配置 SharePoint
Server 2013 SAML 声明身份验证测试实验的步骤
设置 SharePoint Server 2013 SAML
声明身份验证测试实验时要执行六个步骤。
1.
设置 SharePoint Server 2013
三层场测试实验。
2.
在 DC1 上安装
AD FS 2.0。
3.
使用 Web
应用程序作为信赖方配置 AD FS。
4.
配置 SharePoint Server 2013
以信任作为身份提供程序的 AD FS。
5.
配置默认 Web
应用程序以使用基于声明的身份验证。
6.
从 CLIENT1
演示基于 SAML 的声明身份验证。
注意
您必须以每台计算机上的 Domain Admins
组成员或 Administrators
组成员的身份登录,才能完成本指南中介绍的任务。如果使用属于 Administrators
组成员的帐户登录时无法完成任务,请尝试在使用属于 Domain Admins
组成员的帐户登录时执行此任务。
下面几节提供有关如何执行这些步骤的详细信息。
步骤 1:设置
SharePoint Server 2013 三层场测试实验
使用 SharePoint Server 2013
三层场测试实验指南(该链接可能指向英文页面)中的过程设置 SharePoint
Server 2013 三层场测试实验。
步骤
2:在 DC1 上安装 AD FS
2.0
使用测试实验指南迷你模块:安装 AD FS
2.0(该链接可能指向英文页面) 中的过程在 DC1 上安装 AD FS 2.0。
步骤
3:使用 Web
应用程序作为信赖方配置 AD FS
在此过程中,您将电子邮件地址添加到 User1
用户帐户。该电子邮件地址稍后将作为标识声明在测试实验中使用。
使用电子邮件地址配置 User1 帐户
1.
使用 User1
用户帐户登录到 DC1。
2.
单击“开始”,指向“管理工具”,然后单击“Active Directory
用户和计算机”。
3.
在导航窗格中,展开“corp.contoso.com”,然后双击“用户”。
4.
在内容窗格中,双击“User1”。
5.
在“常规”选项卡上,在“电子邮件”中键入“user1@contoso.com”,然后单击“确定”。
在此过程中,您将配置与默认 Contoso
团队网站对应的 AD FS 信赖方。信赖方条目定义 AD FS
服务器识别信赖方并为其颁发声明的方式。
为信赖方配置 AD FS
1.
使用 User1
帐户登录到 DC1。
2.
单击“开始”,指向“管理工具”,然后单击“AD FS 2.0
管理”。
3.
在导航窗格中,展开“信任关系”,然后双击“信赖方信任”文件夹。
4.
在内容窗格中,单击“添加信赖方信任”。
这将启动 Active
Directory 联合身份验证服务 (AD FS)
2.0 配置向导。
5.
在“欢迎使用添加信赖方信任向导”页上,单击“开始”。
6.
在“选择数据源”页上,单击“手动输入有关信赖方的数据”,然后单击“下一步”。
7.
在“指定显示名称”页上,键入“APP1”,然后单击“下一步”。
8.
在“选择配置文件”页上,单击“Active Directory
联合身份验证服务 (AD FS) 2.0
配置文件”,然后单击“下一步”。
9.
在“配置证书”页上,单击“下一步”。
因为在 APP1 和 DC1 之间用于传递安全令牌的连接已使用 SSL
加密,请您跳过此配置。
10.
在“配置
URL”页上,选择“启用 WS
联合身份验证被动协议”。
11.
在“WS
联合身份验证被动协议
URL”中,键入“https://app1.corp.contoso.com/_trust/”,然后单击“下一步”。
12.
在“配置标识符”页上,键入“urn:sharepoint:contoso”,单击“添加”,然后单击“下一步”。
请注意,当您在步骤 4
中为新的受信任的安全令牌颁发者配置 SharePoint
场时,这将是领域值。
13.
在“选择颁发授权规则”页上,选择“允许所有用户访问此信赖方”,然后单击“下一步”。
14.
在“已准备好添加信任”页上,单击“下一步”。
15.
在“完成”页上,单击“关闭”。
这将打开“规则编辑器管理”控制台。使用此控制台和以下过程来配置从 AD FS 到 SharePoint Server 2013
的声明映射。
在此过程中,您对 AD FS 进行配置以将轻型目录访问协议 (LDAP) 属性的值作为声明发送,并指定属性映射到传出声明类型的方式。
配置声明规则
1.
在“规则编辑器管理”控制台的“颁发转换规则”选项卡上,单击“添加规则”。
2.
在“选择规则模板”页上,单击“将 LDAP
属性作为声明进行发送”,然后单击“下一步”。
3.
在“配置规则”页上,在“声明规则名称”中键入“电子邮件和
UPN”。
4.
在“属性存储”中,单击“Active
Directory”。
5.
在“将 LDAP
属性映射到传出声明类型”的空行中,对于“LDAP
属性”,单击“SAM 帐户名”。
6.
对于“传出声明类型”,单击“电子邮件地址”。
7.
在新的空行中,对于“LDAP
属性”,单击“用户主体名称”。
8.
对于“传出声明类型”,选择“UPN”。
9.
单击“完成”,然后单击“确定”。
在此过程中,您将导出 AD FS 服务器的令牌签名证书。
导出令牌签名证书
1.
在 AD FS 2.0
控制台的导航窗格中,展开“服务”,然后单击“证书”。
2.
在内容窗格中,在“令牌签名”中,右键单击该证书,然后单击“查看证书”。
这将显示证书的属性。
3.
单击“详细信息”选项卡,然后单击“复制到文件”。
这将启动“证书导出向导”。
4.
在“欢迎使用证书导出向导”页上,单击“下一步”。
5.
在“导出文件格式”页上,单击“DER
编码二进制 X.509
(.CER)”,然后单击“下一步”。
6.
在“要导出的文件”页上,键入“C:\ADFS_Sign.cer”,然后单击“下一步”。
7.
在“正在完成证书导出向导”页上,单击“完成”。
步骤
4:配置 SharePoint Server 2013
以信任作为身份提供程序的 AD FS
在此过程中,您将 AD FS
令牌签名证书导入到驻留在 APP1 上的受信任的根颁发机构列表。
导入 AD FS
令牌签名证书
1.
使用 User1
用户帐户登录到 APP1。
2.
单击“开始”,单击“所有程序”,单击“Microsoft
SharePoint 2013 产品”,然后单击“SharePoint 2013 Management
Shell”。
3.
在“SharePoint 2013 Management
Shell”命令提示符下,执行以下命令:
$cert
= New-Object
System.Security.Cryptography.X509Certificates.X509Certificate2("\\dc1\c$\ADFS_Sign.cer")
New-SPTrustedRootAuthority
-Name "Token Signing Cert" -Certificate $cert
在此过程中,您为身份、角色、用户主体名称 (UPN) 和主安全 ID (SID) 定义声明映射。
定义身份和角色声明映射
1.
在 APP1
上,通过在 SharePoint 2013
Management Shell 命令提示符下执行以下命令创建标识声明映射:
$emailClaimMap
= New-SPClaimTypeMapping -IncomingClaimType
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"
-IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming
2.
通过使用以下命令创建主 SID
声明映射:
$upnClaimMap
= New-SPClaimTypeMapping -IncomingClaimType
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"
-IncomingClaimTypeDisplayName "UPN" -SameAsIncoming
在此过程中,您添加一个名为“ADFS
for Contoso”的新身份验证提供程序。定义此新的身份验证提供程序后,当您为新的或现有的 SharePoint Web 应用程序的基于声明的身份验证配置一个受信任的身份提供程序时,可以选择它。
添加新的身份验证提供程序
·
在 SharePoint 2013 Management Shell
命令提示符下,使用以下命令创建一个新的身份验证提供程序:
$realm
= "urn:sharepoint:contoso"
$signInURL
= "https://dc1.corp.contoso.com/adfs/ls"
$ap =
New-SPTrustedIdentityTokenIssuer -Name "ADFS for Contoso"
-Description "SharePoint secured by SAML" -realm $realm
-ImportTrustCertificate $cert -ClaimsMappings
$emailClaimMap,$upnClaimMapupnClaimMapupnClaimMap -SignInUrl $signInURL
-IdentifierClaim $emailClaimMap.InputClaimType
步骤
5:更改默认 Web
应用程序以使用基于 SAML 声明的身份验证
在此过程中,您更改以前为三层场创建的默认 Web 应用程序,以通过新的“ADFS for Contoso”身份验证提供程序使用声明身份验证。
配置基于 SAML 声明的身份验证
1.
在 APP1
上,单击“开始”,单击“所有程序”,单击“Microsoft
SharePoint 2013 产品”,然后单击“SharePoint 2013
管理中心”。
2.
在“管理中心”的“应用程序管理”部分,单击“管理 Web
应用程序”。
3.
单击“SharePoint
– 80”Web
应用程序。
4.
在功能区的“安全”组中,单击“身份验证提供程序”。
5.
在“身份验证提供程序”页上的“区域”列中,单击“默认”。
6.
在“编辑身份验证”页上的“声明身份验证类型”部分中,选择“信任的身份提供程序”。
7.
单击“ADF for
Contoso”,然后单击“保存”。
这将为此 Web 应用程序同时配置 Windows 身份验证和基于 SAML
声明的身份验证。
8.
单击“快速启动”上的“管理中心”。
在此过程中,您将配置为三层场创建的名为“SharePoint –
80”的默认 Web 应用程序以支持基于 SSL 的连接,与
DC1(即 AD FS 服务器)之间受保护的通信要求使用基于 SSL 的连接。
为 SharePoint
– 80 Web 应用程序启用 SSL
1.
在“管理中心”的“系统设置”部分,单击“配置备用访问映射”。
2.
在“备用访问映射”页上,单击“全部显示”,然后单击“更改备用访问映射集”。
3.
在“选择备用访问映射集”对话框的“名称”列中,单击“SharePoint
– 80”,然后单击“编辑公用
URL”。
4.
在“编辑公用区域
URL”页上的“Intranet”框中,键入“https://app1”,然后单击“保存”。
5.
单击“开始”,指向“管理工具”,然后单击“Internet
信息服务(IIS)管理器”。
6.
在控制台树中,展开“APP1”,然后展开“网站”。
7.
右键单击“SharePoint
– 80”,然后单击“编辑绑定”。
8.
在“网站绑定”中,单击“添加”。
9.
在“添加网站绑定”中,在“类型”中单击“https”。
10.
在“SSL
证书”中,单击“APP1.corp.contoso.com”,单击“确定”,然后单击“关闭”。
步骤
6:从 CLIENT1 演示基于
SAML 的声明身份验证
在此过程中,您使用 CLIENT1
访问采用基于 SAML 声明身份验证的默认 Contoso Corporation 团队网站。
访问采用基于 SAML 声明身份验证的默认 Contoso Corporation 团队网站
1.
在 CLIENT1
上,单击 Internet
Explorer 图标。
2.
在地址栏中,键入“https://app1.corp.contoso.com”,然后按
Enter。
3.
在登录页上,在选择凭据列表中选择“ADFS for
Contoso”。
这就证明了默认团队网站现在正在同时使用 Windows 身份验证和基于 SAML
的声明身份验证。