SAML 2.0 pakkuja sätete konfigureerimine portaalide jaoks AD FS-iga

Märkus

Alates 12. oktoobrist 2022 on Power Appsi portaalid Power Pages. Lisateave: Microsoft Power Pages on nüüd üldiselt saadaval (ajaveebipostitus)
Peagi migreerime ja ühendame Power Appsi portaalide dokumentatsiooni Power Pagesi dokumentatsiooniga.

Oluline

Active Directory Federation Services (AD FS) konfiguratsiooni etapid võivad sõltuvalt teie AD FS-i serveri versioonist erineda.

AD FS-i vahendava osapoole usaldase loomine

Märkus

Vt allpool olevast jaotisest AD FS-i konfigureerimine PowerShelliga, et saada teavet, kuidas teha neid toiminguid PowerShelli skriptis.

1. Kasutades AD FS-i haldustööriista, minge jaotisse Teenindus > Nõude kirjeldused.

   1. Valige suvand Lisa nõude kirjeldus.

   2. Määrake nõue, tehes järgmist.

      • Kuvatav nimi: Püsiv identifikaator

      • Nõude indentifikaator: urn:oasis:names:tc:SAML:2.0:nameid-format:persistent

      • Märkige ruut Luba valiku puhul Avalda see nõude kirjeldus ühtsetes metaandmetes nõude tüübina, mida see ühtne teenus saab aktseptida

      • Märkige ruut Luba valiku puhul Avalda see nõude kirjeldus ühtsetes metaandmetes nõude tüübina, mida see ühtne teenus saab saata

   3. Valige OK.

2. Valige AD FS‑i haldustööriista abil Usalda seoseid >Vahendava osapoole usaldus.

   1. Valige suvand Lisa vahendava osapoole usaldus.

   2. Tervitus: valige suvand Käivita.

   3. Valige andmeallikas: valige suvand Sisesta vahendava osapoole andmed käsitsi ja siis suvand Edasi

   4. Määrake kuvatav nimi: sisestage nimi ja valige suvand Edasi. Näide: https://portal.contoso.com/

   5. Valige profiil: Valige suvand AD FS 2.0 profiil ja siis suvand Edasi.

   6. Konfigureerige sert: valige suvand Edasi.

   7. Konfigureerige URL: märkige ruut Luba SAML 2.0 WebSSO protokolli tugi. Vahendava osapoole SAML 2.0 SSO teenuse URL: sisestage https://portal.contoso.com/signin-saml2
      Märkus. AD FS‑i korral on nõutav, et portaal käitaks HTTPS‑i.

      Märkus

      Saadud lõpp-punktil on järgmised sätted:

      • Lõpp-punkti tüüp: SAML-i kinnituse tarbimise lõpp-punktid
      • Sidumine: POST
      • Indeks: n/a (0)
      • URL: https://portal.contoso.com/signin-saml2

   8. Konfigureerige identiteedid: sisestage https://portal.contoso.com/, valige Lisa ja seejärel valige Edasi. Vajaduse korral saate igale täiendavale vahendava osapoole portaalile lisada rohkem identiteete. Kasutajad saavad autentida mis tahes või kõigi saadaolevate identiteetidega.

   9. Valige väljastamise autoriseerimisreeglid: valige suvand Luba kõigile kasutajatele juurdepääs vahendavale osapoolele ja siis valige suvand Edasi.

   10. Usalduse lisamiseks valmis: valige suvand Edasi.

   11. Valige käsk Sule.

3. Taotluse Nime ID lisamine vahendava osapoole usaldusele:

   Teisendage rakenduse Windows konto nimi taotluseks Nime ID (sissetuleva taotluse teisendamine).

   • Sissetuleva taotluse tüüp: Windowsi konto nimi

   • Väljamineva taotluse tüüp: Nime ID

   • Väljamineva nime ID vorming: Püsiv identifikaator

   • Läbige kõik taotluse väärtused

SAML 2.0 teenusepakkuja konfigureerimine

Pärast osapoole usaldusele tugineva AD FS-i seadistamist saate järgida juhiseid teemas SAML 2.0 pakkuja konfigureerimine portaalide jaoks.

Identiteedipakkuja–algatatud sisselogimine

AD FS toetab identiteedipakkuja– algatatud ühekordse sisselogimise (SSO) profiili tehnilised andmed. Selleks et portaal (pakkuja) identiteedipakkuja algatatud SAML-i taotlusele nõuetekohaselt vastaks, peab parameeter RelayState olema õigesti kodeeritud.

SAML RelayState parameetrisse kodeeritud põhiline stringi väärtus peab olema vormis: ReturnUrl=/content/sub-content/, kus /content/sub-content/ on tee soovitud veebilehele portaalis navigeerimiseks (teenusepakkuja). Tee võib asendada mis tahes kehtiva veebilehega portaalis. Stringi väärtus on kodeeritud ja paigutatud konteinerstringi vormingus: RPID=<URL encoded RPID>&RelayState=<URL encoded RelayState>. Kogu see string on veel kord kodeeritud ja lisatud teise konteinerisse vormingus: <https://adfs.contoso.com/adfs/ls/idpinitiatedsignon.aspx?RelayState=&lt;URL> encoded RPID/RelayState&gt;.

Näiteks, kui on antud pakkuja tee: /content/sub-content/ ja vahendava osapoole ID: https://portal.contoso.com/, koostage URL järgmiste etappidega.

• Kodeerige ReturnUrl%3D%2Fcontent%2Fsub-content%2F saamiseks väärtusReturnUrl=/content/sub-content/

• Kodeerige https%3A%2F%2Fportal.contoso.com%2F saamiseks väärtushttps://portal.contoso.com/

• Kodeerige RPID%3Dhttps%253A%252F%252Fportal.contoso.com%252F%26RelayState%3DReturnUrl%253D%252Fcontent%252Fsub-content%252F saamiseks väärtusRPID=https%3A%2F%2Fportal.contoso.com%2F&RelayState=ReturnUrl%3D%2Fcontent%2Fsub-content%2F

• Lisage AD FS-i identiteedipakkuja–algatatud SSO tee, et saada lõplik URL https://adfs.contoso.com/adfs/ls/idpinitiatedsignon.aspx?RelayState=RPID%3Dhttps%253A%252F%252Fportal.contoso.com%252F%26RelayState%3DReturnUrl%253D%252Fcontent%252Fsub-content%252F

URL-i koostamiseks saate kasutada järgmist PowerShelli skripti. Salvestage skript faili nimega Get-IdPInitiatedUrl.ps1.

<#

.SYNOPSIS 

Constructs an IdP-initiated SSO URL to access a portal page on the service provider.

.PARAMETER path

The path to the portal page.

.PARAMETER rpid

The relying party identifier.

.PARAMETER adfsPath

The AD FS IdP initiated SSO page.

.EXAMPLE

PS C:\\> .\\Get-IdPInitiatedUrl.ps1 -path "/content/sub-content/" -rpid "https://portal.contoso.com/" -adfsPath "https://adfs.contoso.com/adfs/ls/idpinitiatedsignon.aspx"

#>

param

(

[parameter(mandatory=$true,position=0)]

$path,

[parameter(mandatory=$true,position=1)]

$rpid,

[parameter(position=2)]

$adfsPath = https://adfs.contoso.com/adfs/ls/idpinitiatedsignon.aspx

)

$state = ReturnUrl=$path

$encodedPath = [uri]::EscapeDataString($state)

$encodedRpid = [uri]::EscapeDataString($rpid)

$encodedPathRpid = [uri]::EscapeDataString("RPID=$encodedRpid&RelayState=$encodedPath")

$idpInitiatedUrl = {0}?RelayState={1} -f $adfsPath, $encodedPathRpid

Write-Output $idpInitiatedUrl

AD FS-i konfigureerimine PowerShelli abil

Vahendava osapoole usalduse saab AD FS-i lisada ka AD FS-i serveris järgmist Powershelli skripti käitades. Salvestage skript faili nimega Add-AdxPortalRelyingPartyTrustForSaml.ps1. Pärast skripti käitamist jätkake portaali saidi sätete konfigureerimisega.

<# 

.SYNOPSIS

Adds a SAML 2.0 relying party trust entry for a website.

.PARAMETER domain

The domain name of the portal.

.EXAMPLE

PS C:\\> .\\Add-AdxPortalRelyingPartyTrustForSaml.ps1 -domain portal.contoso.com

#>

param

(

[parameter(Mandatory=$true,Position=0)]

$domain,

[parameter(Position=1)]

$callbackPath = /signin-saml2

)

$VerbosePreference = Continue

$ErrorActionPreference = Stop

Import-Module adfs

Function Add-CrmRelyingPartyTrust

{

param (

[parameter(Mandatory=$true,Position=0)]

$name

)

$identifier = https://{0}/ -f $name

$samlEndpoint = New-ADFSSamlEndpoint -Binding POST -Protocol SAMLAssertionConsumer -Uri (https://{0}{1} -f $name, $callbackPath)

$identityProviderValue = Get-ADFSProperties | % { $_.Identifier.AbsoluteUri }

$issuanceTransformRules = @'

@RuleTemplate = MapClaims

@RuleName = Transform [!INCLUDE[pn-ms-windows-short](../../../includes/pn-ms-windows-short.md)] Account Name to Name ID claim

c:[Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]

=> issue(Type = "https://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["https://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:persistent");

@RuleTemplate = LdapClaims

@RuleName = Send LDAP Claims

c:[Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"]

=> issue(store = "[!INCLUDE[pn-active-directory](../../../includes/pn-active-directory.md)]", types = ("https://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname", "https://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname", "https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"), query = ";givenName,sn,mail;{{0}}", param = c.Value);

'@ -f $identityProviderValue

$issuanceAuthorizationRules = @'

@RuleTemplate = AllowAllAuthzRule

=> issue(Type = https://schemas.microsoft.com/authorization/claims/permit, Value = true);

'@

Add-ADFSRelyingPartyTrust -Name $name -Identifier $identifier -SamlEndpoint $samlEndpoint -IssuanceTransformRules $issuanceTransformRules -IssuanceAuthorizationRules $issuanceAuthorizationRules

}

# add the 'Identity Provider' claim description if it is missing


[!INCLUDE[cc-pages-ga-banner](../../../includes/cc-pages-ga-banner.md)]

if (-not (Get-ADFSClaimDescription | ? { $_.Name -eq Persistent Identifier })) {

Add-ADFSClaimDescription -name "Persistent Identifier" -ClaimType "urn:oasis:names:tc:SAML:2.0:nameid-format:persistent" -IsOffered:$true -IsAccepted:$true

}

# add the portal relying party trust


[!INCLUDE[cc-pages-ga-banner](../../../includes/cc-pages-ga-banner.md)]

Add-CrmRelyingPartyTrust $domain

SAML 2.0 pakkuja konfigureerimine

Pärast AD FS-i vahendava osapoole usalduse seadistamist saate järgida jaotises SAML 2.0 pakkuja konfigureerimine portaalidele toodud etappe.

Vaata ka

SAML 2.0 pakkuja konfigureerimine portaalide jaoks Azure AD abil
KKK SAML 2.0 kasutamise kohta portaalis
SAML 2.0 pakkuja konfigureerimine portaalide jaoks

Märkus

Kas saaksite meile dokumentatsiooniga seotud keele-eelistustest teada anda? Osalege lühikeses uuringus. (Uuring on ingliskeelne.)

Uuringus osalemine võtab umbes seitse minutit. Isikuandmeid ei koguta (privaatsusavaldus).