalNames $spns

Um zu überprüfen, ob der SPN festgelegt wurde, geben Sie an der Azure Active Directory-Modul für Windows PowerShell-Eingabeaufforderung die folgenden Befehle ein.

$msp = Get-MsolServicePrincipal -AppPrincipalId $spoappid
$spns = $msp.ServicePrincipalNames 
$spns

Ihnen sollte nun eine aktuelle Liste der SPNs für SharePoint Online in Ihrer Office 365-Instanz angezeigt werden, und einer der SPNs sollte den Namen Ihrer öffentlichen Stammdomäne enthalten (angeführt von der Prinzipal-ID der SharePoint Online-Anwendung). Diese Registrierung ist eine Platzhalterregistrierung und sollte dem folgenden Beispiel ähneln:

00000003-0000-0ff1-ce00-000000000000/*.<öffentlicher Domänenname>.com

Dies sollte der einzige SPN in der Liste sein, der Ihren öffentlichen Stammdomänennamen enthält.

Schritt 4: Registrieren der ID des SharePoint Online-Anwendungsprinzipalobjekts mit SharePoint Server

In diesem Schritt wird die ID des SharePoint Online-Anwendungsprinzipalobjekts im lokalen SharePoint-Anwendungsverwaltungsdienst gespeichert, wodurch SharePoint Server mittels OAuth SharePoint Online authentifizieren kann.

Geben Sie an der PowerShell-Eingabeaufforderung die folgenden Befehle ein.

$spoappprincipalID = (Get-MsolServicePrincipal -ServicePrincipalName $spoappid).ObjectID
$sponameidentifier = "$spoappprincipalID@$spocontextID"
$appPrincipal = Register-SPAppPrincipal -site $site.rootweb -nameIdentifier $sponameidentifier -displayName "SharePoint Online"

Um diesen Schritt zu überprüfen, geben Sie an der PowerShell-Eingabeaufforderung die Variable „$appPrincipal ein:

$appPrincipal | fl

Die erwartete Ausgabe ist eine Beschreibung des registrierten Anwendungsprinzipals namens SharePoint Online und sollten diesem Beispiel ähneln.

Diese Abbildung veranschaulicht den registrierten Anwendungsprinzipal für SharePoint Online

Schritt 5: Festlegen des SharePoint-Authentifizierungsbereichs

In diesem Schritt wird der Authentifizierungsbereich Ihrer SharePoint Server-Farm auf die Kontext-ID der Office 365-Instanz der Organisation festgelegt.

Geben Sie an der PowerShell-Eingabeaufforderung den folgenden Befehl ein.

Set-SPAuthenticationRealm -realm $spocontextID

Um diesen Schritt zu überprüfen, geben Sie an der PowerShell-Eingabeaufforderung den folgenden Befehl ein.

$spocontextID
 Get-SPAuthenticationRealm

Die Ausgabe der einzelnen Befehle ist die GUID, die die Kontext-ID der SharePoint Online-Instanz darstellt. Diese GUIDs müssen identisch sein.

Wichtig

Sollten Sie Farmsetupskripte konfiguriert haben, die den Wert des Farmauthentifizierungsbereichs angeben, sollten Sie die Setupskripte mit diesem neuen Wert aktualisieren, bevor Sie sie erneut ausführen.
Weitere Informationen zu den Anforderungen für Bereichswerte in Farmsetupskripts finden Sie unter Planen der Server-zu-Server-Authentifizierung in SharePoint Server. Da Sie diese SharePoint-Farm jetzt so konfiguriert haben, dass sie Teil der Hybridkonfiguration ist, muss der Wert des SharePoint-Farmauthentifizierungsbereichs immer mit der Instanzkontext-ID übereinstimmen. Falls Sie diesen Wert ändern, ist die Farm nicht länger Teil der Hybridfunktionalität.

Schritt 6: Konfigurieren von lokalen Proxys für Azure Active Directory

In diesem Schritt erstellen Sie einen Azure Active Directory-Proxydienst in der SharePoint Server-Farm. Dadurch kann Azure Active Directory als vertrauenswürdiger Tokenherausgeber agieren, der von SharePoint Server verwendet wird, um Anspruchstoken von SharePoint Online zu authentifizieren.

Geben Sie an der PowerShell-Eingabeaufforderung die folgenden Befehle ein.

New-SPAzureAccessControlServiceApplicationProxy -Name "ACS" -MetadataServiceEndpointUri $metadataEndpoint -DefaultProxyGroup
New-SPTrustedSecurityTokenIssuer -MetadataEndpoint $metadataEndpoint -IsTrustBroker:$true -Name "ACS"

So überprüfen Sie den Befehl New-SPAzureAccessControlServiceApplicationProxy:

  1. Blättern Sie durch die SharePoint 2016-Zentraladministration-Website, und klicken Sie auf Sicherheit> Allgemeine Sicherheit> Vertrauensstellung verwalten.

  2. Stellen Sie sicher, dass ein Eintrag mit einem Namen vorhanden ist, der mit ACS beginnt und vom Typ Vertrauenswürdiger Dienstconsumer ist.

Um diesen Schritt zu überprüfen, geben Sie an der PowerShell-Eingabeaufforderung den folgenden Befehl ein.

Get-SPTrustedSecurityTokenIssuer

Die Ausgabe, die erwartet wird, ist eine Beschreibung des vertrauenswürdigen Tokenherausgebers der Farm, dessen Wert der RegisteredIssuerName-Eigenschaft wie folgt lautet:

00000001-0000-0000-c000-000000000000@<Kontext-ID>

wobei <Context ID> die Kontext-ID Ihrer SharePoint Online-Instanz ist und dem Wert in der Variable „$spocontextID“ entspricht.

Überprüfung und weitere Schritte

Prüfen Sie nach Abschluss der Aufgaben in diesem Thema und der entsprechenden Validierungsschritte die Einrichtung von SSO und Verzeichnissynchronisierung anhand der unter Überprüfen der SSO-Konfigurationen beschriebenen Überprüfungsschritte.

Sie sollten den gesamten Inhalt des PowerShell-Puffers in einer Datei speichern, damit Sie einen Überblick über den Verlauf der Schritte haben, die Sie durchgeführt haben. Dies ist insbesondere dann hilfreich, wenn Sie Ihren Konfigurationsverlauf für die Problembehandlung oder aus einem anderen Grund nachvollziehen müssen. Außerdem hilft es Ihnen, wieder genau da anzusetzen, wo Sie zuletzt aufgehört haben, wenn die Konfiguration mehrere Tage dauert oder von mehrere Personen durchgeführt wird.

Nachdem Sie die in diesem Thema aufgeführten Konfigurationsaufgaben abgeschlossen und geprüft haben, fahren Sie mit Ihrer Konfigurationsroadmap fort.

See also

Hybridlösung für SharePoint Server
Installieren und Konfigurieren von SharePoint Server Hybrid