如何設定 SharePoint Server 2010 中的 AD FS v 2.0

  • 發行項

 

適用版本: SharePoint Foundation 2010, SharePoint Server 2010

上次修改主題的時間: 2016-12-08

本文中的程序說明如何在 Microsoft SharePoint Server 2010 中設定 Active Directory Federation Services 2.0 (AD FS)。

您可以使用 Active Directory Federation Services (AD FS) 2.0 搭配 Windows Server 2008 作業系統,建立同盟身分識別管理解決方案,將散佈的身分識別、驗證以及授權服務,延伸到跨組織以及跨平台界限的 Web 應用程式。部署 AD FS 2.0,您即可將組織的現有身分識別管理功能擴及網際網路。

在本文中,AD FS v2 是我們的身分識別提供者,也稱為 IP-STS (Security Token Service)。AD FS 將提供宣告式驗證。若要開始使用,需要用我們信賴憑證者的資訊來設定 AD FS,在此例中,也就是 SharePoint Server 2010。從 Microsoft SharePoint 2010 產品 的觀點而言,需要設定 AD FS,以信任傳送宣告式對應的 IP-STS。最後,要建立將使用宣告式驗證等級的 Web 應用程式和網站集合。

注意

您必須先安裝和設定執行 Active Directory Federation Services (AD FS) 2.0 的伺服器,才能執行本文中的程序。如需設定伺服器以執行 AD FS 2.0 的詳細資訊,請參閱 AD FS 2.0 部署指南 (可能為英文網頁) (https://go.microsoft.com/fwlink/?linkid=191723&clcid=0x404) (可能為英文網頁)。

下列影片說明在 Microsoft SharePoint Server 2010 中設定 Active Directory Federation Services 2.0 版 (AD FS) 的逐步程序。

為 SharePoint Server 2010 設定 AD FS

影片時間:9 分 43 秒

播放視訊 觀賞「使用 AD FS 信任宣告設定 SharePoint Server 2010」影片 (可能為英文網頁)

下載視訊  若要取得最佳觀賞效果,請下載「使用 AD FS 信任宣告設定 SharePoint Server 2010」影片 (可能為英文網頁).

在連結上按一下滑鼠右鍵,然後按一下 [另存目標] 下載複本。按一下該連結將會在預設視訊檢視器中開啟一個 .wmv 檔案以進行高解析度檢視。

本文內容:

  • 設定信賴憑證者

  • 設定宣告規則

  • 匯出權杖簽署憑證

  • 匯出多個父憑證

  • 使用 Windows PowerShell 匯入權杖簽署憑證

  • 使用 Windows PowerShell 定義宣告對應的唯一識別碼

  • 建立新的驗證提供者

  • 建立 Web 應用程式與信任的身分識別提供者的關聯

  • 建立網站集合

注意

需要依序完成本文中列出的步驟。

設定信賴憑證者

請使用本節中的程序設定信賴憑證者。信賴憑證者定義 AD FS 如何辨識信賴憑證者以及宣告的問題。

設定信賴憑證者

  1. 確認執行此程序的使用者帳戶是本機電腦上管理員群組的成員。如需帳戶和群組成員資格的詳細資訊,請參閱<Local and Domain Default Groups>。

  2. 開啟 Active Directory Federation Services (AD FS) 2.0 管理主控台。

  3. 在左窗格中,展開 [信任關係],然後按兩下 [信賴憑證者信任] 資料夾。

  4. 在右窗格中,按一下 [新增信賴憑證者信任]。隨即會開啟 Active Directory Federation Services (AD FS) 2.0 設定精靈。

  5. 在 [歡迎使用新增憑證者信任精靈] 頁面上,按 [開始]。

  6. 選取 [手動輸入信賴憑證者資料],然後按 [下一步]。

  7. 輸入信賴憑證者名稱,然後按 [下一步]。

  8. 確認已選取 [Active Directory Federation Services (AD FS) 2.0 設定檔],然後按 [下一步]。

  9. 不要使用加密憑證。按 [下一步]。

  10. 按一下以選取 [啟用 WS-同盟被動式通訊協定支援] 核取方塊。

  11. 在 [WS-同盟被動式通訊協定 URL] 欄位中,輸入 Web 應用程式 URL 的名稱,並在名稱後加上 /_trust/ (例如:https://WebAppName/_trust/)。按 [下一步]。

    注意

    URL 名稱必須使用安全通訊端層 (SSL)。

  12. 輸入信賴憑證者信任識別碼的名稱 (例如:urn:sharepoint:WebAppName),然後按一下 [新增]。按 [下一步]。

  13. 選取 [允許所有使用者存取此信賴憑證者]。按 [下一步]。

  14. 在 [準備新增信任] 頁面上,不需要執行任何動作,按 [下一步]。

  15. 在 [完成] 頁面上,按一下 [關閉]。規則編輯器管理主控台會隨即開啟。請使用此主控台設定 LDAP Web 應用程式對 SharePoint Server 2010 的宣告對應。

設定宣告規則

使用此步驟中的程序,將輕量型目錄存取通訊協定 (LDAP) 屬性值傳送為宣告,並指定屬性將如何對應連出的宣告類型。

設定宣告規則

  1. 確認執行此程序的使用者帳戶是本機電腦上管理員群組的成員。如需帳戶和群組成員資格的詳細資訊,請參閱<Local and Domain Default Groups>。

  2. 在 [發行轉換規則] 索引標籤上,按一下 [新增規則]。

  3. 在 [選取規則範本] 頁面上,選取 [傳送 LDAP 屬性為宣告]。按 [下一步]。

  4. 在 [設定規則] 頁面上的 [宣告規則名稱] 欄位中輸入宣告規則的名稱。

  5. 從 [屬性存放區] 下拉式清單中,選取 [Active Directory]。

  6. 在 [對應 LDAP 屬性到連出的宣告類型] 區段的 [LDAP 屬性] 下,選取 [電子郵件地址]。

  7. 從 [連出的宣告類型] 下選取 [電子郵件地址]。

  8. 從 [LDAP 屬性] 下選取 [權杖群組-不合格名稱]。

  9. 從 [連出的宣告類型] 下選取 [角色]。

  10. 按一下 [完成],然後按一下 [確定]。

匯出權杖簽署憑證

使用本節中的程序,匯出要與之建立信任關係的 AD FS 伺服器權杖簽署憑證,然後將憑證複製至 SharePoint Server 2010 可以存取的位置。

匯出權杖簽署憑證

  1. 確認執行此程序的使用者帳戶是本機電腦上管理員群組的成員。如需帳戶和群組成員資格的詳細資訊,請參閱<Local and Domain Default Groups>。

  2. 開啟 Active Directory Federation Services (AD FS) 2.0 管理主控台。

  3. 在左窗格中,按一下以展開 [服務],然後按一下 [憑證] 資料夾。

  4. 在 [權杖簽署] 下,按一下 [主要] 欄中所指示的主要權杖憑證。

  5. 在右窗格中,按一下 [檢視憑證連結]。此時會顯示憑證的內容。

  6. 按一下 [詳細資料] 索引標籤。

  7. 按一下 [複製到檔案]。此時會啟動 [憑證匯出精靈]。

  8. 在 [歡迎使用憑證匯出精靈] 頁面上,按 [下一步]。

  9. 在 [匯出私密金鑰] 頁面上,按一下 [否,不要匯出私密金鑰],然後按 [下一步]。

  10. 在 [匯出檔案格式] 頁面中,選取 [DER 編碼二位元 X.509 (.CER)],然後按 [下一步]。

  11. 在 [要匯出的檔案] 頁面上,輸入想要匯出的檔案名稱和位置,然後按 [下一步]。例如,輸入 C:\ADFS.cer

  12. 在 [完成憑證匯出精靈] 頁面上,按一下 [完成]。

匯出多個父憑證

若要完成 AD FS 伺服器的設定,請將 .CER 檔案複製到執行 AD FS 的電腦上。

權杖簽署憑證的鏈結中可能有一或多個父憑證。如果有的話,該鏈結中的每個憑證都需要被新增到信任的根授權單位的 SharePoint Server 清單中。

若要判斷是否存在一或多個父憑證,請使用下列步驟。

注意

請重複這些步驟,直到所有憑證都匯出到根授權憑證。

匯出多個父憑證

  1. 確認執行此程序的使用者帳戶是本機電腦上管理員群組的成員。如需帳戶和群組成員資格的詳細資訊,請參閱<Local and Domain Default Groups>。

  2. 開啟 Active Directory Federation Services (AD FS) 2.0 管理主控台。

  3. 在左窗格中,按一下以展開 [服務],然後按一下 [憑證] 資料夾。

  4. 在 [權杖簽署] 下,按一下 [主要] 欄中所指示的主要權杖憑證。

  5. 在右窗格中,按一下 [檢視憑證連結]。此時會顯示憑證的內容。

  6. 按一下 [憑證] 索引標籤。

    其中會顯示鏈結中的任何其他憑證。

  7. 按一下 [詳細資料] 索引標籤。

  8. 按一下 [複製到檔案]。此時會啟動 [憑證匯出精靈]。

  9. 在 [歡迎使用憑證匯出精靈] 頁面上,按 [下一步]。

  10. 在 [匯出私密金鑰] 頁面上,按一下 [否,不要匯出私密金鑰],然後按 [下一步]。

  11. 在 [匯出檔案格式] 頁面中,選取 [DER 編碼二位元 X.509 (.CER)],然後按 [下一步]。

  12. 在 [要匯出的檔案] 頁面上,輸入想要匯出的檔案名稱和位置,然後按 [下一步]。例如,輸入 C:\ADFS.cer

  13. 在 [完成憑證匯出精靈] 頁面上,按一下 [完成]。

使用 Windows PowerShell 匯入權杖簽署憑證

使用本節中的步驟,將權杖簽署憑證匯入到位於 SharePoint Server 上信任的根授權單位清單。您必須對鏈結中的每個權杖簽署憑證重複此步驟,直到達成匯入到根憑證授權單位為止。

使用 Windows PowerShell 匯入權杖簽署憑證

  1. 確認符合下列基本需求:請參閱<Add-SPShellAdmin>。

  2. 在 [開始] 功能表上,按一下 [所有程式]。

  3. 按一下 [Microsoft SharePoint 2010 產品]。

  4. 按一下 [SharePoint 2010 管理命令介面]。

  5. 從 Windows PowerShell 命令提示字元處,匯入權杖簽署憑證的父憑證 (也就是根授權憑證),如下列語法所示:

    $root = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("C:\adfsParent.cer")

New-SPTrustedRootAuthority -Name "Token Signing Cert Parent" -Certificate $root

  6. 從 Windows PowerShell 命令提示字元處,匯入從 AD FS 伺服器中複製的權杖簽署憑證,如下列語法所示:

    $cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("C:\adfs.cer ")

New-SPTrustedRootAuthority -Name "Token Signing Cert" -Certificate $cert

如需 New-SPTrustedRootAuthority Cmdlet 的詳細資訊,請參閱<New-SPTrustedRootAuthority

使用 Windows PowerShell 定義宣告對應的唯一識別碼

使用本節中的程序來定義宣告對應的唯一識別碼。一般而言,此資訊的形式是電子郵件地址,而信任的 STS 管理員必須提供此資訊,因為只有 STS 的擁有者知道宣告類型對每位使用者永遠是唯一的。

使用 Windows PowerShell 定義宣告對應的唯一識別碼

  1. 確認符合下列基本需求:請參閱<Add-SPShellAdmin>。

  2. 在 [開始] 功能表上,按一下 [所有程式]。

  3. 按一下 [Microsoft SharePoint 2010 產品]。

  4. 按一下 [SharePoint 2010 管理命令介面]。

  5. 從 Windows PowerShell 命令提示字元處,建立身分識別宣告對應,如下列語法所示:

    $map = New-SPClaimTypeMapping -IncomingClaimType "https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming

  6. 從 Windows PowerShell 命令提示字元處,建立角色宣告對應,如下列語法所示:

    $map2 = New-SPClaimTypeMapping -IncomingClaimType "https://schemas.microsoft.com/ws/2008/06/identity/claims/role" -IncomingClaimTypeDisplayName "Role" -SameAsIncoming

如需 New-SPClaimTypeMapping Cmdlet 的詳細資訊,請參閱<New-SPClaimTypeMapping

建立新的驗證提供者

使用本節中的程序建立新的 SPTrustedIdentityTokenIssuer。

使用 Windows PowerShell 建立新的驗證提供者

  1. 確認符合下列基本需求:請參閱<Add-SPShellAdmin>。

  2. 在 [開始] 功能表上,按一下 [所有程式]。

  3. 按一下 [Microsoft SharePoint 2010 產品]。

  4. 按一下 [SharePoint 2010 管理命令介面]。

  5. 從 Windows PowerShell 命令提示字元處,建立新的驗證提供者,如下列語法所示。

    注意

    $realm 變數定義信任的 STS,用來識別特定 SharePoint 伺服器陣列,而 $cert 變數則是使用<使用 Windows PowerShell 匯入權杖簽署憑證>小節的一個變數。SignInUrl 參數適用 AD FS 伺服器。

    $realm = "urn:sharepoint:WebAppName"

$ap = New-SPTrustedIdentityTokenIssuer -Name "SAML Provider" -Description "SharePoint secured by SAML" -realm $realm -ImportTrustCertificate $cert -ClaimsMappings $map,$map2 -SignInUrl "https://congen1.contoso.local/adfs/ls" -IdentifierClaim "https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"

如需 New-SPTrustedIdentityTokenIssuer Cmdlet 的詳細資訊,請參閱<New-SPTrustedIdentityTokenIssuer

建立 Web 應用程式與信任的身分識別提供者的關聯

若要設定現有 Web 應用程式以使用 SAML 登入,則需要修改宣告驗證類型區段中的信任的身分識別提供者。

設定現有 Web 應用程式使用 SAML 提供者

  1. 確認執行此程序的使用者帳戶為 SharePoint 伺服器陣列管理員群組的成員。

  2. 在管理中心首頁上,按一下 [應用程式管理]。

  3. 在 [應用程式管理] 頁面上,按一下 [Web 應用程式] 區段中的 [管理 Web 應用程式]。

  4. 按一下以選取適當的 Web 應用程式。

  5. 在功能區上,按一下 [驗證提供者]。

  6. 在 [區域] 下,按一下區域的名稱。例如,預設。

  7. 在 [編輯驗證] 頁面的 [宣告驗證類型] 區段中,按一下以選取新的信任的身分識別提供者名稱核取方塊。

如果您需要建立 Web 應用程式並將其設定為使用 SAML 登入,請參閱<建立新的 SharePoint Web 應用程式並將其設定為使用 SAML 登入>。

建立網站集合

最後一步是建立 SharePoint 網站集合並指派擁有者。請記住,新增網站集合管理員時,您必須以身分識別宣告的格式輸入名稱。例如,在本文中,身分識別宣告是電子郵件地址。如需詳細資訊,請參閱<建立網站集合 (SharePoint Server 2010)>。