Поделиться через


Настройка проверки подлинности с помощью маркера безопасности SAML (SharePoint Foundation 2010)

 

Применимо к: SharePoint Foundation 2010

Последнее изменение раздела: 2016-11-30

Описанные в данной статье процедуры поясняют настройку проверки подлинности с использованием маркера безопасности SAML (Security Assertion Markup Language) для веб-приложения на основе утверждений Microsoft SharePoint Foundation 2010.

Вход SAML обычно используется в корпоративных сценариях для федерации, например, для предоставления доступа бизнес-партнеру. Вход SAML также развертывается для предоставления доступа внутренним пользователям, учетные записи которых размещаются в домене, не являющемся частью леса с SharePoint Foundation 2010.

Перед настройкой проверки подлинности с помощью маркера безопасности SAML для веб-приложения SharePoint Foundation 2010 на основе утверждений необходимо настроить сервер с работающими службами федерации Active Directory (AD FS) 2.0. Сведения о настройке сервера для работы служб AD FS 2.0, см. в статье, посвященной руководству по развертыванию служб федерации Active Directory 2.0 (Возможно, на английском языке) (https://go.microsoft.com/fwlink/?linkid=191723&clcid=0x419) (Возможно, на английском языке).

Содержание статьи

  • Настройка веб-приложения службы маркеров безопасности поставщика удостоверений (IP-STS) с помощью Windows PowerShell

  • Настройка веб-приложения службы маркеров безопасности проверяющей стороны (RP-STS)

  • Установка отношения доверия между IP-STS и RP-STS с помощью Windows PowerShell

  • Экспорт сертификата доверенной службы IP-STS с помощью Windows PowerShell

  • Определение уникального идентификатора для сопоставления утверждений с помощью Windows PowerShell

  • Создание нового веб-приложения SharePoint и настройка его на использование входа SAML

Настройка веб-приложения службы маркеров безопасности поставщика удостоверений (IP-STS) с помощью Windows PowerShell

Выполните следующие действия для настройки веб-приложения SharePoint на основе утверждений с помощью Windows PowerShell.

Порядок настройки веб-приложения службы маркеров безопасности поставщика удостоверений (IP-STS) с помощью Windows PowerShell

  1. Убедитесь в соответствии следующим минимальным требованиям: См. статью Add-SPShellAdmin.

  2. В меню Пуск выберите пункт Все программы.

  3. Выберите пункт Продукты Microsoft SharePoint 2010.

  4. Щелкните компонент Командная консоль SharePoint 2010.

  5. В командной строке Windows PowerShell создайте объект x509Certificate2, как показано в следующем примере:

    $cert = New-Object
    System.Security.Cryptography.X509Certificates.X509Certificate2("path to cert file")
    
  6. Создайте сопоставление типов утверждений, которое будет использоваться в доверенной службе проверки подлинности, как показано в следующем примере:

    New-SPClaimTypeMapping "https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"
    -IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming
    
  7. Создайте доверенный поставщик входа в систему, создав значение для параметра realm, как показано в следующем примере:

    $realm = "urn:" + $env:ComputerName + ":domain-int"
    
  8. Задайте значение параметра signinurl, которое указывает на веб-приложение службы маркеров безопасности, как показано в следующем примере:

    $signinurl = "https://test-2/FederationPassive/"
    
  9. Создайте доверенный поставщик входа в систему с использованием такого же значения параметра IdentifierClaim, как и в сопоставлении утверждений ($map1.InputClaimType), как показано в следующем примере:

    $ap = New-SPTrustedIdentityTokenIssuer -Name
    "WIF" -Description "Windows® Identity Foundation" -Realm
    $realm -ImportTrustCertificate $cert
    -ClaimsMappings $map1[,$map2..] -SignInUrl
    $signinurl -IdentifierClaim $map1.InputClaimType
    
  10. Создайте веб-приложение, сначала задав значение для учетной записи пула приложений (для текущего пользователя), как показано в следующем примере:

    $account = "DOMAIN\" + $env:UserName
    

    Примечание

    Учетная запись пула приложений должна быть управляемой. Для создания управляемой учетной записи используйте New-SPManagedAccount.

  11. Задайте значение URL-адреса веб-приложения ($webappurl = "https://" + $env:ComputerName), как показано в следующем примере:

    $wa = New-SPWebApplication -name "Claims WIF"
    -SecureSocketsLayer -ApplicationPool "SharePoint SSL"
    -ApplicationPoolAccount $account -Url $webappurl -Port 443
    -AuthenticationProvider $ap
    
  12. Создайте сайт, сначала создав объект утверждения, как показано в следующем примере:

    $claim = New-SPClaimsPrincipal
    -TrustedIdentityTokenIssuerr $ap -Identity
    $env:UserName
    
  13. Создайте сайт, как показано в следующем примере:

    $site = New-SPSite $webappurl -OwnerAlias
    $claim.ToEncodedString() -template "STS#0"
    

Настройка веб-приложения службы маркеров безопасности проверяющей стороны (RP-STS)

Используйте описанную в данном разделе процедуру для настройки веб-приложения службы маркеров безопасности проверяющей стороны.

Порядок настройки веб-приложения службы маркеров безопасности проверяющей стороны (RP-STS)

  1. Откройте консоль управления служб федерации Active Directory (AD FS) 2.0.

  2. В левой области разверните элемент Policy (Политика) и выберите Relying Parties (Проверяющие стороны).

  3. В правой области щелкните Add Relying Party (Добавить проверяющую сторону). При этом открывается мастер настройки служб федерации Active Directory (AD FS) 2.0.

  4. На первой странице мастера щелкните Start (Начать).

  5. Выберите Enter relying party configuration manually (Ввести настройки проверяющей стороны вручную), а затем нажмите кнопку Next (Далее).

  6. Введите имя принимающей стороны и нажмите кнопку Next (Далее).

  7. Убедитесь, что выбран параметр Active Directory Federation Services (AD FS) 2.0 Server Profile (Профиль сервера служб федерации Active Directory (AD FS) 2.0), и нажмите кнопку Next (Далее).

  8. Не используйте сертификат шифрования. Нажмите кнопку Next (Далее).

  9. Выберите параметр Enable support for Web-browser-based identity federation (Включить поддержку федерации удостоверений на основе браузера).

  10. Введите URL-адрес веб-приложения и добавьте к нему /_trust/ (например: https://имя_сервера/_trust/). Нажмите кнопку Next (Далее).

  11. Введите имя идентификатора (например, urn:COMPUTERNAME:Geneva) и нажмите кнопку Add (Добавить). Нажмите кнопку Next (Далее).

  12. На странице сводки нажмите кнопку Next (Далее), затем нажмите Close (Закрыть). Откроется консоль управления редактора правил. С ее помощью настройте сопоставление утверждений веб-приложения LDAP с SharePoint.

  13. В левой области разверните элемент New Rule (Создать правило) и выберите Predefined Rule (Предопределенное правило).

  14. Выберите параметр Create Claims from LDAP Attribute Store (Создать утверждения на основе хранилища атрибутов LDAP).

  15. В правой области в списке Attribute Store (Хранилище атрибутов) выберите Enterprise Active Directory User Account Store (Хранилище учетных записей Active Directory пользователей предприятия).

  16. В разделе LDAP Attribute (Атрибут LDAP) выберите sAMAccountName.

  17. В разделе Outgoing Claim Type (Тип исходящего утверждения) выберите E-Mail Address (Адрес электронной почты).

  18. В левой области нажмите кнопку Save (Сохранить).

Установка отношения доверия между IP-STS и RP-STS с помощью Windows PowerShell

Используйте описанную в данном разделе процедуру для установки отношения доверия с IP-STS.

Порядок установки отношения доверия с IP-STS с помощью Windows PowerShell

  1. Убедитесь в соответствии следующим минимальным требованиям: См. статью Add-SPShellAdmin.

  2. В меню Пуск выберите пункт Все программы.

  3. Выберите пункт Продукты Microsoft SharePoint 2010.

  4. Щелкните компонент Командная консоль SharePoint 2010.

  5. В командной строке Windows PowerShell установите отношение доверия, как показано в следующем примере:

    $waurl = "https://" + $env:ComputerName
    $title = "SAML-Claims"
    

Экспорт сертификата доверенной службы IP-STS с помощью Windows PowerShell

Используйте описанную в данном разделе процедуру для экспорта сертификата службы IP-STS, с которой необходимо установить отношение доверия, и копирования этого сертификата в доступное для Microsoft SharePoint Foundation 2010 расположение.

Порядок экспорта сертификата доверенной службы IP-STS с помощью Windows PowerShell

  1. Убедитесь в соответствии следующим минимальным требованиям: См. статью Add-SPShellAdmin.

  2. В меню Пуск выберите пункт Все программы.

  3. Выберите пункт Продукты Microsoft SharePoint 2010.

  4. Щелкните компонент Командная консоль SharePoint 2010.

  5. В командной строке Windows PowerShell выполните экспорт сертификата доверенной службы IP-STS, как показано в следующем примере:

    $cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("c:\geneva.cer")
    

Определение уникального идентификатора для сопоставления утверждений с помощью Windows PowerShell

Используйте описанную в данном разделе процедуру для определения адреса электронной почты, выступающего в качестве уникального идентификатора для сопоставления утверждений. Обычно администратору доверенной службы маркеров безопасности необходимо указать эти сведения, поскольку только владелец службы маркеров безопасности знает, какое значение в маркере всегда уникально для каждого пользователя. Обратите внимание на то, что администратор доверенной службы маркеров безопасности для представления указанного адреса электронной почты может создать универсальный код ресурса (URI).

Порядок определения уникального идентификатора для сопоставления утверждений с помощью Windows PowerShell

  1. Убедитесь в соответствии следующим минимальным требованиям: См. статью Add-SPShellAdmin.

  2. В меню Пуск выберите пункт Все программы.

  3. Выберите пункт Продукты Microsoft SharePoint 2010.

  4. Щелкните компонент Командная консоль SharePoint 2010.

  5. В командной строке Windows PowerShell создайте сопоставление, как показано в следующем примере:

    $map = New-SPClaimTypeMapping -IncomingClaimType "https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming
    

Создание новой службы проверки подлинности

Используйте описанную в данном разделе процедуру для создания новой службы проверки подлинности для использования веб-приложением.

Порядок создания новой службы проверки подлинности с помощью Windows PowerShell

  1. Убедитесь в соответствии следующим минимальным требованиям: См. статью Add-SPShellAdmin.

  2. В меню Пуск выберите пункт Все программы.

  3. Выберите пункт Продукты Microsoft SharePoint 2010.

  4. Щелкните компонент Командная консоль SharePoint 2010.

  5. В командной строке Windows PowerShell создайте новую службу проверки подлинности, как показано в следующем примере. Обратите внимание на то, что realm — это параметр, используемый доверенной службой маркеров безопасности для идентификации определенной фермы SharePoint.

    $realm = "urn:" + $env:ComputerName + ":Geneva"
    $ap = New-SPTrustedIdentityTokenIssuer -Name "Geneva" -Description "Geneva" -Realm $realm -ImportTrustCertificate $cert -ClaimsMappings $map -SignInUrl "https://test-2/FederationPassive/" -IdentifierClaim "https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"
    

Создание нового веб-приложения SharePoint и настройка его на использование входа SAML

В данном действии выполняется создание и настройка веб-приложения.

Порядок создания нового веб-приложения SharePoint и его настройки на использование входа SAML с помощью Windows PowerShell

  1. Убедитесь в соответствии следующим минимальным требованиям: См. статью Add-SPShellAdmin.

  2. В меню Пуск выберите пункт Все программы.

  3. Выберите пункт Продукты Microsoft SharePoint 2010.

  4. Щелкните компонент Командная консоль SharePoint 2010.

  5. В командной строке Windows PowerShell создайте новое веб-приложение SharePoint и настройте его на использование входа SAML. Обратите внимание на то, что необходимо заменить "WebAppUrl" и "domain\admin" на допустимые значения.

    $wa = New-SPWebApplication -Name "SAML Sign-In" -SecureSocketsLayer -ApplicationPool "SAML Sign-In" -ApplicationPoolAccount "domain\admin" -
    Url "WebAppUrl" -Port 443 -AuthenticationProvider $ap
    

    Примечание

    Протокол SSL включается из-за того, что при использовании входа SAML файлы Cookie используются в качестве билета единого входа для пользователя. Это позволяет администраторам предоставлять доступ к ресурсам SharePoint на срок действия маркера без необходимости повторной проверки подлинности пользователя. Без протокола SSL эти файлы Cookie могут быть легко похищены пользователем-злоумышленником и использованы для олицетворения исходного пользователя.

После выполнения этих процедур создайте сайт SharePoint и назначьте владельца. Дополнительные сведения о создании сайта SharePoint см. в статье Создание семейства сайтов (SharePoint Foundation 2010).