這是本系列第四篇了,終於輪到SharePoint上場了,但是本文不會過多講解SharePoint安裝等話題,而是直入主題,講解如何進行配置,讓其於ADFS配合完成SSO的工作。
注意:本文使用的SharePoint為2013版。
本系列導航
實戰:ADFS3.0單點登錄系列-自定義ADFS樣式
實戰:ADFS3.0單點登錄系列-問題匯總
一 SharePoint端的配置
1.在ADFS服務器,打開ADFS管理工具,定位到證書,將令牌簽名證書導出。並拷貝到SharePoint服務器。
2.打開SharePoint命令行管理工具,並非是windows的的powershell
3.執行如下命令
$cert = New-Object System.Security.Cryptography.x509Certificates.x509Certificate2 ("c:\ADFS.cer")
New-SPTrustedRootAuthority -Name "Token Signing Cert" -Certificate $cert (Name可以隨意)
$upnClaimMap = New-SPClaimTypeMapping -IncomingClaimType "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn" -IncomingClaimTypeDisplayName "UPN" -SameAsIncoming(定義UPN聲明類型)
$emailClaimMap= New-SPClaimTypeMapping -IncomingClaimType "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"-IncomingClaimTypeDisplayName "EmailAddress" –SameAsIncoming(定義Email聲明類型)
$realm = "urn:sharepoint:ql" (設置標識符,sharepoint提供給ADFS的唯一身份認證)
$signInURL = "https://xtcs-validate.test.com/adfs/ls" (adfs登錄地址)
$ap = New-SPTrustedIdentityTokenIssuer -Name "TCSCD Provider for SharePoint" -description “SAML secured SharePoint" -realm $realm -ImportTrustCertificate $cert -ClaimsMappings $emailClaimMap, $upnClaimMap -SignInURL $signInURL -IdentifierClaim $upnClaimMap.InputClaimType
(Name可以隨意命名,描述也可隨意命名)
注意:
l 如果需要修改證書信任,則先刪除
Remove-SPTrustedRootAuthority -Identity " Token Signing Cert"
l 如果需要修改tokenissuer:則先刪除
Remove-SPTrustedIdentityTokenIssuer -Identity " TCSCD Provider for SharePoint "
否則會出現如下錯誤:
“ADFS new-sptrustedIdentityTokenIssuer:the trust provider certificate already exist”
二 ADFS配置
1.在ADFS服務器,打開ADFS管理控制台,並定位到信任關系->信賴方信任
2.點擊“添加信賴方信任”
3.選擇“手動輸入有關信賴方的數據"
4.輸入名稱和描述
5.選擇“ADFS配置文件”,下面的是ADFS1.0和2.0使用的配置文件。
6.配置證書,默認即可,后面會講解如何對證書進行單獨的修改。
7.選擇“啟用對ws-federation的被動協議支持”,URL必須是https://sharepoint應用程序地址/_trust/的形式。例如:https://sso-sp.tt.com/_trust/。
8.配置標識符,格式“urn:xxx:xx”,和1.3中的$realm設置相同
9.立即啟用多重身份驗證,保持默認
10.選擇授權規則,選擇“允許所有用戶訪問此信賴方”
11.完成並打開”編輯聲明規則“對話框
12.添加聲明規則,以聲明形式發送LDAP特性
13.填入名稱,並選擇UPN和Email和之前SharePoint命令行工具中設置的聲明相對應
14.完成
三 配置SharePoint使用前面創建的自定義STS
1.Sharepoint管理中心>應用程序管理>管理web應用程序>選中需要配置的web應用程序>身份驗證提供程序
2.修改身份提供程序:點擊默認->編輯驗證>選中信任的身份提供程序>選中之前注冊的信任的身份驗證提供程序->保存,本例中為
TSCCD Provider for SharePoint
3.修改SharePoint網站集管理員為UPN格式:Sharepoint管理中心>應用程序管理>網站集>修改網站集管理員
四 驗證
直接在瀏覽器輸入SharePoint應用程序地址,檢查是否跳轉至ADFS登錄頁面
至此,sharepoint成功與ADFS結合,並且使用ADFS的登錄替換掉了SharePoint自帶的彈出框身份認證。
注意:本例中SharePoint需要配置為使用SSL的形式。