在 SharePoint 2013 中使用 AD 导入映射 SAML 用户的用户配置文件

原文发布于 2012 年 8 月 8 日（星期三）

本主题在 SharePoint 2013 变得非常重要，它可确保您拥有完整填充的用户配置文件应用程序。在 SharePoint 2013 中，用户配置文件系统在 OAuth 基础结构中发挥着关键作用，它支持其他应用程序代表用户执行操作，从而帮助受信任的特定应用程序场景取得成功。为了让应用程序能够“了解”用户可以执行的操作，应用程序必须捕获此用户的属性列表，以便采用适当的安全修整规则。以上只是对此主题的高度概括，我会在后续博客中详细介绍用户配置文件、同步及其对不同身份验证选项的影响。

就目前来说，您仅需知道此主题的重要性与必要性即可。鉴于这一主题的重要性，另外加上自 Bryan Porter 将其博客让位起就缺乏有关 SharePoint 2010 版本及更高版本的精华帖，因此，我觉得有必要继续介绍这方面的内容。幸运的是，如果从 Active Directory 导入用户配置文件（这就是本文要阐述的主要内容），操作并不会十分复杂。 

首先，您必须创建 SPTrustedIdentityTokenIssuer。这是您配置用户的配置文件导入的前提条件。创建后，请打开浏览器并导航到您的 UPA 管理页面。单击“配置同步连接”(Configure Synchronization Connections) 链接，然后单击“创建新连接”(Create A New Connection)。与 AD 的任何其他配置文件连接相比，此连接的唯一不同之处在于“验证提供程序类型”(Authentication Provider Type) 下拉列表。在此下拉列表中，您需选择“受信任声明提供程序验证”(Trusted Claims Provider Authentication)。选择后，其下方的“验证提供程序实例”(Authentication Provider Instance) 下拉列表将填充您已创建的所有 SPTrustedIdentityTokenProviders 的列表。仅选择要与此配置文件连接结合使用的提供程序，然后填写通常从 AD 导入的所有其他连接属性，并加以保存。以下是其外观的屏幕截图：

 

接下来，您必须更新属性映射，以便 SharePoint 知道您正在导入哪个字段，并提供用户用作身份声明的值。为此，请返回“UPA 管理”(UPA Management) 页面，然后单击“管理用户属性”(Manage User Properties) 链接。向下滚动并找到“声明用户标识符”(Claim User Identifier) 属性，然后编辑此属性。如果现已存在“同步的属性映射”(Property Mapping for Synchronization) 值，请将其删除。然后添加新值，将您从 AD 中导入的属性映射为身份声明值。在此示例中，我使用电子邮件地址作为身份声明。而在 AD 中，用户的电子邮件地址将存储在名为“邮件”(mail) 的 AD 属性内。因此，我仅选择自己上述创建的配置文件连接，并在“属性”(Attribute) 编辑框中键入“mail”，然后单击“添加”(Add) 按钮。界面外观如下所示：

执行此操作后，界面外观如下所示：

当您对配置文件导入连接进行配置时，“声明提供程序标识符”(Claim Provider Identifier) 和“声明提供程序类型”(Claim Provider Type) 应当会自动设置。

事实确实如此。现在，我可以执行配置文件导入。此操作会自动将身份声明值映射到配置文件系统中的帐户名称属性。以下是我运行配置文件导入之后的界面外观示例。请注意，系统将使用帐户名称的电子邮件地址来显示 SAML 声明格式，而不会使用此帐户名称的域/用户：

这是一篇本地化的博客文章。 请访问 Mapping User Profiles for SAML Users with an AD Import in SharePoint 2013 以查看原文。