Configurer l’authentification à l’aide d’un jeton de sécurité SAML (SharePoint Server 2010)
S’applique à : SharePoint Foundation 2010, SharePoint Server 2010
Dernière rubrique modifiée : 2016-11-30
Les procédures dans cet article expliquent comment configurer l’authentification à l’aide d’un jeton de sécurité SAML (Security Assertion Markup Language) pour une application Web Microsoft SharePoint Server 2010 à base de revendications.
La connexion SAML s’utilise généralement dans les scénarios de fédération d’entreprise, par exemple pour accorder l’accès à un partenaire commercial. On la déploie également pour accorder l’accès aux utilisateurs internes dont les comptes résident dans un domaine ne faisant pas partie de la forêt qui contient SharePoint Server 2010.
Avant de configurer l’authentification à l’aide d’un jeton de sécurité SAML pour une application Web SharePoint Server 2010 à base de revendications, vous devez configurer un serveur exécutant les services ADFS (Active Directory Federation Services) 2.0. Pour plus d’informations sur la configuration d’un serveur pour l’exécution des services AD FS 2.0, voir le AD FS 2.0 Deployment Guide.
Dans cet article :
Configurer une application Web IP-STS (Identity Provider STS) à l’aide de Windows PowerShell
Configurer une application Web RP-STS (Relying Party STS)
Établir une relation d’approbation entre l’IP-STS et la RP-STS à l’aide de Windows PowerShell
Exporter le certificat de confiance IP-STS à l’aide de Windows PowerShell
Définir un identificateur unique pour le mappage des revendications à l’aide de Windows PowerShell
Créer une application Web SharePoint Web et la configurer de façon à utiliser la connexion SAML
Configurer une application Web IP-STS (Identity Provider STS) à l’aide de Windows PowerShell
Exécutez les procédures suivantes pour utiliser Windows PowerShell afin de configurer une application Web SharePoint à base de revendications.
Pour configurer une application Web IP-STS à l’aide de Windows PowerShell
Vérifiez que vous disposez de la configuration minimale requise suivante : Voir Add-SPShellAdmin.
Dans le menu Démarrer, cliquez sur Tous les programmes.
Cliquez sur Produits Microsoft SharePoint 2010.
Cliquez sur SharePoint 2010 Management Shell.
À partir de l’invite de commandes Windows PowerShell, créez un objet x509Certificate2, comme illustré dans l’exemple suivant :
$cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("path to cert file")Créez un mappage de type de revendication à utiliser dans votre fournisseur d’authentifications approuvé, comme illustré dans l’exemple suivant :
New-SPClaimTypeMapping "https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncomingCréez un fournisseur de connexions approuvé en créant d’abord une valeur pour le paramètre
realm, comme illustré dans l’exemple suivant :$realm = "urn:" + $env:ComputerName + ":domain-int"Créez une valeur pour le paramètre
signinurlqui pointe vers l’application Web de service d’émission de jeton de sécurité, comme dans l’exemple suivant :$signinurl = "https://test-2/FederationPassive/"Créez le fournisseur de connexions approuvé, en utilisant la même valeur
IdentifierClaimque dans le mappage de revendications ($map1.InputClaimType), comme dans l’exemple suivant :$ap = New-SPTrustedIdentityTokenIssuer -Name "WIF" -Description "Windows® Identity Foundation" -Realm $realm -ImportTrustCertificate $cert -ClaimsMappings $map1[,$map2..] -SignInUrl $signinurl -IdentifierClaim $map1.InputClaimTypeCréez une application Web en créant d’abord une valeur pour le compte du pool d’applications (pour l’utilisateur actuel), comme dans l’exemple suivant :
$account = "DOMAIN\" + $env:UserNameNotes
Le compte du pool d’applications doit être un compte géré. Pour créer un compte géré, utilisez
New-SPManagedAccount.Créez une valeur pour l’URL de l’application Web (
$webappurl = "https://" + $env:ComputerName), comme dans l’exemple suivant :$wa = New-SPWebApplication -name "Claims WIF" -SecureSocketsLayer -ApplicationPool "SharePoint SSL" -ApplicationPoolAccount $account -Url $webappurl -Port 443 -AuthenticationProvider $apCréez un site en commençant par créer un objet de revendication, comme dans l’exemple suivant :
$claim = New-SPClaimsPrincipal -TrustedIdentityTokenIssuerr $ap -Identity $env:UserNameCréez un site, comme dans l’exemple suivant :
$site = New-SPSite $webappurl -OwnerAlias $claim.ToEncodedString() -template "STS#0"
Configurer une application Web RP-STS (Relying Party STS)
Appliquez la procédure de cette section pour configurer une application Web RP-STS
Pour configurer une application Web RP-STS
Ouvrez la console de gestion Active Directory Federation Services (AD FS) 2.0.
Dans le volet gauche, développez Policy et sélectionnez l’option Relying Parties.
Dans le volet droit, cliquez sur Add Relying Party. Cela ouvre l’Assistant de configuration AD FS (Active Directory Federation Services) 2.0.
Dans la première page de l’Assistant, cliquez sur Start.
Sélectionnez Enter relying party configuration manually, puis cliquez sur Next.
Tapez le nom d’un partenaire de confiance et cliquez sur Next.
Assurez-vous que Active Directory Federation Services (AD FS) 2.0 Server Profile est sélectionné, puis cliquez sur Next.
N’utilisez pas de certificat de chiffrement. Cliquez sur Next.
Sélectionnez Enable support for Web-browser-based identity federation.
Tapez le nom de l’URL de l’application Web, puis ajoutez /_trust/ (par exemple : https://nomserveur/_trust/). Cliquez sur Next.
Tapez le nom d’un identificateur (par exemple : urn:NOMORDINATEUR:Geneva), puis cliquez sur Add. Cliquez sur Next.
Dans la page de synthèse, cliquez sur Next, puis cliquez sur Close. Cela ouvre la console de gestion de l’éditeur de règles. Utilisez cette console pour configurer le mappage des revendications entre une application Web LDAP et SharePoint.
Dans le volet gauche, développez New rule et sélectionnez Predefined Rule.
Sélectionnez Create Claims from LDAP Attribute Store.
Dans le volet droit, dans la liste déroulante Attribute Store, sélectionnez Enterprise Active Directory User Account Store.
Sous LDAP Attribute, sélectionnez sAMAccountName.
Sous Outgoing Claim Type, sélectionnez E-Mail Address.
Dans le volet gauche, cliquez sur Save.
Établir une relation d’approbation avec une IP-STS à l’aide de Windows PowerShell
Appliquez la procédure de cette section pour établir une relation d’approbation avec une application IP-STS.
Pour établir une relation d’approbation avec une IP-STS à l’aide de Windows PowerShell
Vérifiez que vous disposez de la configuration minimale requise suivante : Voir Add-SPShellAdmin.
Dans le menu Démarrer, cliquez sur Tous les programmes.
Cliquez sur Produits Microsoft SharePoint 2010.
Cliquez sur SharePoint 2010 Management Shell.
À partir de l’invite de commandes Windows PowerShell, établissez une relation d’approbation, comme illustré dans l’exemple suivant :
$waurl = "https://" + $env:ComputerName $title = "SAML-Claims"
Exporter le certificat de confiance IP-STS à l’aide de Windows PowerShell
Appliquez la procédure de cette section pour exporter le certificat de l’IP-STS avec laquelle vous souhaitez établir une relation d’approbation, puis copier le certificat à un emplacement accessible par Microsoft SharePoint Server 2010.
Pour exporter le certificat de confiance IP-STS à l’aide de Windows PowerShell
Vérifiez que vous disposez de la configuration minimale requise suivante : Voir Add-SPShellAdmin.
Dans le menu Démarrer, cliquez sur Tous les programmes.
Cliquez sur Produits Microsoft SharePoint 2010.
Cliquez sur SharePoint 2010 Management Shell.
À partir de l’invite de commandes Windows PowerShell, exportez le certificat de confiance IP-STS, comme illustré dans l’exemple suivant :
$cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("c:\geneva.cer")
Définir un identificateur unique pour le mappage des revendications à l’aide de Windows PowerShell
Appliquez la procédure de cette section pour définir une adresse de messagerie qui servira d’identificateur unique pour la mappage des revendications. En général, l’administrateur de la STS approuvée devra fournir ces informations car seul le propriétaire de la STS sait quelle valeur dans le jeton sera toujours unique pour chaque utilisateur. Notez que l’administrateur de la STS approuvée peut créer un URI pour représenter l’adresse de messagerie.
Pour définir un identificateur unique pour le mappage des revendications à l’aide de Windows PowerShell
Vérifiez que vous disposez de la configuration minimale requise suivante : Voir Add-SPShellAdmin.
Dans le menu Démarrer, cliquez sur Tous les programmes.
Cliquez sur Produits Microsoft SharePoint 2010.
Cliquez sur SharePoint 2010 Management Shell.
À partir de l’invite de commandes Windows PowerShell, créez un mappage, comme illustré dans l’exemple suivant :
$map = New-SPClaimTypeMapping -IncomingClaimType "https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming
Créer un fournisseur d’authentification
Appliquez la procédure de cette section pour créer un fournisseur d’authentification qui sera utilisé par l’application Web.
Pour créer un fournisseur d’authentification à l’aide de Windows PowerShell
Vérifiez que vous disposez de la configuration minimale requise suivante : Voir Add-SPShellAdmin.
Dans le menu Démarrer, cliquez sur Tous les programmes.
Cliquez sur Produits Microsoft SharePoint 2010.
Cliquez sur SharePoint 2010 Management Shell.
À partir de l’invite de commandes Windows PowerShell, créez un fournisseur d’authentification, comme illustré dans l’exemple suivant. Notez que le domaine est le paramètre utilisé par la STS approuvée pour identifier une batterie SharePoint spécifique.
$realm = "urn:" + $env:ComputerName + ":Geneva" $ap = New-SPTrustedIdentityTokenIssuer -Name "Geneva" -Description "Geneva" -Realm $realm -ImportTrustCertificate $cert -ClaimsMappings $map -SignInUrl "https:// test-2/FederationPassive/" -IdentifierClaim "https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"
Créer une application Web SharePoint Web et la configurer de façon à utiliser la connexion SAML
Lors de cette étape, vous allez créer et configurer l’application Web.
Pour créer une application Web SharePoint Web et la configurer de façon à utiliser la connexion SAML à l’aide de Windows PowerShell
Vérifiez que vous disposez de la configuration minimale requise suivante : Voir Add-SPShellAdmin.
Dans le menu Démarrer, cliquez sur Tous les programmes.
Cliquez sur Produits Microsoft SharePoint 2010.
Cliquez sur SharePoint 2010 Management Shell.
À partir de l’invite de commandes Windows PowerShell, créez une application Web SharePoint et configurez-la de façon à utiliser la connexion SAML. Notez que vous devez remplacer "WebAppUrl" et "domain\admin" par les valeurs valides.
$wa = New-SPWebApplication -Name "SAML Sign-In" -SecureSocketsLayer -ApplicationPool "SAML Sign-In" -ApplicationPoolAccount "domain\admin" - Url "WebAppUrl" -Port 443 -AuthenticationProvider $apNotes
Vous activez le protocole SSL car avec la connexion SAML les cookies sont utilisés comme ticket d’authentification unique pour l’utilisateur. Cela permet aux administrateurs d’accorder l’accès aux ressources SharePoint pendant toute la durée du jeton sans avoir à réauthentifier l’utilisateur. Sans le protocole SSL, ces cookies peuvent facilement être détournés par un utilisateur malveillant et servir à emprunter l’identité de l’utilisateur d’origine.
Une fois ces procédures terminées, créez un site SharePoint et assignez un propriétaire. Pour plus d’informations sur la création d’un site SharePoint, voir Créer une collection de sites (SharePoint Server 2010).