SAML 2.0 pakkuja sätete konfigureerimine portaalide jaoks AD FS-iga
Märkus
Alates 12. oktoobrist 2022 on Power Appsi portaalid Power Pages. Lisateave: Microsoft Power Pages on nüüd üldiselt saadaval (ajaveebipostitus)
Peagi migreerime ja ühendame Power Appsi portaalide dokumentatsiooni Power Pagesi dokumentatsiooniga.
Oluline
Active Directory Federation Services (AD FS) konfiguratsiooni etapid võivad sõltuvalt teie AD FS-i serveri versioonist erineda.
AD FS-i vahendava osapoole usaldase loomine
Märkus
Vt allpool olevast jaotisest AD FS-i konfigureerimine PowerShelliga, et saada teavet, kuidas teha neid toiminguid PowerShelli skriptis.
Kasutades AD FS-i haldustööriista, minge jaotisse Teenindus > Nõude kirjeldused.
Valige suvand Lisa nõude kirjeldus.
Määrake nõue, tehes järgmist.
Kuvatav nimi: Püsiv identifikaator
Nõude indentifikaator: urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
Märkige ruut Luba valiku puhul Avalda see nõude kirjeldus ühtsetes metaandmetes nõude tüübina, mida see ühtne teenus saab aktseptida
Märkige ruut Luba valiku puhul Avalda see nõude kirjeldus ühtsetes metaandmetes nõude tüübina, mida see ühtne teenus saab saata
Valige OK.
Valige AD FS‑i haldustööriista abil Usalda seoseid >Vahendava osapoole usaldus.
Valige suvand Lisa vahendava osapoole usaldus.
Tervitus: valige suvand Käivita.
Valige andmeallikas: valige suvand Sisesta vahendava osapoole andmed käsitsi ja siis suvand Edasi
Määrake kuvatav nimi: sisestage nimi ja valige suvand Edasi. Näide: https://portal.contoso.com/
Valige profiil: Valige suvand AD FS 2.0 profiil ja siis suvand Edasi.
Konfigureerige sert: valige suvand Edasi.
Konfigureerige URL: märkige ruut Luba SAML 2.0 WebSSO protokolli tugi. Vahendava osapoole SAML 2.0 SSO teenuse URL: sisestage https://portal.contoso.com/signin-saml2
Märkus. AD FS‑i korral on nõutav, et portaal käitaks HTTPS‑i.Märkus
Saadud lõpp-punktil on järgmised sätted:
- Lõpp-punkti tüüp: SAML-i kinnituse tarbimise lõpp-punktid
- Sidumine: POST
- Indeks: n/a (0)
- URL: https://portal.contoso.com/signin-saml2
Konfigureerige identiteedid: sisestage
https://portal.contoso.com/
, valige Lisa ja seejärel valige Edasi. Vajaduse korral saate igale täiendavale vahendava osapoole portaalile lisada rohkem identiteete. Kasutajad saavad autentida mis tahes või kõigi saadaolevate identiteetidega.Valige väljastamise autoriseerimisreeglid: valige suvand Luba kõigile kasutajatele juurdepääs vahendavale osapoolele ja siis valige suvand Edasi.
Usalduse lisamiseks valmis: valige suvand Edasi.
Valige käsk Sule.
Taotluse Nime ID lisamine vahendava osapoole usaldusele:
Teisendage rakenduse Windows konto nimi taotluseks Nime ID (sissetuleva taotluse teisendamine).
Sissetuleva taotluse tüüp: Windowsi konto nimi
Väljamineva taotluse tüüp: Nime ID
Väljamineva nime ID vorming: Püsiv identifikaator
Läbige kõik taotluse väärtused
SAML 2.0 teenusepakkuja konfigureerimine
Pärast osapoole usaldusele tugineva AD FS-i seadistamist saate järgida juhiseid teemas SAML 2.0 pakkuja konfigureerimine portaalide jaoks.
Identiteedipakkuja–algatatud sisselogimine
AD FS toetab identiteedipakkuja– algatatud ühekordse sisselogimise (SSO) profiili tehnilised andmed. Selleks et portaal (pakkuja) identiteedipakkuja algatatud SAML-i taotlusele nõuetekohaselt vastaks, peab parameeter RelayState olema õigesti kodeeritud.
SAML RelayState parameetrisse kodeeritud põhiline stringi väärtus peab olema vormis: ReturnUrl=/content/sub-content/
, kus /content/sub-content/
on tee soovitud veebilehele portaalis navigeerimiseks (teenusepakkuja). Tee võib asendada mis tahes kehtiva veebilehega portaalis. Stringi väärtus on kodeeritud ja paigutatud konteinerstringi vormingus: RPID=<URL encoded RPID>&RelayState=<URL encoded RelayState>
. Kogu see string on veel kord kodeeritud ja lisatud teise konteinerisse vormingus: <https://adfs.contoso.com/adfs/ls/idpinitiatedsignon.aspx?RelayState=<URL> encoded RPID/RelayState>
.
Näiteks, kui on antud pakkuja tee: /content/sub-content/
ja vahendava osapoole ID: https://portal.contoso.com/
, koostage URL järgmiste etappidega.
Kodeerige
ReturnUrl%3D%2Fcontent%2Fsub-content%2F
saamiseks väärtusReturnUrl=/content/sub-content/
Kodeerige
https%3A%2F%2Fportal.contoso.com%2F
saamiseks väärtushttps://portal.contoso.com/
Kodeerige
RPID%3Dhttps%253A%252F%252Fportal.contoso.com%252F%26RelayState%3DReturnUrl%253D%252Fcontent%252Fsub-content%252F
saamiseks väärtusRPID=https%3A%2F%2Fportal.contoso.com%2F&RelayState=ReturnUrl%3D%2Fcontent%2Fsub-content%2F
Lisage AD FS-i identiteedipakkuja–algatatud SSO tee, et saada lõplik URL
https://adfs.contoso.com/adfs/ls/idpinitiatedsignon.aspx?RelayState=RPID%3Dhttps%253A%252F%252Fportal.contoso.com%252F%26RelayState%3DReturnUrl%253D%252Fcontent%252Fsub-content%252F
URL-i koostamiseks saate kasutada järgmist PowerShelli skripti. Salvestage skript faili nimega Get-IdPInitiatedUrl.ps1.
<#
.SYNOPSIS
Constructs an IdP-initiated SSO URL to access a portal page on the service provider.
.PARAMETER path
The path to the portal page.
.PARAMETER rpid
The relying party identifier.
.PARAMETER adfsPath
The AD FS IdP initiated SSO page.
.EXAMPLE
PS C:\\> .\\Get-IdPInitiatedUrl.ps1 -path "/content/sub-content/" -rpid "https://portal.contoso.com/" -adfsPath "https://adfs.contoso.com/adfs/ls/idpinitiatedsignon.aspx"
#>
param
(
[parameter(mandatory=$true,position=0)]
$path,
[parameter(mandatory=$true,position=1)]
$rpid,
[parameter(position=2)]
$adfsPath = https://adfs.contoso.com/adfs/ls/idpinitiatedsignon.aspx
)
$state = ReturnUrl=$path
$encodedPath = [uri]::EscapeDataString($state)
$encodedRpid = [uri]::EscapeDataString($rpid)
$encodedPathRpid = [uri]::EscapeDataString("RPID=$encodedRpid&RelayState=$encodedPath")
$idpInitiatedUrl = {0}?RelayState={1} -f $adfsPath, $encodedPathRpid
Write-Output $idpInitiatedUrl
AD FS-i konfigureerimine PowerShelli abil
Vahendava osapoole usalduse saab AD FS-i lisada ka AD FS-i serveris järgmist Powershelli skripti käitades. Salvestage skript faili nimega Add-AdxPortalRelyingPartyTrustForSaml.ps1. Pärast skripti käitamist jätkake portaali saidi sätete konfigureerimisega.
<#
.SYNOPSIS
Adds a SAML 2.0 relying party trust entry for a website.
.PARAMETER domain
The domain name of the portal.
.EXAMPLE
PS C:\\> .\\Add-AdxPortalRelyingPartyTrustForSaml.ps1 -domain portal.contoso.com
#>
param
(
[parameter(Mandatory=$true,Position=0)]
$domain,
[parameter(Position=1)]
$callbackPath = /signin-saml2
)
$VerbosePreference = Continue
$ErrorActionPreference = Stop
Import-Module adfs
Function Add-CrmRelyingPartyTrust
{
param (
[parameter(Mandatory=$true,Position=0)]
$name
)
$identifier = https://{0}/ -f $name
$samlEndpoint = New-ADFSSamlEndpoint -Binding POST -Protocol SAMLAssertionConsumer -Uri (https://{0}{1} -f $name, $callbackPath)
$identityProviderValue = Get-ADFSProperties | % { $_.Identifier.AbsoluteUri }
$issuanceTransformRules = @'
@RuleTemplate = MapClaims
@RuleName = Transform [!INCLUDE[pn-ms-windows-short](../../../includes/pn-ms-windows-short.md)] Account Name to Name ID claim
c:[Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]
=> issue(Type = "https://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["https://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:persistent");
@RuleTemplate = LdapClaims
@RuleName = Send LDAP Claims
c:[Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"]
=> issue(store = "[!INCLUDE[pn-active-directory](../../../includes/pn-active-directory.md)]", types = ("https://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname", "https://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname", "https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"), query = ";givenName,sn,mail;{{0}}", param = c.Value);
'@ -f $identityProviderValue
$issuanceAuthorizationRules = @'
@RuleTemplate = AllowAllAuthzRule
=> issue(Type = https://schemas.microsoft.com/authorization/claims/permit, Value = true);
'@
Add-ADFSRelyingPartyTrust -Name $name -Identifier $identifier -SamlEndpoint $samlEndpoint -IssuanceTransformRules $issuanceTransformRules -IssuanceAuthorizationRules $issuanceAuthorizationRules
}
# add the 'Identity Provider' claim description if it is missing
[!INCLUDE[cc-pages-ga-banner](../../../includes/cc-pages-ga-banner.md)]
if (-not (Get-ADFSClaimDescription | ? { $_.Name -eq Persistent Identifier })) {
Add-ADFSClaimDescription -name "Persistent Identifier" -ClaimType "urn:oasis:names:tc:SAML:2.0:nameid-format:persistent" -IsOffered:$true -IsAccepted:$true
}
# add the portal relying party trust
[!INCLUDE[cc-pages-ga-banner](../../../includes/cc-pages-ga-banner.md)]
Add-CrmRelyingPartyTrust $domain
SAML 2.0 pakkuja konfigureerimine
Pärast AD FS-i vahendava osapoole usalduse seadistamist saate järgida jaotises SAML 2.0 pakkuja konfigureerimine portaalidele toodud etappe.
Vaata ka
SAML 2.0 pakkuja konfigureerimine portaalide jaoks Azure AD abil
KKK SAML 2.0 kasutamise kohta portaalis
SAML 2.0 pakkuja konfigureerimine portaalide jaoks
Märkus
Kas saaksite meile dokumentatsiooniga seotud keele-eelistustest teada anda? Osalege lühikeses uuringus. (Uuring on ingliskeelne.)
Uuringus osalemine võtab umbes seitse minutit. Isikuandmeid ei koguta (privaatsusavaldus).
Tagasiside
https://aka.ms/ContentUserFeedback.
Varsti tulekul: 2024. aasta jooksul tühistame GitHubi probleemide funktsiooni sisutagasiside mehhanismina ja asendame selle uue tagasisidesüsteemiga. Lisateabe saamiseks vtEsita ja vaata tagasisidet