इसके माध्यम से साझा किया गया

AD FS वाले पोर्टल के लिए एक SAML 2.0 प्रदाता को कॉन्फ़िगर करें

  • आलेख

नोट

12 अक्टूबर 2022 से प्रभावी, Power Apps पोर्टल Power Pages है। अधिक जानकारी: Microsoft Power Pages अब आम तौर पर उपलब्ध है (ब्लॉग)
हम जल्द ही Power Apps पोर्टल दस्तावेज़ीकरण को Power Pages दस्तावेज़ीकरण के साथ माइग्रेट और विलय करेंगे।

महत्वपूर्ण

Active Directory Federation Services (AD FS) के कॉन्फ़िगरेशन के चरण, आपके AD FS सर्वर के संस्करण के आधार पर भिन्न हो सकते हैं.

पक्ष विश्वास पर आश्रित AD FS बनाएँ

नोट

इन चरणों को PowerShell स्क्रिप्ट में निष्पादित करने के बारे में जानकारी के लिए, नीचे PowerShell का उपयोग करके AD FS कॉन्फ़िगर करें देखें.

  1. AD FS प्रबंधन टूल का उपयोग करते हुए सेवा > दावे के वर्णन पर जाएँ.

    1. दावा वर्णन जोड़ें का चयन करें.

    2. दावा निर्दिष्ट करें:

      • प्रदर्शन नाम:निर्बाध पहचानकर्ता

      • दावा पहचानकर्ता:urn:oasis:names:tc:SAML:2.0:nameid-format:persistent

      • सक्षम करें चेकबॉक्स के लिए: इस दावा वर्णन को फ़ेडरेशन मेटाडेटा में दावा प्रकार के रूप में प्रकाशित करें जिसे यह फ़ेडरेशन सेवा स्वीकार कर सकती हैं

      • सक्षम करें चेकबॉक्स के लिए: इस दावा वर्णन को फ़ेडरेशन मेटाडेटा में दावा प्रकार के रूप में प्रकाशित करें जिसे यह फ़ेडरेशन सेवा भेज सकती है

    3. ठीक चुनें।

  2. AD FS प्रबंधन टूल का उपयोग करते हुए विश्वास संबंध >आधारी पक्ष विश्वास चुनें.

    1. आधारी पक्ष विश्वास जोड़ें का चयन करें.

    2. स्वागत: प्रारंभ करें चुनें.

    3. डेटा स्रोत चुनें: आधारी पक्ष के बारे में डेटा मैन्युअल रूप से दर्ज करें, और उसके बाद अगला चयन करें.

    4. प्रदर्शन नाम निर्दिष्ट करें: नाम दर्ज करें, और उसके बाद अगला चयन करें. उदाहरण: https://portal.contoso.com/

    5. प्रोफ़ाइल चुनें: AD FS 2.0 प्रोफ़ाइल चुनें और उसके बाद अगला चुनें.

    6. प्रमाणपत्र कॉन्फ़िगर करें: अगला चुनें.

    7. URL कॉन्फ़िगर करें: SAML 2.0 WebSSO प्रोटोकाल के लिए समर्थन सक्षम करें चेक बॉक्‍स का चयन देखें. आश्रित पक्ष SAML 2.0 SSO सेवा URL: https://portal.contoso.com/signin-saml2 दर्ज करें
      ध्यान दें कि AD FS के लिए यह आवश्यक है कि पोर्टल HTTPS पर चलता हो.

      नोट

      निम्न सेटिंग के लिए परिणामस्वरूप आने वाला समाप्ति बिंदु:

      • समाप्ति बिंदु प्रकार:SAML अभिकथन उपभोग समाप्ति बिंदु
      • हाइंडिंग:पोस्ट
      • इंडैक्स: लागू नहीं (0)
      • URL: https://portal.contoso.com/signin-saml2

    8. पहचान कॉन्फ़िगर करें: https://portal.contoso.com/ दर्ज करें, जोड़े का चयन करें, और उसके बाद अगला का चयन करें. यदि लागू होता है, तो आप प्रत्येक अतिरिक्त अधारी पक्ष पोर्टल के लिए अधिक पहचान जोड़ सकते हैं. यूजर किसी को भी या सभी उपलब्ध पहचान को सत्यापित कर सकता है.

    9. जारीकरण प्राधिकार नियम चुनें: सभी पक्षों को इस आधारी पक्ष तक पहुँच की अनुमति दें चुनें, फिर उसके बाद अगला चयन करें.

    10. विश्वास जोड़ने के लिए तैयार: अगला चुनें.

    11. बंद करें चुनें.

  3. निर्भर पक्ष विश्वास में नाम ID दावा जोड़ें.

    खाताWindows नाम को नाम ID दावा में रूपांतरित करें (किसी इनकमिंग दावे को रूपांतरित करें):

    • इनकमिंग दावा प्रकार:Windows खाता नाम

    • आउटगोइंग दावा प्रकार:नाम ID

    • जावक नाम ID स्वरूप:निर्बाध पहचानकर्ता

    • सभी दावा मानों से पास करें

SAML 2.0 प्रदाता को कॉन्फ़िगर करें

AD FS आश्रित पक्ष ट्रस्ट सेट अप करने के बाद, आप पोर्टल के लिए SAML 2.0 प्रदाता कॉन्फ़िगर करने के चरणों का पालन कर सकते हैं।

पहचान प्रदाता– द्वारा आरंभित साइन-इन

AD FS पहचान प्रदाता–द्वारा आरंभित सिंगल साइन-ऑन (SSO), SAML 2.0 विनिर्देशन की प्रोफ़ाइल का समर्थन करता है. पोर्टल (सेवा प्रदाता) के लिए पहचान प्रदाता द्वारा शुरू किए गए SAML अनुरोध का ठीक से प्रतिक्रिया देने के लिए, RelayState पैरामीटर को ठीक से एनकोड किया जाना चाहिए.

SAML RelayState पैरामीटर में एनकोड किए जाने वाला मूल स्ट्रिंग मान ReturnUrl=/content/sub-content/ फॉर्मैट में होना चाहिए, जहां /content/sub-content/ वेबपेज पर जाने का रास्ता है, आप पोर्टल पर जाना चाहते हैं (सेवा प्रदाता). इस पथ को पोर्टल पर किसी भी मान्य वेबपृष्ठ से प्रतिस्थापित किया जा सकता है. स्ट्रिंग मान एनकोड किया जाता है और इस फॉर्मैट RPID=&lt;URL encoded RPID&gt;&RelayState=&lt;URL encoded RelayState&gt; के कंटेनर स्ट्रिंग में रखा जाता है. यह पूरी स्ट्रिंग दोबारा एनकोड की जाती है और फॉर्मेट <https://adfs.contoso.com/adfs/ls/idpinitiatedsignon.aspx?RelayState=&lt;URL> encoded RPID/RelayState&gt; के दूसरे कंटेर में जोड़ी जाती है.

उदाहरण के लिए, दिए गए सेवा प्रदाता का मार्ग /content/sub-content/ और भरोसा करने वाली पार्टी ID https://portal.contoso.com/ इन निम्न चरणों से URL बनाएं:

  • ReturnUrl=/content/sub-content/ प्राप्त करने ReturnUrl%3D%2Fcontent%2Fsub-content%2F के लिए मान को एनकोड करें

  • https://portal.contoso.com/ प्राप्त करने https%3A%2F%2Fportal.contoso.com%2F के लिए मान को एनकोड करें

  • RPID=https%3A%2F%2Fportal.contoso.com%2F&RelayState=ReturnUrl%3D%2Fcontent%2Fsub-content%2F प्राप्त करने RPID%3Dhttps%253A%252F%252Fportal.contoso.com%252F%26RelayState%3DReturnUrl%253D%252Fcontent%252Fsub-content%252F के लिए मान को एनकोड करें

  • अंतिम URL https://adfs.contoso.com/adfs/ls/idpinitiatedsignon.aspx?RelayState=RPID%3Dhttps%253A%252F%252Fportal.contoso.com%252F%26RelayState%3DReturnUrl%253D%252Fcontent%252Fsub-content%252F पाने हेतु AD FS पहचान प्रदाता–द्वारा आरंभित SSO पथ को आरंभ में जोड़ें

URL बनाने के लिए आप नीचे दी गई PowerShell स्क्रिप्ट का उपयोग कर सकते हैं. स्क्रिप्ट को Get-IdPInitiatedUrl.ps1 नामक फ़ाइल में सहेजें.

<#

.SYNOPSIS 

Constructs an IdP-initiated SSO URL to access a portal page on the service provider.

.PARAMETER path

The path to the portal page.

.PARAMETER rpid

The relying party identifier.

.PARAMETER adfsPath

The AD FS IdP initiated SSO page.

.EXAMPLE

PS C:\\> .\\Get-IdPInitiatedUrl.ps1 -path "/content/sub-content/" -rpid "https://portal.contoso.com/" -adfsPath "https://adfs.contoso.com/adfs/ls/idpinitiatedsignon.aspx"

#>

param

(

[parameter(mandatory=$true,position=0)]

$path,

[parameter(mandatory=$true,position=1)]

$rpid,

[parameter(position=2)]

$adfsPath = https://adfs.contoso.com/adfs/ls/idpinitiatedsignon.aspx

)

$state = ReturnUrl=$path

$encodedPath = [uri]::EscapeDataString($state)

$encodedRpid = [uri]::EscapeDataString($rpid)

$encodedPathRpid = [uri]::EscapeDataString("RPID=$encodedRpid&RelayState=$encodedPath")

$idpInitiatedUrl = {0}?RelayState={1} -f $adfsPath, $encodedPathRpid

Write-Output $idpInitiatedUrl

PowerShell का उपयोग करके AD FS कॉन्फ़िगर करें

AD FS में एक निर्भर पक्षकार ट्रस्ट को जोड़ने की प्रक्रिया AD FS सर्वर पर नीचे दी गई PowerShell स्क्रिप्ट को चलाकर भी निष्पादित किया जा सकता है. स्क्रिप्ट को Add-AdxPortalRelyingPartyTrustForSaml.ps1 नामक फ़ाइल में सहेजें. स्क्रिप्ट चलाने के बाद, पोर्टल साइट सेटिंग्स को कॉन्फ़िगर करने के साथ जारी रखें।

<# 

.SYNOPSIS

Adds a SAML 2.0 relying party trust entry for a website.

.PARAMETER domain

The domain name of the portal.

.EXAMPLE

PS C:\\> .\\Add-AdxPortalRelyingPartyTrustForSaml.ps1 -domain portal.contoso.com

#>

param

(

[parameter(Mandatory=$true,Position=0)]

$domain,

[parameter(Position=1)]

$callbackPath = /signin-saml2

)

$VerbosePreference = Continue

$ErrorActionPreference = Stop

Import-Module adfs

Function Add-CrmRelyingPartyTrust

{

param (

[parameter(Mandatory=$true,Position=0)]

$name

)

$identifier = https://{0}/ -f $name

$samlEndpoint = New-ADFSSamlEndpoint -Binding POST -Protocol SAMLAssertionConsumer -Uri (https://{0}{1} -f $name, $callbackPath)

$identityProviderValue = Get-ADFSProperties | % { $_.Identifier.AbsoluteUri }

$issuanceTransformRules = @'

@RuleTemplate = MapClaims

@RuleName = Transform [!INCLUDE[pn-ms-windows-short](../../../includes/pn-ms-windows-short.md)] Account Name to Name ID claim

c:[Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]

=> issue(Type = "https://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["https://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:persistent");

@RuleTemplate = LdapClaims

@RuleName = Send LDAP Claims

c:[Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"]

=> issue(store = "[!INCLUDE[pn-active-directory](../../../includes/pn-active-directory.md)]", types = ("https://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname", "https://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname", "https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"), query = ";givenName,sn,mail;{{0}}", param = c.Value);

'@ -f $identityProviderValue

$issuanceAuthorizationRules = @'

@RuleTemplate = AllowAllAuthzRule

=> issue(Type = https://schemas.microsoft.com/authorization/claims/permit, Value = true);

'@

Add-ADFSRelyingPartyTrust -Name $name -Identifier $identifier -SamlEndpoint $samlEndpoint -IssuanceTransformRules $issuanceTransformRules -IssuanceAuthorizationRules $issuanceAuthorizationRules

}

# add the 'Identity Provider' claim description if it is missing


[!INCLUDE[cc-pages-ga-banner](../../../includes/cc-pages-ga-banner.md)]

if (-not (Get-ADFSClaimDescription | ? { $_.Name -eq Persistent Identifier })) {

Add-ADFSClaimDescription -name "Persistent Identifier" -ClaimType "urn:oasis:names:tc:SAML:2.0:nameid-format:persistent" -IsOffered:$true -IsAccepted:$true

}

# add the portal relying party trust


[!INCLUDE[cc-pages-ga-banner](../../../includes/cc-pages-ga-banner.md)]

Add-CrmRelyingPartyTrust $domain

SAML 2.0 प्रदाता कॉन्फ़िगर करें

AD FS निर्भर पक्षकार पार्टी ट्रस्ट को सेट कर लेने के बाद, आप पोर्टल्स के लिए एक SAML 2.0 प्रदाता कॉन्फ़िगर करें में दिये गए चरणों का पालन कर सकते हैं.

भी देखें

Azure AD के साथ पोर्टल के लिए SAML 2.0 प्रदाता कॉन्फ़िगर करें
पोर्टल्स में SAML 2.0 का उपयोग करने के लिए बहुधा पूछे जाने वाले प्रश्न
पोर्टल के लिए SAML 2.0 प्रदाता कॉन्फ़िगर करें

नोट

क्या आप हमें अपनी दस्तावेज़ीकरण भाषा वरीयताओं के बारे में बता सकते हैं? एक छोटा सर्वेक्षण पूरा करें. (कृपया ध्यान दें कि यह सर्वेक्षण अंग्रेज़ी में है)

सर्वेक्षण में लगभग सात मिनट लगेंगे. कोई भी व्यक्तिगत डेटा एकत्र नहीं किया जाता है (गोपनीयता कथन).