Настройка проверки подлинности с помощью маркера безопасности SAML (SharePoint Server 2010)
Применимо к: SharePoint Foundation 2010, SharePoint Server 2010
Последнее изменение раздела: 2016-11-30
Описанные в данной статье процедуры поясняют настройку проверки подлинности с использованием маркера безопасности SAML (Security Assertion Markup Language) для веб-приложения на основе утверждений Microsoft SharePoint Server 2010.
Вход SAML обычно используется в корпоративных сценариях для федерации, например, для предоставления доступа бизнес-партнеру. Вход SAML также развертывается для предоставления доступа внутренним пользователям, учетные записи которых размещаются в домене, не являющемся частью леса с SharePoint Server 2010.
Перед настройкой проверки подлинности с помощью маркера безопасности SAML для веб-приложения на основе утверждений SharePoint Server 2010 необходимо настроить сервер, на котором запускаются службы федерации Active Directory (AD FS) 2.0. Дополнительные сведения о настройке сервера для запуска служб федерации Active Directory 2.0 см. в статье AD FS 2.0 Deployment Guide.
Содержание:
Настройка веб-приложения службы маркеров безопасности поставщика удостоверений (IP-STS) с помощью Windows PowerShell
Настройка веб-приложения службы маркеров безопасности проверяющей стороны (RP-STS)
Установка отношения доверия между IP-STS и RP-STS с помощью Windows PowerShell
Экспорт сертификата доверенной службы IP-STS с помощью Windows PowerShell
Определение уникального идентификатора для сопоставления утверждений с помощью Windows PowerShell
Создание нового веб-приложения SharePoint и настройка его на использование входа SAML
Настройка веб-приложения службы маркеров безопасности поставщика удостоверений (IP-STS) с помощью Windows PowerShell
Выполните следующие действия для настройки веб-приложения SharePoint на основе утверждений с помощью Windows PowerShell.
Порядок настройки веб-приложения службы маркеров безопасности поставщика удостоверений (IP-STS) с помощью Windows PowerShell
Убедитесь, что следующие минимальные требования выполняются: См. статью Add-SPShellAdmin.
В меню Пуск выберите пункт Все программы.
Выберите пункт Продукты Microsoft SharePoint 2010.
Щелкните компонент Командная консоль SharePoint 2010.
В командной строке Windows PowerShell создайте объект x509Certificate2, как показано в следующем примере:
$cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("path to cert file")
Создайте сопоставление типов утверждений, которое будет использоваться в доверенном поставщике проверки подлинности, как показано в следующем примере:
New-SPClaimTypeMapping "https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming
Создайте доверенного поставщика входа в систему, создав значение для параметра
realm
, как показано в следующем примере:$realm = "urn:" + $env:ComputerName + ":domain-int"
Задайте значение параметра
signinurl
, которое указывает на веб-приложение службы маркеров безопасности, как показано в следующем примере:$signinurl = "https://test-2/FederationPassive/"
Создайте доверенного поставщика входа в систему с использованием такого же значения параметра
IdentifierClaim
, как и в сопоставлении утверждений ($map1.InputClaimType
), как показано в следующем примере:$ap = New-SPTrustedIdentityTokenIssuer -Name "WIF" -Description "Windows® Identity Foundation" -Realm $realm -ImportTrustCertificate $cert -ClaimsMappings $map1[,$map2..] -SignInUrl $signinurl -IdentifierClaim $map1.InputClaimType
Создайте веб-приложение, сначала задав значение для учетной записи пула приложений (для текущего пользователя), как показано в следующем примере:
$account = "DOMAIN\" + $env:UserName
Примечание
Учетная запись пула приложений должна быть управляемой. Для создания управляемой учетной записи используйте
New-SPManagedAccount
.Задайте значение URL-адреса веб-приложения (
$webappurl = "https://" + $env:ComputerName
), как показано в следующем примере:$wa = New-SPWebApplication -name "Claims WIF" -SecureSocketsLayer -ApplicationPool "SharePoint SSL" -ApplicationPoolAccount $account -Url $webappurl -Port 443 -AuthenticationProvider $ap
Создайте сайт, сначала создав объект утверждения, как показано в следующем примере:
$claim = New-SPClaimsPrincipal -TrustedIdentityTokenIssuerr $ap -Identity $env:UserName
Создайте сайт, как показано в следующем примере:
$site = New-SPSite $webappurl -OwnerAlias $claim.ToEncodedString() -template "STS#0"
Используйте описанную в данном разделе процедуру для настройки веб-приложения службы маркеров безопасности проверяющей стороны.
Порядок настройки веб-приложения службы маркеров безопасности проверяющей стороны (RP-STS)
Откройте консоль управления служб федерации Active Directory (AD FS) 2.0.
В левой области разверните элемент Policy (Политика) и выберите Relying Parties (Проверяющие стороны).
В правой области щелкните Add Relying Party (Добавить проверяющую сторону). При этом открывается мастер настройки служб федерации Active Directory (AD FS) 2.0.
На первой странице мастера щелкните Start (Начать).
Выберите Enter relying party configuration manually (Ввести настройки проверяющей стороны вручную), а затем нажмите кнопку Next (Далее).
Введите имя принимающей стороны и нажмите кнопку Next (Далее).
Убедитесь, что выбран параметр Active Directory Federation Services (AD FS) 2.0 Server Profile (Профиль сервера служб федерации Active Directory (AD FS) 2.0), и нажмите кнопку Next (Далее).
Не используйте сертификат шифрования. Нажмите кнопку Next (Далее).
Выберите параметр Enable support for Web-browser-based identity federation (Включить поддержку федерации удостоверений на основе браузера).
Введите URL-адрес веб-приложения и добавьте к нему /_trust/ (например: https://имя_сервера/_trust/). Нажмите кнопку Next (Далее).
Введите имя идентификатора (например, urn:COMPUTERNAME:Geneva) и нажмите кнопку Add (Добавить). Нажмите кнопку Next (Далее).
На странице сводки нажмите кнопку Next (Далее), затем нажмите Close (Закрыть). Откроется консоль управления редактора правил. С ее помощью настройте сопоставление утверждений веб-приложения LDAP с SharePoint.
В левой области разверните элемент New Rule (Создать правило) и выберите Predefined Rule (Предопределенное правило).
Выберите параметр Create Claims from LDAP Attribute Store (Создать утверждения на основе хранилища атрибутов LDAP).
В правой области в списке Attribute Store (Хранилище атрибутов) выберите Enterprise Active Directory User Account Store (Хранилище учетных записей Active Directory пользователей предприятия).
В разделе LDAP Attribute (Атрибут LDAP) выберите sAMAccountName.
В разделе Outgoing Claim Type (Тип исходящего утверждения) выберите E-Mail Address (Адрес электронной почты).
В левой области нажмите кнопку Save (Сохранить).
Используйте описанную в данном разделе процедуру для установки отношения доверия с IP-STS.
Порядок установки отношения доверия с IP-STS с помощью Windows PowerShell
Убедитесь в соответствии следующим минимальным требованиям: См. статью Add-SPShellAdmin.
В меню Пуск выберите пункт Все программы.
Выберите пункт Продукты Microsoft SharePoint 2010.
Щелкните компонент Командная консоль SharePoint 2010.
В командной строке Windows PowerShell установите отношение доверия, как показано в следующем примере:
$waurl = "https://" + $env:ComputerName $title = "SAML-Claims"
Используйте описанную в данном разделе процедуру для экспорта сертификата службы IP-STS, с которой необходимо установить отношение доверия, и копирования этого сертификата в доступное для Microsoft SharePoint Server 2010 расположение.
Порядок экспорта сертификата доверенной службы IP-STS с помощью Windows PowerShell
Убедитесь в соответствии следующим минимальным требованиям: См. статью Add-SPShellAdmin.
В меню Пуск выберите пункт Все программы.
Выберите пункт Продукты Microsoft SharePoint 2010.
Щелкните компонент Командная консоль SharePoint 2010.
В командной строке Windows PowerShell выполните экспорт сертификата доверенной службы IP-STS, как показано в следующем примере:
$cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("c:\geneva.cer")
Используйте описанную в данном разделе процедуру для определения адреса электронной почты, выступающего в качестве уникального идентификатора для сопоставления утверждений. Обычно администратору доверенной службы маркеров безопасности необходимо указать эти сведения, поскольку только владелец службы маркеров безопасности знает, какое значение в маркере всегда уникально для каждого пользователя. Обратите внимание на то, что администратор доверенной службы маркеров безопасности для представления указанного адреса электронной почты может создать универсальный код ресурса (URI).
Порядок определения уникального идентификатора для сопоставления утверждений с помощью Windows PowerShell
Убедитесь в соответствии следующим минимальным требованиям: См. статью Add-SPShellAdmin.
В меню Пуск выберите пункт Все программы.
Выберите пункт Продукты Microsoft SharePoint 2010.
Щелкните компонент Командная консоль SharePoint 2010.
В командной строке Windows PowerShell создайте сопоставление, как показано в следующем примере:
$map = New-SPClaimTypeMapping -IncomingClaimType "https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming
Используйте описанную в данном разделе процедуру для создания новой службы проверки подлинности для использования веб-приложением.
Порядок создания новой службы проверки подлинности с помощью Windows PowerShell
Убедитесь в соответствии следующим минимальным требованиям: См. статью Add-SPShellAdmin.
В меню Пуск выберите пункт Все программы.
Выберите пункт Продукты Microsoft SharePoint 2010.
Щелкните компонент Командная консоль SharePoint 2010.
В командной строке Windows PowerShell создайте новую службу проверки подлинности, как показано в следующем примере. Обратите внимание на то, что realm — это параметр, используемый доверенной службой маркеров безопасности для идентификации определенной фермы SharePoint.
$realm = "urn:" + $env:ComputerName + ":Geneva" $ap = New-SPTrustedIdentityTokenIssuer -Name "Geneva" -Description "Geneva" -Realm $realm -ImportTrustCertificate $cert -ClaimsMappings $map -SignInUrl "https:// test-2/FederationPassive/" -IdentifierClaim "https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"
В данном действии выполняется создание и настройка веб-приложения.
Порядок создания нового веб-приложения SharePoint и его настройки на использование входа SAML с помощью Windows PowerShell
Убедитесь в соответствии следующим минимальным требованиям: См. статью Add-SPShellAdmin.
В меню Пуск выберите пункт Все программы.
Выберите пункт Продукты Microsoft SharePoint 2010.
Щелкните компонент Командная консоль SharePoint 2010.
В командной строке Windows PowerShell создайте новое веб-приложение SharePoint и настройте его на использование входа SAML. Обратите внимание на то, что необходимо заменить "WebAppUrl" и "domain\admin" на допустимые значения.
$wa = New-SPWebApplication -Name "SAML Sign-In" -SecureSocketsLayer -ApplicationPool "SAML Sign-In" -ApplicationPoolAccount "domain\admin" - Url "WebAppUrl" -Port 443 -AuthenticationProvider $ap
Примечание
Протокол SSL включается из-за того, что при использовании входа SAML файлы Cookie используются в качестве билета единого входа для пользователя. Это позволяет администраторам предоставлять доступ к ресурсам SharePoint на срок действия маркера без необходимости повторной проверки подлинности пользователя. Без протокола SSL эти файлы Cookie могут быть легко похищены пользователем-злоумышленником и использованы для олицетворения исходного пользователя.
После выполнения этих процедур создайте сайт SharePoint и назначьте владельца. Дополнительные сведения о создании сайта SharePoint см. в статье Создание семейства сайтов (Office SharePoint Server).