Konfiguratu SAM FS 2.0 hornitzailea AD FS atarietarako
Oharra
2022ko urriaren 12tik aurrera, Power Pages izango da Power Apps atarien izen berria. Informazio gehiago: Microsoft Power Pages erabilgarri dago modu orokorrean (bloga)
Laster migratuko eta konbinatuko dugu Power Apps atarien dokumentazioa Power Pages dokumentazioarekin.
Garrantzitsua
Active Directory Federation zerbitzuak (AD FS) konfiguratzeko urratsak aldatu egin daitezke zure AD FS zerbitzariaren bertsioaren arabera.
Alderdia fidagarrien relying AD FS sortu
Oharra
Ikusi Konfiguratu AD FS erabiliz PowerShell, informaziorako buruz nola burutu pauso hauek PowerShell gidoian.
Hautatu AD FS Kudeaketa tresna erabiltzeko Zerbitzua > Erreklamazioa Azalpenak.
Hautatu Gehitu erreklamazioaren azalpena.
Zehaztu erreklamazioa:
Bistaratzeko izena: Persistent Identifikatzailea
Eskaeraren identifikatzailea: urn: oasis: izenak: tc: SAML:2.0:nameid-formatua: persistent
Gaitu kontrol-: Argitaratu erreklamazioa hau azalpena federation metadatuen Federation Zerbitzua onartzen dituen erreklamazioa mota gisa
Gaitu kontrol-: Argitaratu erreklamazioa hau azalpena federation metadatuen Federation Zerbitzua bidaltzen dituen erreklamazioa mota gisa
Hautatu Ados.
Hautatu AD FS Kudeaketa tresna erabiltzeko fidagarritzat Jotzen Erlazioak >Alderdia Trusts Relying.
Hautatu Gehitu alderdi fidagarria.
Ongi etorri: Hautatu Hasi.
Hautatu Datu-Basea: Hautatu relying alderdiaren buruzko datuak eskuz Sartu eta hautatu Hurrengoa.
Zehaztu Bistaratzeko Izena: Idatzi bat izena eta hautatu Hurrengoa. Adibidez: https://portal.contoso.com/
Aukeratu Profila: Hautatu AD FS 2.0 zerbitzariko, eta ondoren hautatu Hurrengo.
Konfiguratu ziurtagiria: hautatu Hurrengoa.
Konfiguratu URLa: hautatu Egiaztatu Gaitu SAML 2.0 WebSSO protokoloakontrol-laukia. Alderdia SAML 2.0 SSO zerbitzu URLa: Idatzi https://portal.contoso.com/signin-saml2
Oharra: AD FS behar duzun ataria, abiarazi HTTPS.Oharra
Amaiera-puntuaren xehatuan ezarpen hauek ditu:
- Amaiera-puntua mota: SAML Assertion Darabil amaiera-Puntua
- Lotzea:ARGITARATU
- Indizea: n/a (0)
- URLa: https://portal.contoso.com/signin-saml2
Konfiguratu nortasunak: idatzi
https://portal.contoso.com/
, hautatu Gehitu, eta ondoren hautatu Hurrengoa. Ahal bada, identities gehiago gehi daitezke-bakoitzak gehigarria relying alderdia ataria. Erabiltzaileak gai izango dira ikuskapenaz autentifikatzeko any edo guztiak erabilgarri identities-zutabetan zehar.Aukeratu Issuance Baimen Arauak: Hautatu alderdia relying hau sartzeko erabiltzaile guztiak baimendu eta hautatu Hurrengoa
Gehitu Fidagarrien prest: Hautatu Hurrengoa.
Hautatu Itxi.
Gehitu, Izena IDA alderdia fidagarrien relying, eskaeraren:
EraldaketaWindows kontuaren izena Izena IDA erreklamazioren (Eraldatu bat Sarrerako Erreklamazioren):
Sarrerako erreklamazioa mota: Windowskontuaren izena
Irteerako erreklamazioa mota: Izena IDA
Irteerako izenaren IDa formatua: Identifikatzaile iraunkorra
Pasa erreklamazioa balio guztiak bidez
Konfiguratu SAML 2.0 hornitzailea
AD FS konfiantzazko alderdien konfiantza konfiguratu ondoren, Konfiguratu SAML 2.0 hornitzaile atarietarako ataleko urratsak jarraitu ditzakezu.
Identitate hornitzailea–saioa hasi du
AD FS onartzen du nortasun hornitzailea–hasitakoa bakarrik saio hastea (SSO) profila SAML 2.0 espezifikazioa. Erantzutera behar bezala nortasunaren hornitzailea, betetzeko SAML eskaera (SP) ataria ordena- RelayState parametro behar bezala kodeketarekin behar da.
SAML RelayState parametroa aplikaziora kodeketarekin-oinarrizko katearen balioa formatuan egon behar: ReturnUrl=/content/sub-content/
non /content/sub-content/
, nahi duzun web-orri baten joateko atariko (zerbitzuaren hornitzailea) bidea da. Bidea edozein baliozko webgunearen inprimaki-atariko erabiltzaileak ordeztuko dira. Katearen balioa kodeketarekin eta formatu gabeko ekintzetarako zain kate bat aplikaziora ezarri murriztapenen: RPID=<URL encoded RPID>&RelayState=<URL encoded RelayState>
. Osoa-kate horretan behin berriro kodeketarekin eta gabeko formatu ekintzetarako beste zain gehitzen: <https://adfs.contoso.com/adfs/ls/idpinitiatedsignon.aspx?RelayState=<URL> encoded RPID/RelayState>
.
Adibidez, emandako zerbitzuaren hornitzailearen bidea /content/sub-content/
eta konfiantzazko alderdia ID https://portal.contoso.com/
, eraiki URL hurrengo pausoak:
Kodetu balioa
ReturnUrl=/content/sub-content/
lortzekoReturnUrl%3D%2Fcontent%2Fsub-content%2F
Kodetu balioa
https://portal.contoso.com/
lortzekohttps%3A%2F%2Fportal.contoso.com%2F
Kodetu balioa
RPID=https%3A%2F%2Fportal.contoso.com%2F&RelayState=ReturnUrl%3D%2Fcontent%2Fsub-content%2F
lortzekoRPID%3Dhttps%253A%252F%252Fportal.contoso.com%252F%26RelayState%3DReturnUrl%253D%252Fcontent%252Fsub-content%252F
Betetzeko AD FS nortasun hornitzailea–hasitakoa SSO bidea lortzeko amaierako URL
https://adfs.contoso.com/adfs/ls/idpinitiatedsignon.aspx?RelayState=RPID%3Dhttps%253A%252F%252Fportal.contoso.com%252F%26RelayState%3DReturnUrl%253D%252Fcontent%252Fsub-content%252F
PowerShell script hau erabil dezakezu URLa eraikitzeko. Gorde script-a Get-IdPInitiatedUrl.ps1 izeneko fitxategian.
<#
.SYNOPSIS
Constructs an IdP-initiated SSO URL to access a portal page on the service provider.
.PARAMETER path
The path to the portal page.
.PARAMETER rpid
The relying party identifier.
.PARAMETER adfsPath
The AD FS IdP initiated SSO page.
.EXAMPLE
PS C:\\> .\\Get-IdPInitiatedUrl.ps1 -path "/content/sub-content/" -rpid "https://portal.contoso.com/" -adfsPath "https://adfs.contoso.com/adfs/ls/idpinitiatedsignon.aspx"
#>
param
(
[parameter(mandatory=$true,position=0)]
$path,
[parameter(mandatory=$true,position=1)]
$rpid,
[parameter(position=2)]
$adfsPath = https://adfs.contoso.com/adfs/ls/idpinitiatedsignon.aspx
)
$state = ReturnUrl=$path
$encodedPath = [uri]::EscapeDataString($state)
$encodedRpid = [uri]::EscapeDataString($rpid)
$encodedPathRpid = [uri]::EscapeDataString("RPID=$encodedRpid&RelayState=$encodedPath")
$idpInitiatedUrl = {0}?RelayState={1} -f $adfsPath, $encodedPathRpid
Write-Output $idpInitiatedUrl
Konfiguratu AD FS PowerShell erabiliz
Aplikazioan AD FS alderdiaren fidagarrien relying gehitu-prozesua ere egin daitezke hau exekutatu honek PowerShell-eko AD FS zerbitzarian gidoia. Gorde gidoia Add-AdxPortalRelyingPartyTrustForSaml.ps1 izena duen fitxategirako. Ondoren, script-a exekutatzen jarraitu konfiguratu gune atariko ezarpenak.
<#
.SYNOPSIS
Adds a SAML 2.0 relying party trust entry for a website.
.PARAMETER domain
The domain name of the portal.
.EXAMPLE
PS C:\\> .\\Add-AdxPortalRelyingPartyTrustForSaml.ps1 -domain portal.contoso.com
#>
param
(
[parameter(Mandatory=$true,Position=0)]
$domain,
[parameter(Position=1)]
$callbackPath = /signin-saml2
)
$VerbosePreference = Continue
$ErrorActionPreference = Stop
Import-Module adfs
Function Add-CrmRelyingPartyTrust
{
param (
[parameter(Mandatory=$true,Position=0)]
$name
)
$identifier = https://{0}/ -f $name
$samlEndpoint = New-ADFSSamlEndpoint -Binding POST -Protocol SAMLAssertionConsumer -Uri (https://{0}{1} -f $name, $callbackPath)
$identityProviderValue = Get-ADFSProperties | % { $_.Identifier.AbsoluteUri }
$issuanceTransformRules = @'
@RuleTemplate = MapClaims
@RuleName = Transform [!INCLUDE[pn-ms-windows-short](../../../includes/pn-ms-windows-short.md)] Account Name to Name ID claim
c:[Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]
=> issue(Type = "https://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["https://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:persistent");
@RuleTemplate = LdapClaims
@RuleName = Send LDAP Claims
c:[Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"]
=> issue(store = "[!INCLUDE[pn-active-directory](../../../includes/pn-active-directory.md)]", types = ("https://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname", "https://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname", "https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"), query = ";givenName,sn,mail;{{0}}", param = c.Value);
'@ -f $identityProviderValue
$issuanceAuthorizationRules = @'
@RuleTemplate = AllowAllAuthzRule
=> issue(Type = https://schemas.microsoft.com/authorization/claims/permit, Value = true);
'@
Add-ADFSRelyingPartyTrust -Name $name -Identifier $identifier -SamlEndpoint $samlEndpoint -IssuanceTransformRules $issuanceTransformRules -IssuanceAuthorizationRules $issuanceAuthorizationRules
}
# add the 'Identity Provider' claim description if it is missing
[!INCLUDE[cc-pages-ga-banner](../../../includes/cc-pages-ga-banner.md)]
if (-not (Get-ADFSClaimDescription | ? { $_.Name -eq Persistent Identifier })) {
Add-ADFSClaimDescription -name "Persistent Identifier" -ClaimType "urn:oasis:names:tc:SAML:2.0:nameid-format:persistent" -IsOffered:$true -IsAccepted:$true
}
# add the portal relying party trust
[!INCLUDE[cc-pages-ga-banner](../../../includes/cc-pages-ga-banner.md)]
Add-CrmRelyingPartyTrust $domain
Konfiguratu SAML 2.0 hornitzailea
AD FS konfiantzazko alderdiaren konfiantza konfiguratu ondoren, urratsak jarrai ditzakezu hurrengoan Konfiguratu SAML 2.0 hornitzailea atarietarako.
Ikusi ere
Konfiguratu SAML 2.0 hornitzaile atarietarako Azure AD duten atarietarako
Atarietan SAML 2.0 erabiltzeko ohiko galderak
Configure a SAML 2.0 provider for portals
Oharra
Esan diezagukezu dokumentazioa zein hizkuntzatan jaso nahi duzun? Egin inkesta labur bat. (kontuan izan inkesta hau ingelesez dagoela)
Inkestak zazpi minutu inguru iraungo du. Ez da datu pertsonalik biltzen (pribatutasun-adierazpena).
Oharrak
https://aka.ms/ContentUserFeedback.
Laster erabilgarri: 2024an, GitHub-eko arazoak edukiari buruzko oharrak bidaltzeko mekanismo gisa kenduko dugu apurka-apurka, eta oharrak bidaltzeko sistema berri batekin ordeztuko. Informazio gehiagorako, ikusi:Bidali eta ikusi honi buruzko oharrak: