如何設定 SharePoint Server 2010 中的 AD FS v 2.0
適用版本: SharePoint Foundation 2010, SharePoint Server 2010
上次修改主題的時間: 2016-12-08
本文中的程序說明如何在 Microsoft SharePoint Server 2010 中設定 Active Directory Federation Services 2.0 (AD FS)。
您可以使用 Active Directory Federation Services (AD FS) 2.0 搭配 Windows Server 2008 作業系統,建立同盟身分識別管理解決方案,將散佈的身分識別、驗證以及授權服務,延伸到跨組織以及跨平台界限的 Web 應用程式。部署 AD FS 2.0,您即可將組織的現有身分識別管理功能擴及網際網路。
在本文中,AD FS v2 是我們的身分識別提供者,也稱為 IP-STS (Security Token Service)。AD FS 將提供宣告式驗證。若要開始使用,需要用我們信賴憑證者的資訊來設定 AD FS,在此例中,也就是 SharePoint Server 2010。從 Microsoft SharePoint 2010 產品 的觀點而言,需要設定 AD FS,以信任傳送宣告式對應的 IP-STS。最後,要建立將使用宣告式驗證等級的 Web 應用程式和網站集合。
注意
您必須先安裝和設定執行 Active Directory Federation Services (AD FS) 2.0 的伺服器,才能執行本文中的程序。如需設定伺服器以執行 AD FS 2.0 的詳細資訊,請參閱 AD FS 2.0 部署指南 (可能為英文網頁) (https://go.microsoft.com/fwlink/?linkid=191723&clcid=0x404) (可能為英文網頁)。
下列影片說明在 Microsoft SharePoint Server 2010 中設定 Active Directory Federation Services 2.0 版 (AD FS) 的逐步程序。
影片時間:9 分 43 秒 |
觀賞「使用 AD FS 信任宣告設定 SharePoint Server 2010」影片 (可能為英文網頁) 若要取得最佳觀賞效果,請下載「使用 AD FS 信任宣告設定 SharePoint Server 2010」影片 (可能為英文網頁). 在連結上按一下滑鼠右鍵,然後按一下 [另存目標] 下載複本。按一下該連結將會在預設視訊檢視器中開啟一個 .wmv 檔案以進行高解析度檢視。 |
本文內容:
設定信賴憑證者
設定宣告規則
匯出權杖簽署憑證
匯出多個父憑證
使用 Windows PowerShell 匯入權杖簽署憑證
使用 Windows PowerShell 定義宣告對應的唯一識別碼
建立新的驗證提供者
建立 Web 應用程式與信任的身分識別提供者的關聯
建立網站集合
注意
需要依序完成本文中列出的步驟。
設定信賴憑證者
請使用本節中的程序設定信賴憑證者。信賴憑證者定義 AD FS 如何辨識信賴憑證者以及宣告的問題。
設定信賴憑證者
確認執行此程序的使用者帳戶是本機電腦上管理員群組的成員。如需帳戶和群組成員資格的詳細資訊,請參閱<Local and Domain Default Groups>。
開啟 Active Directory Federation Services (AD FS) 2.0 管理主控台。
在左窗格中,展開 [信任關係],然後按兩下 [信賴憑證者信任] 資料夾。
在右窗格中,按一下 [新增信賴憑證者信任]。隨即會開啟 Active Directory Federation Services (AD FS) 2.0 設定精靈。
在 [歡迎使用新增憑證者信任精靈] 頁面上,按 [開始]。
選取 [手動輸入信賴憑證者資料],然後按 [下一步]。
輸入信賴憑證者名稱,然後按 [下一步]。
確認已選取 [Active Directory Federation Services (AD FS) 2.0 設定檔],然後按 [下一步]。
不要使用加密憑證。按 [下一步]。
按一下以選取 [啟用 WS-同盟被動式通訊協定支援] 核取方塊。
在 [WS-同盟被動式通訊協定 URL] 欄位中,輸入 Web 應用程式 URL 的名稱,並在名稱後加上 /_trust/ (例如:https://WebAppName/_trust/)。按 [下一步]。
注意
URL 名稱必須使用安全通訊端層 (SSL)。
輸入信賴憑證者信任識別碼的名稱 (例如:urn:sharepoint:WebAppName),然後按一下 [新增]。按 [下一步]。
選取 [允許所有使用者存取此信賴憑證者]。按 [下一步]。
在 [準備新增信任] 頁面上,不需要執行任何動作,按 [下一步]。
在 [完成] 頁面上,按一下 [關閉]。規則編輯器管理主控台會隨即開啟。請使用此主控台設定 LDAP Web 應用程式對 SharePoint Server 2010 的宣告對應。
設定宣告規則
使用此步驟中的程序,將輕量型目錄存取通訊協定 (LDAP) 屬性值傳送為宣告,並指定屬性將如何對應連出的宣告類型。
設定宣告規則
確認執行此程序的使用者帳戶是本機電腦上管理員群組的成員。如需帳戶和群組成員資格的詳細資訊,請參閱<Local and Domain Default Groups>。
在 [發行轉換規則] 索引標籤上,按一下 [新增規則]。
在 [選取規則範本] 頁面上,選取 [傳送 LDAP 屬性為宣告]。按 [下一步]。
在 [設定規則] 頁面上的 [宣告規則名稱] 欄位中輸入宣告規則的名稱。
從 [屬性存放區] 下拉式清單中,選取 [Active Directory]。
在 [對應 LDAP 屬性到連出的宣告類型] 區段的 [LDAP 屬性] 下,選取 [電子郵件地址]。
從 [連出的宣告類型] 下選取 [電子郵件地址]。
從 [LDAP 屬性] 下選取 [權杖群組-不合格名稱]。
從 [連出的宣告類型] 下選取 [角色]。
按一下 [完成],然後按一下 [確定]。
匯出權杖簽署憑證
使用本節中的程序,匯出要與之建立信任關係的 AD FS 伺服器權杖簽署憑證,然後將憑證複製至 SharePoint Server 2010 可以存取的位置。
匯出權杖簽署憑證
確認執行此程序的使用者帳戶是本機電腦上管理員群組的成員。如需帳戶和群組成員資格的詳細資訊,請參閱<Local and Domain Default Groups>。
開啟 Active Directory Federation Services (AD FS) 2.0 管理主控台。
在左窗格中,按一下以展開 [服務],然後按一下 [憑證] 資料夾。
在 [權杖簽署] 下,按一下 [主要] 欄中所指示的主要權杖憑證。
在右窗格中,按一下 [檢視憑證連結]。此時會顯示憑證的內容。
按一下 [詳細資料] 索引標籤。
按一下 [複製到檔案]。此時會啟動 [憑證匯出精靈]。
在 [歡迎使用憑證匯出精靈] 頁面上,按 [下一步]。
在 [匯出私密金鑰] 頁面上,按一下 [否,不要匯出私密金鑰],然後按 [下一步]。
在 [匯出檔案格式] 頁面中,選取 [DER 編碼二位元 X.509 (.CER)],然後按 [下一步]。
在 [要匯出的檔案] 頁面上,輸入想要匯出的檔案名稱和位置,然後按 [下一步]。例如,輸入 C:\ADFS.cer。
在 [完成憑證匯出精靈] 頁面上,按一下 [完成]。
匯出多個父憑證
若要完成 AD FS 伺服器的設定,請將 .CER 檔案複製到執行 AD FS 的電腦上。
權杖簽署憑證的鏈結中可能有一或多個父憑證。如果有的話,該鏈結中的每個憑證都需要被新增到信任的根授權單位的 SharePoint Server 清單中。
若要判斷是否存在一或多個父憑證,請使用下列步驟。
注意
請重複這些步驟,直到所有憑證都匯出到根授權憑證。
匯出多個父憑證
確認執行此程序的使用者帳戶是本機電腦上管理員群組的成員。如需帳戶和群組成員資格的詳細資訊,請參閱<Local and Domain Default Groups>。
開啟 Active Directory Federation Services (AD FS) 2.0 管理主控台。
在左窗格中,按一下以展開 [服務],然後按一下 [憑證] 資料夾。
在 [權杖簽署] 下,按一下 [主要] 欄中所指示的主要權杖憑證。
在右窗格中,按一下 [檢視憑證連結]。此時會顯示憑證的內容。
按一下 [憑證] 索引標籤。
其中會顯示鏈結中的任何其他憑證。
按一下 [詳細資料] 索引標籤。
按一下 [複製到檔案]。此時會啟動 [憑證匯出精靈]。
在 [歡迎使用憑證匯出精靈] 頁面上,按 [下一步]。
在 [匯出私密金鑰] 頁面上,按一下 [否,不要匯出私密金鑰],然後按 [下一步]。
在 [匯出檔案格式] 頁面中,選取 [DER 編碼二位元 X.509 (.CER)],然後按 [下一步]。
在 [要匯出的檔案] 頁面上,輸入想要匯出的檔案名稱和位置,然後按 [下一步]。例如,輸入 C:\ADFS.cer。
在 [完成憑證匯出精靈] 頁面上,按一下 [完成]。
使用 Windows PowerShell 匯入權杖簽署憑證
使用本節中的步驟,將權杖簽署憑證匯入到位於 SharePoint Server 上信任的根授權單位清單。您必須對鏈結中的每個權杖簽署憑證重複此步驟,直到達成匯入到根憑證授權單位為止。
使用 Windows PowerShell 匯入權杖簽署憑證
確認符合下列基本需求:請參閱<Add-SPShellAdmin>。
在 [開始] 功能表上,按一下 [所有程式]。
按一下 [Microsoft SharePoint 2010 產品]。
按一下 [SharePoint 2010 管理命令介面]。
從 Windows PowerShell 命令提示字元處,匯入權杖簽署憑證的父憑證 (也就是根授權憑證),如下列語法所示:
$root = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("C:\adfsParent.cer") New-SPTrustedRootAuthority -Name "Token Signing Cert Parent" -Certificate $root
從 Windows PowerShell 命令提示字元處,匯入從 AD FS 伺服器中複製的權杖簽署憑證,如下列語法所示:
$cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("C:\adfs.cer ") New-SPTrustedRootAuthority -Name "Token Signing Cert" -Certificate $cert
如需 New-SPTrustedRootAuthority Cmdlet 的詳細資訊,請參閱<New-SPTrustedRootAuthority>
使用 Windows PowerShell 定義宣告對應的唯一識別碼
使用本節中的程序來定義宣告對應的唯一識別碼。一般而言,此資訊的形式是電子郵件地址,而信任的 STS 管理員必須提供此資訊,因為只有 STS 的擁有者知道宣告類型對每位使用者永遠是唯一的。
使用 Windows PowerShell 定義宣告對應的唯一識別碼
確認符合下列基本需求:請參閱<Add-SPShellAdmin>。
在 [開始] 功能表上,按一下 [所有程式]。
按一下 [Microsoft SharePoint 2010 產品]。
按一下 [SharePoint 2010 管理命令介面]。
從 Windows PowerShell 命令提示字元處,建立身分識別宣告對應,如下列語法所示:
$map = New-SPClaimTypeMapping -IncomingClaimType "https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming
從 Windows PowerShell 命令提示字元處,建立角色宣告對應,如下列語法所示:
$map2 = New-SPClaimTypeMapping -IncomingClaimType "https://schemas.microsoft.com/ws/2008/06/identity/claims/role" -IncomingClaimTypeDisplayName "Role" -SameAsIncoming
如需 New-SPClaimTypeMapping Cmdlet 的詳細資訊,請參閱<New-SPClaimTypeMapping>
建立新的驗證提供者
使用本節中的程序建立新的 SPTrustedIdentityTokenIssuer。
使用 Windows PowerShell 建立新的驗證提供者
確認符合下列基本需求:請參閱<Add-SPShellAdmin>。
在 [開始] 功能表上,按一下 [所有程式]。
按一下 [Microsoft SharePoint 2010 產品]。
按一下 [SharePoint 2010 管理命令介面]。
從 Windows PowerShell 命令提示字元處,建立新的驗證提供者,如下列語法所示。
注意
$realm
變數定義信任的 STS,用來識別特定 SharePoint 伺服器陣列,而$cert
變數則是使用<使用 Windows PowerShell 匯入權杖簽署憑證>小節的一個變數。SignInUrl 參數適用 AD FS 伺服器。$realm = "urn:sharepoint:WebAppName" $ap = New-SPTrustedIdentityTokenIssuer -Name "SAML Provider" -Description "SharePoint secured by SAML" -realm $realm -ImportTrustCertificate $cert -ClaimsMappings $map,$map2 -SignInUrl "https://congen1.contoso.local/adfs/ls" -IdentifierClaim "https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"
如需 New-SPTrustedIdentityTokenIssuer Cmdlet 的詳細資訊,請參閱<New-SPTrustedIdentityTokenIssuer>
建立 Web 應用程式與信任的身分識別提供者的關聯
若要設定現有 Web 應用程式以使用 SAML 登入,則需要修改宣告驗證類型區段中的信任的身分識別提供者。
設定現有 Web 應用程式使用 SAML 提供者
確認執行此程序的使用者帳戶為 SharePoint 伺服器陣列管理員群組的成員。
在管理中心首頁上,按一下 [應用程式管理]。
在 [應用程式管理] 頁面上,按一下 [Web 應用程式] 區段中的 [管理 Web 應用程式]。
按一下以選取適當的 Web 應用程式。
在功能區上,按一下 [驗證提供者]。
在 [區域] 下,按一下區域的名稱。例如,預設。
在 [編輯驗證] 頁面的 [宣告驗證類型] 區段中,按一下以選取新的信任的身分識別提供者名稱核取方塊。
如果您需要建立 Web 應用程式並將其設定為使用 SAML 登入,請參閱<建立新的 SharePoint Web 應用程式並將其設定為使用 SAML 登入>。
建立網站集合
最後一步是建立 SharePoint 網站集合並指派擁有者。請記住,新增網站集合管理員時,您必須以身分識別宣告的格式輸入名稱。例如,在本文中,身分識別宣告是電子郵件地址。如需詳細資訊,請參閱<建立網站集合 (SharePoint Server 2010)>。