Tutorial: Menerapkan autentikasi gabungan antara ID Microsoft Entra dan SharePoint lokal

Deskripsi Skenario

Dalam tutorial ini, Anda mengonfigurasi autentikasi gabungan antara ID Microsoft Entra dan SharePoint lokal. Tujuannya adalah untuk memungkinkan pengguna masuk di MICROSOFT Entra ID dan menggunakan identitas mereka untuk mengakses situs SharePoint lokal.

Prasyarat

Untuk melakukan konfigurasi, Anda memerlukan sumber daya berikut:

• Penyewa Microsoft Entra. Jika Anda tidak memilikinya, Anda dapat membuat akun gratis.
• SharePoint 2013 lama atau yang lebih baru.

Artikel ini menggunakan nilai-nilai berikut:

• Nama aplikasi perusahaan (dalam ID Microsoft Entra): SharePoint corporate farm
• Pengidentifikasi kepercayaan (dalam ID Microsoft Entra) / realm (di SharePoint): urn:sharepoint:federation
• loginUrl (ke ID Microsoft Entra): https://login.microsoftonline.com/dc38a67a-f981-4e24-ba16-4443ada44484/wsfed
• URL situs SharePoint: https://spsites.contoso.local/
• URL balasan situs SharePoint: https://spsites.contoso.local/_trust/
• Nama konfigurasi kepercayaan SharePoint: MicrosoftEntraTrust
• UserPrincipalName dari pengguna uji Microsoft Entra: AzureUser1@demo1984.onmicrosoft.com

Mengonfigurasi aplikasi perusahaan di ID Microsoft Entra

Untuk mengonfigurasi federasi di ID Microsoft Entra, Anda perlu membuat aplikasi Enterprise khusus. Konfigurasinya disederhanakan menggunakan template yang telah dikonfigurasi sebelumnya SharePoint on-premises yang dapat ditemukan di galeri aplikasi.

Membuat aplikasi perusahaan

1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Aplikasi Cloud.
2. Telusuri aplikasi Identity>Applications>Enterprise Aplikasi> baru.
3. Dalam kotak pencarian, masukkan SharePoint lokal. Pilih SharePoint lokal dari panel hasil.
4. Tentukan nama untuk aplikasi Anda (dalam tutorial ini, namanya SharePoint corporate farm ), dan klik Buat untuk menambahkan aplikasi.
5. Di aplikasi perusahaan baru, pilih Properti, dan periksa nilai untuk Penugasan pengguna yang diperlukan?. Untuk skenario ini, set nilainya ke Tidak dan klik Simpan.

Mengonfigurasi aplikasi perusahaan

Di bagian ini, Anda mengonfigurasi autentikasi SAML dan menentukan klaim yang akan dikirim ke SharePoint setelah autentikasi berhasil.

1. Dalam Gambaran Umum aplikasi Enterprise SharePoint corporate farm, pilih 2. Siapkan akses menyeluruh dan pilih SAML di dialog berikutnya.

2. Di halaman Siapkan SSO dengan SAML, pilih ikon Edit di panel Konfigurasi SAML Dasar.

3. Di bagian Konfigurasi SAML Dasar, ikuti langkah-langkah berikut:

   1. Di kotak Pengidentifikasi, pastikan bahwa nilai ini ada: urn:sharepoint:federation.

   2. Di kotak URL Balasan, masukkan URL dalam pola ini: https://spsites.contoso.local/_trust/.

   3. Di kotak URL Masuk, masukkan URL dalam pola ini: https://spsites.contoso.local/.

   4. Pilih Simpan.

4. Di bagian Atribut & Klaim Pengguna, hapus jenis klaim berikut ini, yang tidak berguna karena tidak akan digunakan oleh SharePoint untuk memberikan izin:

   • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
   • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname
   • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname

5. Pengaturan sekarang akan terlihat seperti ini:

   

6. Salin informasi yang akan Anda perlukan nanti di SharePoint:

   • Di bagian Sertifikat Penandatanganan SAML, UnduhSertifikat (Base64). Ini adalah kunci umum sertifikat penandatanganan yang digunakan oleh MICROSOFT Entra ID untuk menandatangani token SAML. SharePoint akan memerlukannya untuk memverifikasi integritas token SAML yang masuk.

   • Di bagian Menyiapkan layanan perusahaan SharePoint, salin URL Masuk di notepad dan ganti string berikutnya /saml2 dengan /wsfed.

   Penting

   Pastikan untuk mengganti /saml2 dengan /wsfed untuk memastikan bahwa MICROSOFT Entra ID mengeluarkan token SAML 1.1, sebagaimana diperlukan oleh SharePoint.

   • Di bagian Menyiapkan layanan perusahaan SharePoint, salin URL Keluar

Mengonfigurasi SharePoint untuk mempercayai ID Microsoft Entra

Membuat kepercayaan di SharePoint

Dalam langkah ini, Anda membuat SPTrustedLoginProvider untuk menyimpan konfigurasi yang dibutuhkan SharePoint untuk mempercayai ID Microsoft Entra. Untuk itu, Anda memerlukan informasi dari ID Microsoft Entra yang Anda salin di atas. Mulai SharePoint Management Shell dan jalankan skrip berikut untuk membuatnya:

# Path to the public key of the Microsoft Entra SAML signing certificate (self-signed), downloaded from the Enterprise application in the Azure portal
$signingCert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("C:\Microsoft Entra app\SharePoint corporate farm.cer")
# Unique realm (corresponds to the "Identifier (Entity ID)" in the Microsoft Entra enterprise application)
$realm = "urn:sharepoint:federation"
# Login URL copied from the Microsoft Entra enterprise application. Make sure to replace "saml2" with "wsfed" at the end of the URL:
$loginUrl = "https://login.microsoftonline.com/dc38a67a-f981-4e24-ba16-4443ada44484/wsfed"

# Define the claim types used for the authorization
$userIdentifier = New-SPClaimTypeMapping -IncomingClaimType "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name" -IncomingClaimTypeDisplayName "name" -LocalClaimType "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"
$role = New-SPClaimTypeMapping "http://schemas.microsoft.com/ws/2008/06/identity/claims/role" -IncomingClaimTypeDisplayName "Role" -SameAsIncoming

# Let SharePoint trust the Microsoft Entra signing certificate
New-SPTrustedRootAuthority -Name "Microsoft Entra signing certificate" -Certificate $signingCert

# Create a new SPTrustedIdentityTokenIssuer in SharePoint
$trust = New-SPTrustedIdentityTokenIssuer -Name "MicrosoftEntraTrust" -Description "Microsoft Entra ID" -Realm $realm -ImportTrustCertificate $signingCert -ClaimsMappings $userIdentifier, $role -SignInUrl $loginUrl -IdentifierClaim $userIdentifier.InputClaimType

Mengonfigurasi aplikasi web SharePoint

Dalam langkah ini, Anda mengonfigurasi aplikasi web di SharePoint untuk mempercayai aplikasi Microsoft Entra Enterprise yang dibuat di atas. Ada aturan penting yang perlu diingat:

• Zona default aplikasi web SharePoint harus mengaktifkan autentikasi Windows. Ini diperlukan untuk perayap Pencarian.
• URL SharePoint yang akan menggunakan autentikasi Microsoft Entra harus diatur dengan HTTPS.

1. Membuat atau memperluas aplikasi web. Artikel ini menjelaskan dua kemungkinan konfigurasi:

   • Jika Anda membuat aplikasi web baru yang menggunakan autentikasi Windows dan Microsoft Entra di zona Default:

     1. Mulai SharePoint Management Shell dan jalankan skrip berikut:

        # This script creates a new web application and sets Windows and Microsoft Entra authentication on the Default zone
        # URL of the SharePoint site federated with Microsoft Entra
        $trustedSharePointSiteUrl = "https://spsites.contoso.local/"
        $applicationPoolManagedAccount = "Contoso\spapppool"
        
        $winAp = New-SPAuthenticationProvider -UseWindowsIntegratedAuthentication -DisableKerberos:$true
        $sptrust = Get-SPTrustedIdentityTokenIssuer "MicrosoftEntraTrust"
        $trustedAp = New-SPAuthenticationProvider -TrustedIdentityTokenIssuer $sptrust    
        
        New-SPWebApplication -Name "SharePoint - Microsoft Entra" -Port 443 -SecureSocketsLayer -URL $trustedSharePointSiteUrl -ApplicationPool "SharePoint - Microsoft Entra" -ApplicationPoolAccount (Get-SPManagedAccount $applicationPoolManagedAccount) -AuthenticationProvider $winAp, $trustedAp
        

     2. Buka situs web Administrasi Pusat SharePoint.

     3. Di bawah Pengaturan Sistem, pilih Konfigurasikan Pemetaan Akses Alternatif. Kotak Koleksi Pemetaan Akses Alternatif akan terbuka.

     4. Filter tampilan dengan aplikasi web baru dan konfirmasikan bahwa Anda melihat sesuatu seperti ini:

        

   • Jika Anda memperluas aplikasi web yang ada untuk menggunakan autentikasi Microsoft Entra di zona baru:

     1. Mulai SharePoint Management Shell dan jalankan skrip berikut:

        # This script extends an existing web application to set Microsoft Entra authentication on a new zone
        # URL of the default zone of the web application
        $webAppDefaultZoneUrl = "http://spsites/"
        # URL of the SharePoint site federated with ADFS
        $trustedSharePointSiteUrl = "https://spsites.contoso.local/"
        $sptrust = Get-SPTrustedIdentityTokenIssuer "MicrosoftEntraTrust"
        $ap = New-SPAuthenticationProvider -TrustedIdentityTokenIssuer $sptrust
        $wa = Get-SPWebApplication $webAppDefaultZoneUrl
        
        New-SPWebApplicationExtension -Name "SharePoint - Microsoft Entra" -Identity $wa -SecureSocketsLayer -Zone Internet -Url $trustedSharePointSiteUrl -AuthenticationProvider $ap
        

     2. Buka situs web Administrasi Pusat SharePoint.

     3. Di bawah Pengaturan Sistem, pilih Konfigurasikan Pemetaan Akses Alternatif. Kotak Koleksi Pemetaan Akses Alternatif akan terbuka.

     4. Filter tampilan dengan aplikasi web yang diperluas dan konfirmasikan bahwa Anda melihat sesuatu seperti ini:

        

Setelah aplikasi web dibuat, Anda bisa membuat kumpulan situs akar dan menambahkan akun Windows Anda sebagai administrator kumpulan situs utama.

1. Membuat sertifikat untuk situs SharePoint

   Karena URL SharePoint menggunakan protokol HTTPS (https://spsites.contoso.local/), sertifikat harus diatur di situs web Layanan Informasi Internet (IIS) terkait. Ikuti langkah-langkah tersebut untuk menghasilkan sertifikat yang ditandatangani sendiri:

   Penting

   Sertifikat yang ditandatangani sendiri hanya cocok untuk tujuan pengujian. Di lingkungan produksi, sebaiknya Anda menggunakan sertifikat yang diterbitkan oleh otoritas sertifikat sebagai gantinya.

   1. Buka konsol Windows PowerShell.

   2. Jalankan skrip berikut untuk membuat sertifikat yang ditandatangani sendiri dan menambahkannya ke penyimpanan komputer SAYA:

      New-SelfSignedCertificate -DnsName "spsites.contoso.local" -CertStoreLocation "cert:\LocalMachine\My"
      

2. Mengatur sertifikat di situs IIS

   1. Buka konsol Manajer Layanan Informasi Internet.
   2. Perluas server dalam tampilan pohon, perluas Situs, pilih situs SharePoint - ID Microsoft Entra, dan pilih Pengikatan.
   3. Pilih pengikatan https, lalu pilih Edit.
   4. Di bidang sertifikat TLS/SSL, pilih sertifikat yang akan digunakan (misalnya, spsites.contoso.local yang dibuat di atas) dan pilih OK.

   Catatan

   Jika Anda memiliki beberapa server Web Front End, Anda perlu mengulangi operasi ini pada masing-masing server.

Konfigurasi dasar kepercayaan antara SharePoint dan ID Microsoft Entra sekarang selesai. Mari kita lihat cara masuk ke situs SharePoint sebagai pengguna Microsoft Entra.

Masuk sebagai pengguna anggota

MICROSOFT Entra ID memiliki dua jenis pengguna: Pengguna tamu dan pengguna Anggota. Kita mulai dengan pengguna anggota, yang hanya merupakan pengguna yang ditempatkan di organisasi Anda.

Membuat pengguna anggota di ID Microsoft Entra

1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Pengguna.
2. Telusuri ke Pengguna>Identitas>Semua pengguna.
3. Pilih Pengguna>baru Buat pengguna baru, di bagian atas layar.
4. Di properti Pengguna, ikuti langkah-langkah berikut:
   1. Di bidang Nama tampilan, masukkan B.Simon.
   2. Di bidang Nama prinsipal pengguna, masukkan username@companydomain.extension. Contohnya:B.Simon@contoso.com
   3. Pilih kotak centang Tampilkan kata sandi, lalu tulis nilai yang ditampilkan di kotak Kata sandi.
   4. Pilih Tinjau + buat.
5. Pilih Buat.
6. Anda dapat berbagi situs dengan pengguna ini dan mengizinkan akses ke situs tersebut.

Memberikan izin kepada pengguna Microsoft Entra di SharePoint

Masuk ke kumpulan situs akar SharePoint sebagai akun Windows Anda (administrator kumpulan situs) dan klik Bagikan.
Dalam dialog, Anda perlu mengetikkan nilai yang tepat dari userprincipalname, misalnya AzureUser1@demo1984.onmicrosoft.com, dan berhati-hatilah untuk memilih hasil klaim nama (gerakkan mouse Anda pada hasil untuk melihat jenis klaimnya)

Penting

Berhati-hatilah untuk mengetikkan nilai pasti pengguna yang ingin Anda undang, dan pilih jenis klaim yang sesuai dalam daftar. Jika tidak, berbagi tidak akan berfungsi.

Pembatasan ini karena SharePoint tidak memvalidasi input dari people picker, yang bisa membingungkan dan menyebabkan kesalahan ejaan atau pengguna secara tidak sengaja memilih jenis klaim yang salah.
Untuk memperbaiki skenario ini, solusi sumber terbuka yang disebut EntraCP dapat digunakan untuk menyambungkan SharePoint 2019 / 2016 / 2013 dengan ID Microsoft Entra dan menyelesaikan input terhadap penyewa Microsoft Entra Anda. Untuk informasi selengkapnya, lihat EntraCP.

Di bawah ini adalah pencarian yang sama dengan EntraCP yang dikonfigurasi: SharePoint mengembalikan pengguna aktual berdasarkan input:

Penting

EntraCP bukan produk Microsoft dan tidak didukung oleh Dukungan Microsoft. Untuk mengunduh, menginstal, dan mengonfigurasi EntraCP di farm SharePoint lokal, lihat situs web EntraCP .

Pengguna AzureUser1@demo1984.onmicrosoft.com Microsoft Entra sekarang dapat menggunakan identitasnya untuk masuk ke situs https://spsites.contoso.local/SharePoint .

Memberikan izin akses ke kelompok keamanan

Menambahkan jenis klaim grup ke aplikasi perusahaan

1. Dalam Gambaran Umum aplikasi Enterprise SharePoint corporate farm, pilih 2. Siapkan akses menyeluruh.

2. Di bagian Atribut & Klaim Pengguna, ikuti langkah-langkah ini jika tidak ada klaim grup:

   1. Pilih Tambahkan klaim grup, pilih Kelompok keamanan, pastikan bahwa Atribut Sumber diset ke ID Grup
   2. Centang Kustomisasi nama klaim grup, lalu centang Keluarkan grup sebagai klaim peran dan klik Simpan.
   3. Sekarang bagian Atribut & Klaim Pengguna terlihat seperti ini:

   

Membuat grup keamanan di ID Microsoft Entra

Mari kita buat grup keamanan.

1. Telusuri ke Grup Identitas>.

2. Pilih Grup baru.

3. Isi Jenis grup (Keamanan), Nama grup (misalnya, AzureGroup1), dan Jenis keanggotaan. Tambahkan pengguna yang Anda buat di atas sebagai anggota dan klik pilih Buat:

   

Memberikan izin akses ke kelompok keamanan di SharePoint

Grup keamanan Microsoft Entra diidentifikasi dengan atributnya Id, yang merupakan GUID (misalnya, E89EF0A3-46CC-45BF-93A4-E078FCEBFC45).
Tanpa penyedia klaim kustom, pengguna perlu mengetikkan nilai pasti (Id) grup di people picker, dan memilih jenis klaim yang sesuai. Proses ini tidak ramah pengguna dan tidak dapat diandalkan.
Untuk menghindari hal ini, artikel ini menggunakan penyedia klaim pihak ketiga EntraCP untuk menemukan grup dengan cara yang ramah di SharePoint:

Mengelola akses pengguna Tamu

Ada dua jenis akun tamu:

• Akun tamu B2B: Pengguna tersebut berada di penyewa Microsoft Entra eksternal
• Akun tamu MSA: Pengguna tersebut berada di penyedia identifikasi Microsoft (Hotmail, Outlook), atau penyedia akun sosial (Google atau sejenisnya)

Secara default, ID Microsoft Entra menetapkan "Pengidentifikasi Pengguna Unik" dan "nama" klaim ke atribut user.userprincipalname.
Sayangnya, atribut ini ambigu untuk akun tamu, seperti yang ditunjukkan oleh tabel di bawah ini:

Atribut sumber diatur dalam ID Microsoft Entra	Properti aktual yang digunakan oleh MICROSOFT Entra ID untuk tamu B2B	Properti aktual yang digunakan oleh MICROSOFT Entra ID untuk tamu MSA	Properti yang bisa diandalkan SharePoint untuk memvalidasi identitas
user.userprincipalname	mail, misalnya: guest@PARTNERTENANT	userprincipalname, misalnya: guest_outlook.com#EXT#@TENANT.onmicrosoft.com	ambigu
user.localuserprincipalname	userprincipalname, misalnya: guest_PARTNERTENANT#EXT#@TENANT.onmicrosoft.com	userprincipalname, misalnya: guest_outlook.com#EXT#@TENANT.onmicrosoft.com	userprincipalname

Sebagai kesimpulan, untuk memastikan bahwa semua akun tamu diidentifikasi dengan atribut yang sama, klaim pengidentifikasi aplikasi perusahaan harus diperbarui untuk menggunakan atribut, user.localuserprincipalname instead of user.userprincipalname.

Perbarui aplikasi untuk menggunakan atribut yang konsisten untuk semua pengguna tamu

1. Dalam Gambaran Umum aplikasi Enterprise SharePoint corporate farm, pilih 2. Siapkan akses menyeluruh.

2. Pada halaman Siapkan SSO dengan SAML, pilih ikon Edit di panel Atribut & Klaim Pengguna.

3. Di bagian Atribut & Klaim Pengguna, ikuti langkah-langkah berikut:

   1. Pilih Pengidentifikasi Pengguna Unik (ID Nama), ubah properti Atribut Sumbernya menjadi user.localuserprincipalname, dan klik Simpan.

   2. Pilih http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name, ubah properti Atribut Sumbernya menjadi user.localuserprincipalname, dan klik Simpan.

   3. Sekarang bagian Atribut & Klaim Pengguna terlihat seperti ini:

   

Mengundang pengguna tamu di SharePoint

Catatan

Bagian ini mengasumsikan bahwa penyedia klaim EntraCP digunakan

Pada bagian di atas, Anda memperbarui aplikasi perusahaan untuk menggunakan atribut yang konsisten untuk semua akun tamu.
Sekarang, konfigurasi EntraCP perlu diperbarui untuk mencerminkan perubahan tersebut dan menggunakan atribut userprincipalname untuk akun tamu:

1. Buka situs web Administrasi Pusat SharePoint.
2. Di bawah Keamanan, pilih Konfigurasi global EntraCP.
3. Di bagian Properti pengidentifikasi pengguna: Set Pengidentifikasi Pengguna untuk pengguna 'Tamu': ke UserPrincipalName.
4. Klik Ok

Sekarang Anda dapat mengundang setiap pengguna tamu di situs SharePoint.

Mengonfigurasi federasi untuk beberapa aplikasi web

Konfigurasi ini berfungsi untuk satu aplikasi web, tetapi konfigurasi tambahan diperlukan jika Anda ingin menggunakan IdP tepercaya yang sama untuk beberapa aplikasi web. Misalnya, asumsikan Anda memiliki aplikasi https://otherwebapp.contoso.local/ web terpisah dan sekarang Anda ingin mengaktifkan autentikasi Microsoft Entra di atasnya. Untuk melakukan ini, konfigurasikan SharePoint untuk meneruskan parameter SAML WReply, dan tambahkan URL di aplikasi perusahaan.

Mengonfigurasi SharePoint untuk meneruskan parameter SAML WReply

1. Di server SharePoint, buka SharePoint 201x Management Shell dan jalankan perintah berikut ini. Gunakan nama pengeluar token identitas tepercaya yang Anda gunakan sebelumnya.

$t = Get-SPTrustedIdentityTokenIssuer "MicrosoftEntraTrust"
$t.UseWReplyParameter = $true
$t.Update()

Menambahkan URL di aplikasi perusahaan

1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Aplikasi Cloud.

2. Telusuri aplikasi >Identity>Applications>Enterprise Pilih aplikasi perusahaan yang dibuat sebelumnya, dan pilih Akses menyeluruh.

3. Pada halaman Siapkan SSO dengan SAML, edit Konfigurasi SAML Dasar.

4. Di bagian URL Balasan (URL Layanan Konsumen Pernyataan), tambahkan URL (misalnya, https://otherwebapp.contoso.local/) dari semua aplikasi web tambahan yang perlu memasukkan pengguna dengan ID Microsoft Entra dan klik Simpan.

Mengonfigurasi masa pakai token keamanan

Secara default, MICROSOFT Entra ID membuat token SAML yang valid selama 1 jam, yang tidak dapat dikustomisasi dalam portal Azure atau menggunakan kebijakan Akses Bersyarkat.
Namun, dimungkinkan untuk membuat kebijakan seumur hidup token kustom, dan menetapkannya ke aplikasi perusahaan yang Anda buat untuk SharePoint Server.
Anda dapat menjalankan skrip di bawah ini untuk mencapai hal ini:

Install-Module Microsoft.Graph
Connect-MgGraph -Scopes "Policy.ReadWrite.ApplicationConfiguration","Policy.Read.All","Application.ReadWrite.All"

$appDisplayName = "SharePoint corporate farm"
$sp = Get-MgServicePrincipal -Search DisplayName:"$appDisplayName" -ConsistencyLevel eventual

$oldPolicy = Get-MgServicePrincipalTokenLifetimePolicy -ServicePrincipalId $sp.Id
if ($null -ne $oldPolicy) {
	# There can be only 1 TokenLifetimePolicy associated to the service principal (or 0, as by default)
    Remove-MgServicePrincipalAppManagementPolicy -AppManagementPolicyId $oldPolicy.Id -ServicePrincipalId $sp.Id
}

# Get / create a custom token lifetime policy
$policyDisplayName = "WebPolicyScenario"
$policy = Get-MgPolicyTokenLifetimePolicy -Filter "DisplayName eq '$policyDisplayName'"
if ($null -eq $policy) {
	$params = @{
		Definition = @('{"TokenLifetimePolicy":{"Version":1,"AccessTokenLifetime":"4:00:00"}}') 
		DisplayName = $policyDisplayName
		IsOrganizationDefault = $false
	}
	$policy = New-MgPolicyTokenLifetimePolicy -BodyParameter $params
}

# Assign the token lifetime policy to an app
$body = @{
	"@odata.id" = "https://graph.microsoft.com/v1.0/policies/tokenLifetimePolicies/$($policy.Id)"
}
Invoke-GraphRequest -Uri ('https://graph.microsoft.com/v1.0/servicePrincipals/{0}/tokenLifetimePolicies/$ref' -f $sp.Id) -Method POST -Body $body