Samouczek: implementowanie uwierzytelniania federacyjnego między identyfikatorem Entra firmy Microsoft i lokalnym programem SharePoint

  • Artykuł

Opis scenariusza

W tym samouczku skonfigurujesz uwierzytelnianie federacyjne między identyfikatorem Microsoft Entra ID i lokalnym programem SharePoint. Celem jest umożliwienie użytkownikom logowania się w usłudze Microsoft Entra ID i używanie ich tożsamości do uzyskiwania dostępu do witryn lokalnych programu SharePoint.

Wymagania wstępne

Do wykonania konfiguracji potrzebne są następujące zasoby:

  • Dzierżawa firmy Microsoft Entra. Jeśli nie masz, możesz utworzyć bezpłatne konto.
  • Farma programu SharePoint 2013 lub nowsza.

W tym artykule są używane następujące wartości:

  • Nazwa aplikacji przedsiębiorstwa (w identyfikatorze Microsoft Entra): SharePoint corporate farm
  • Identyfikator zaufania (w identyfikatorze Entra firmy Microsoft) / obszarze (w programie SharePoint): urn:sharepoint:federation
  • loginUrl (do identyfikatora Entra firmy Microsoft): https://login.microsoftonline.com/dc38a67a-f981-4e24-ba16-4443ada44484/wsfed
  • Adres URL witryny programu SharePoint: https://spsites.contoso.local/
  • Adres URL odpowiedzi witryny programu SharePoint: https://spsites.contoso.local/_trust/
  • Nazwa konfiguracji zaufania programu SharePoint: MicrosoftEntraTrust
  • UserPrincipalName użytkownika testowego firmy Microsoft Entra: AzureUser1@demo1984.onmicrosoft.com

Konfigurowanie aplikacji dla przedsiębiorstw w identyfikatorze Entra firmy Microsoft

Aby skonfigurować federację w usłudze Microsoft Entra ID, należy utworzyć dedykowaną aplikację dla przedsiębiorstw. Jego konfiguracja jest uproszczona przy użyciu wstępnie skonfigurowanego szablonu SharePoint on-premises , który można znaleźć w galerii aplikacji.

Tworzenie aplikacji dla przedsiębiorstw

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji w chmurze.
  2. Przejdź do sekcji Identity Applications Enterprise applications>New application (Aplikacje dla przedsiębiorstw w aplikacji> dla>przedsiębiorstw).
  3. W polu wyszukiwania wprowadź lokalnie program SharePoint. Wybierz pozycję Lokalny program SharePoint w okienku wyników.
  4. Określ nazwę aplikacji (w tym samouczku jest SharePoint corporate farmto ), a następnie kliknij przycisk Utwórz , aby dodać aplikację.
  5. W nowej aplikacji dla przedsiębiorstw wybierz pozycję Właściwości i sprawdź wartość wymaganego przypisania użytkownika?. W tym scenariuszu ustaw jego wartość na Nie , a następnie kliknij przycisk Zapisz.

Konfigurowanie aplikacji dla przedsiębiorstw

W tej sekcji skonfigurujesz uwierzytelnianie SAML i zdefiniujesz oświadczenia, które zostaną wysłane do programu SharePoint po pomyślnym uwierzytelnieniu.

  1. W obszarze Przegląd aplikacji SharePoint corporate farmdla przedsiębiorstw wybierz pozycję 2. Skonfiguruj logowanie jednokrotne i wybierz protokół SAML w następnym oknie dialogowym.

  2. Na stronie Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML wybierz ikonę Edytuj w okienku Podstawowa konfiguracja protokołu SAML.

  3. W sekcji Podstawowa konfiguracja protokołu SAML wykonaj następujące kroki:

    1. W polu Identyfikator upewnij się, że ta wartość jest obecna: urn:sharepoint:federation.

    2. W polu Adres URL odpowiedzi wprowadź adres URL przy użyciu następującego wzorca: https://spsites.contoso.local/_trust/.

    3. W polu Adres URL logowania wprowadź adres URL przy użyciu następującego wzorca: https://spsites.contoso.local/.

    4. Wybierz pozycję Zapisz.

  4. W sekcji Atrybuty użytkownika i oświadczenia usuń następujące typy oświadczeń, które są bezużyteczne, ponieważ nie będą używane przez program SharePoint do udzielania uprawnień:

    • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
    • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname
    • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname

  5. Ustawienia powinny teraz wyglądać następująco:

    Basic SAML settings

  6. Skopiuj informacje potrzebne później w programie SharePoint:

    • W sekcji Certyfikat podpisywania SAML pobierzcertyfikat (Base64). Jest to klucz publiczny certyfikatu podpisywania używanego przez firmę Microsoft Entra ID do podpisywania tokenu SAML. Program SharePoint będzie musiał zweryfikować integralność przychodzących tokenów SAML.

    • W sekcji Konfigurowanie farmy firmowej programu SharePoint skopiuj adres URL logowania w Notatniku i zastąp ciąg końcowy /saml2 ciągiem /wsfed.

    Ważne

    Pamiętaj, aby zastąpić /saml2 /wsfed, aby upewnić się, że identyfikator Entra firmy Microsoft wystawia token SAML 1.1 zgodnie z wymaganiami programu SharePoint.

    • W sekcji Konfigurowanie farmy firmowej programu SharePoint skopiuj adres URL wylogowywania

Konfigurowanie programu SharePoint w celu zaufania identyfikatorowi entra firmy Microsoft

Tworzenie zaufania w programie SharePoint

W tym kroku utworzysz element SPTrustedLoginProvider w celu przechowywania konfiguracji, której program SharePoint musi ufać identyfikatorowi Entra firmy Microsoft. W tym celu potrzebne są informacje z identyfikatora Entra firmy Microsoft skopiowanego powyżej. Uruchom powłokę zarządzania programu SharePoint i uruchom następujący skrypt, aby go utworzyć:

# Path to the public key of the Microsoft Entra SAML signing certificate (self-signed), downloaded from the Enterprise application in the Azure portal
$signingCert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("C:\Microsoft Entra app\SharePoint corporate farm.cer")
# Unique realm (corresponds to the "Identifier (Entity ID)" in the Microsoft Entra enterprise application)
$realm = "urn:sharepoint:federation"
# Login URL copied from the Microsoft Entra enterprise application. Make sure to replace "saml2" with "wsfed" at the end of the URL:
$loginUrl = "https://login.microsoftonline.com/dc38a67a-f981-4e24-ba16-4443ada44484/wsfed"

# Define the claim types used for the authorization
$userIdentifier = New-SPClaimTypeMapping -IncomingClaimType "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name" -IncomingClaimTypeDisplayName "name" -LocalClaimType "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"
$role = New-SPClaimTypeMapping "http://schemas.microsoft.com/ws/2008/06/identity/claims/role" -IncomingClaimTypeDisplayName "Role" -SameAsIncoming

# Let SharePoint trust the Microsoft Entra signing certificate
New-SPTrustedRootAuthority -Name "Microsoft Entra signing certificate" -Certificate $signingCert

# Create a new SPTrustedIdentityTokenIssuer in SharePoint
$trust = New-SPTrustedIdentityTokenIssuer -Name "MicrosoftEntraTrust" -Description "Microsoft Entra ID" -Realm $realm -ImportTrustCertificate $signingCert -ClaimsMappings $userIdentifier, $role -SignInUrl $loginUrl -IdentifierClaim $userIdentifier.InputClaimType

Konfigurowanie aplikacji internetowej programu SharePoint

W tym kroku skonfigurujesz aplikację internetową w programie SharePoint tak, aby ufała aplikacji Microsoft Entra Enterprise utworzonej powyżej. Należy pamiętać o ważnych regułach:

  • Domyślna strefa aplikacji internetowej programu SharePoint musi mieć włączone uwierzytelnianie systemu Windows. Jest to wymagane dla przeszukiwarki wyszukiwania.
  • Adres URL programu SharePoint, który będzie używać uwierzytelniania entra firmy Microsoft, musi być ustawiony przy użyciu protokołu HTTPS.

  1. Utwórz lub rozszerz aplikację internetową. W tym artykule opisano dwie możliwe konfiguracje:

    • Jeśli tworzysz nową aplikację internetową, która używa uwierzytelniania zarówno systemu Windows, jak i firmy Microsoft Entra w strefie domyślnej:

      1. Uruchom powłokę zarządzania programu SharePoint i uruchom następujący skrypt:

        # This script creates a new web application and sets Windows and Microsoft Entra authentication on the Default zone
# URL of the SharePoint site federated with Microsoft Entra
$trustedSharePointSiteUrl = "https://spsites.contoso.local/"
$applicationPoolManagedAccount = "Contoso\spapppool"

$winAp = New-SPAuthenticationProvider -UseWindowsIntegratedAuthentication -DisableKerberos:$true
$sptrust = Get-SPTrustedIdentityTokenIssuer "MicrosoftEntraTrust"
$trustedAp = New-SPAuthenticationProvider -TrustedIdentityTokenIssuer $sptrust    

New-SPWebApplication -Name "SharePoint - Microsoft Entra" -Port 443 -SecureSocketsLayer -URL $trustedSharePointSiteUrl -ApplicationPool "SharePoint - Microsoft Entra" -ApplicationPoolAccount (Get-SPManagedAccount $applicationPoolManagedAccount) -AuthenticationProvider $winAp, $trustedAp

      2. Otwórz witrynę Administracja istration programu SharePoint Central.

      3. W obszarze System Ustawienia wybierz pozycję Konfiguruj mapowania dostępu alternatywnego. Zostanie otwarte pole Kolekcja mapowania dostępu alternatywnego.

      4. Przefiltruj ekran przy użyciu nowej aplikacji internetowej i upewnij się, że zobaczysz zawartość podobną do następującej:

        Alternate Access Mappings of web application

    • Jeśli rozszerzysz istniejącą aplikację internetową tak, aby korzystała z uwierzytelniania firmy Microsoft Entra w nowej strefie:

      1. Uruchom powłokę zarządzania programu SharePoint i uruchom następujący skrypt:

        # This script extends an existing web application to set Microsoft Entra authentication on a new zone
# URL of the default zone of the web application
$webAppDefaultZoneUrl = "http://spsites/"
# URL of the SharePoint site federated with ADFS
$trustedSharePointSiteUrl = "https://spsites.contoso.local/"
$sptrust = Get-SPTrustedIdentityTokenIssuer "MicrosoftEntraTrust"
$ap = New-SPAuthenticationProvider -TrustedIdentityTokenIssuer $sptrust
$wa = Get-SPWebApplication $webAppDefaultZoneUrl

New-SPWebApplicationExtension -Name "SharePoint - Microsoft Entra" -Identity $wa -SecureSocketsLayer -Zone Internet -Url $trustedSharePointSiteUrl -AuthenticationProvider $ap

      2. Otwórz witrynę Administracja istration programu SharePoint Central.

      3. W obszarze System Ustawienia wybierz pozycję Konfiguruj mapowania dostępu alternatywnego. Zostanie otwarte pole Kolekcja mapowania dostępu alternatywnego.

      4. Przefiltruj ekran przy użyciu rozszerzonej aplikacji internetowej i upewnij się, że zobaczysz zawartość podobną do następującej:

        Alternate Access Mappings of extended web application

Po utworzeniu aplikacji internetowej możesz utworzyć główny zbiór witryn i dodać konto systemu Windows jako administratora głównego zbioru witryn.

  1. Tworzenie certyfikatu dla witryny programu SharePoint

    Ponieważ adres URL programu SharePoint używa protokołu HTTPS (https://spsites.contoso.local/), należy ustawić certyfikat w odpowiedniej witrynie usług Internet Information Services (IIS). Wykonaj następujące kroki, aby wygenerować certyfikat z podpisem własnym:

    Ważne

    Certyfikaty z podpisem własnym są odpowiednie tylko do celów testowych. W środowiskach produkcyjnych zdecydowanie zalecamy użycie certyfikatów wystawionych przez urząd certyfikacji.

    1. Otwórz konsolę programu Windows PowerShell.

    2. Uruchom następujący skrypt, aby wygenerować certyfikat z podpisem własnym i dodać go do magazynu MY komputera:

      New-SelfSignedCertificate -DnsName "spsites.contoso.local" -CertStoreLocation "cert:\LocalMachine\My"

  2. Ustawianie certyfikatu w witrynie usług IIS

    1. Otwórz konsolę Internet Information Services Manager.
    2. Rozwiń serwer w widoku drzewa, rozwiń węzeł Witryny, wybierz witrynę SharePoint — Microsoft Entra ID i wybierz pozycję Powiązania.
    3. Wybierz pozycję Powiązanie https, a następnie wybierz pozycję Edytuj.
    4. W polu Certyfikat TLS/SSL wybierz certyfikat do użycia (na przykład spsites.contoso.local utworzony powyżej) i wybierz przycisk OK.

    Uwaga

    Jeśli masz wiele serwerów frontonu sieci Web, musisz powtórzyć tę operację na każdym z nich.

Podstawowa konfiguracja zaufania między programem SharePoint i identyfikatorem Entra firmy Microsoft została zakończona. Zobaczmy, jak zalogować się do witryny programu SharePoint jako użytkownik Firmy Microsoft Entra.

Zaloguj się jako użytkownik członkowski

Identyfikator Entra firmy Microsoft ma dwa typy użytkowników: użytkowników-gości i użytkowników członkowskich. Zacznijmy od użytkownika członkowskiego, który jest tylko użytkownikiem, który znajduje się w organizacji.

Tworzenie użytkownika członkowskiego w identyfikatorze Entra firmy Microsoft

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako użytkownik Administracja istrator.
  2. Przejdź do pozycji Użytkownicy tożsamości>>Wszyscy użytkownicy.
  3. Wybierz pozycję Nowy użytkownik Utwórz nowego użytkownika> w górnej części ekranu.
  4. We właściwościach użytkownika wykonaj następujące kroki:
    1. W polu Nazwa wyświetlana wprowadź wartość B.Simon.
    2. W polu Główna nazwa użytkownika wprowadź username@companydomain.extensionwartość . Na przykład B.Simon@contoso.com.
    3. Zaznacz pole wyboru Pokaż hasło i zanotuj wartość wyświetlaną w polu Hasło.
    4. Wybierz pozycję Przejrzyj i utwórz.
  5. Wybierz pozycję Utwórz.
  6. Możesz udostępnić witrynę temu użytkownikowi i zezwolić na dostęp do niej.

Udzielanie uprawnień użytkownikowi Microsoft Entra w programie SharePoint

Zaloguj się do głównego zbioru witryn programu SharePoint jako konto systemu Windows (administrator zbioru witryn) i kliknij pozycję Udostępnij.
W oknie dialogowym należy wpisać dokładną wartość userprincipalname, na przykład AzureUser1@demo1984.onmicrosoft.com, i zachować ostrożność, aby wybrać wynik oświadczenia nazwy (przenieś wskaźnik myszy na wynik, aby zobaczyć jego typ oświadczenia)

Ważne

Należy zachować ostrożność, aby wpisać dokładną wartość użytkownika, którego chcesz zaprosić, i wybrać odpowiedni typ oświadczenia na liście. W przeciwnym razie udostępnianie nie będzie działać.

Screenshot of people picker results without EntraCP.

To ograniczenie jest spowodowane tym, że program SharePoint nie weryfikuje danych wejściowych z selektora osób, co może być mylące i prowadzi do błędnych pisowni lub użytkowników przypadkowo wybierając niewłaściwy typ oświadczenia.
Aby rozwiązać ten scenariusz, rozwiązanie typu open source o nazwie EntraCP może służyć do łączenia programu SharePoint 2019 / 2016 / 2013 z identyfikatorem Entra firmy Microsoft i rozpoznawania danych wejściowych względem dzierżawy firmy Microsoft Entra. Aby uzyskać więcej informacji, zobacz EntraCP.

Poniżej znajduje się to samo wyszukiwanie ze skonfigurowanym programem EntraCP: program SharePoint zwraca rzeczywistych użytkowników na podstawie danych wejściowych:

Screenshot of people picker results with EntraCP.

Ważne

EntraCP nie jest produktem firmy Microsoft i nie jest obsługiwany przez pomoc techniczna firmy Microsoft. Aby pobrać, zainstalować i skonfigurować aplikację EntraCP w lokalnej farmie programu SharePoint, zobacz witrynę internetową EntraCP .

Użytkownik AzureUser1@demo1984.onmicrosoft.com firmy Microsoft Entra może teraz zalogować się do witryny https://spsites.contoso.local/programu SharePoint przy użyciu swojej tożsamości.

Udzielanie uprawnień grupie zabezpieczeń

Dodawanie typu oświadczenia grupy do aplikacji dla przedsiębiorstw

  1. W obszarze Przegląd aplikacji SharePoint corporate farmdla przedsiębiorstw wybierz pozycję 2. Konfigurowanie logowania jednokrotnego.

  2. W sekcji Atrybuty użytkownika i oświadczenia wykonaj następujące kroki, jeśli nie ma oświadczenia grupy:

    1. Wybierz pozycję Dodaj oświadczenie grupy, wybierz pozycję Grupy zabezpieczeń, upewnij się, że atrybut źródłowy jest ustawiony na identyfikator grupy
    2. Zaznacz pole Wyboru Dostosuj nazwę oświadczenia grupy, a następnie zaznacz pole Emituj grupy jako oświadczenia roli i kliknij przycisk Zapisz.
    3. Atrybuty użytkownika i oświadczenia powinny wyglądać następująco:

    Claims for users and group

Tworzenie grupy zabezpieczeń w usłudze Microsoft Entra ID

Utwórzmy grupę zabezpieczeń.

  1. Przejdź do pozycji Grupy tożsamości>.

  2. Wybierz pozycję Nowa grupa.

  3. Wypełnij pola Typ grupy (Zabezpieczenia), Nazwa grupy (na przykład AzureGroup1) i Typ członkostwa. Dodaj utworzonego powyżej użytkownika jako członka i kliknij pozycję Utwórz:

    Create a Microsoft Entra security group

Udzielanie uprawnień grupie zabezpieczeń w programie SharePoint

Grupy zabezpieczeń firmy Microsoft Entra są identyfikowane z ich atrybutem Id, który jest identyfikatorem GUID (na przykład E89EF0A3-46CC-45BF-93A4-E078FCEBFC45).
Bez niestandardowego dostawcy oświadczeń użytkownicy muszą wpisać dokładną wartość (Id) grupy w selektorze osób i wybrać odpowiedni typ oświadczenia. Nie jest to przyjazne dla użytkownika ani niezawodne.
Aby tego uniknąć, w tym artykule użyto dostawcy oświadczeń innych firm EntraCP , aby znaleźć grupę w przyjazny sposób w programie SharePoint:

People picker search Microsoft Entra group

Zarządzanie dostępem użytkowników-gości

Istnieją dwa typy kont gości:

  • Konta gości B2B: ci użytkownicy znajdują się w zewnętrznej dzierżawie firmy Microsoft Entra
  • Konta gości MSA: ci użytkownicy są homed w dostawcy identyfikacji firmy Microsoft (Hotmail, Outlook) lub dostawcy konta społecznościowego (Google lub podobne)

Domyślnie identyfikator Entra firmy Microsoft ustawia zarówno "unikatowy identyfikator użytkownika", jak i oświadczenie "name" na atrybut user.userprincipalname.
Niestety ten atrybut jest niejednoznaczny dla kont gości, jak pokazano w poniższej tabeli:

Zestaw atrybutów źródłowych w identyfikatorze Entra firmy Microsoft Rzeczywista właściwość używana przez identyfikator Entra firmy Microsoft dla gości B2B Rzeczywista właściwość używana przez identyfikator Entra firmy Microsoft dla gości MSA Właściwość, na której program SharePoint może polegać w celu zweryfikowania tożsamości
user.userprincipalname mail, na przykład: guest@PARTNERTENANT userprincipalname, na przykład: guest_outlook.com#EXT#@TENANT.onmicrosoft.com Niejednoznaczny
user.localuserprincipalname userprincipalname, na przykład: guest_PARTNERTENANT#EXT#@TENANT.onmicrosoft.com userprincipalname, na przykład: guest_outlook.com#EXT#@TENANT.onmicrosoft.com userprincipalname

Podsumowując, aby upewnić się, że wszystkie konta gości są identyfikowane z tym samym atrybutem, oświadczenia identyfikatora aplikacji dla przedsiębiorstw powinny zostać zaktualizowane, aby użyć atrybutu user.localuserprincipalname zamiast user.userprincipalname.

Zaktualizuj aplikację, aby używała spójnego atrybutu dla wszystkich użytkowników-gości

  1. W obszarze Przegląd aplikacji SharePoint corporate farmdla przedsiębiorstw wybierz pozycję 2. Konfigurowanie logowania jednokrotnego.

  2. Na stronie Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML wybierz ikonę Edytuj w okienku Atrybuty użytkownika i oświadczenia.

  3. W sekcji Atrybuty użytkownika i oświadczenia wykonaj następujące kroki:

    1. Wybierz pozycję Unikatowy identyfikator użytkownika (identyfikator nazwy), zmień jego właściwość atrybutu źródłowego na user.localuserprincipalname, a następnie kliknij przycisk Zapisz.

    2. Wybierz http://schemas.xmlsoap.org/ws/2005/05/identity/claims/namepozycję , zmień jej właściwość Atrybut źródłowy na user.localuserprincipalname, a następnie kliknij przycisk Zapisz.

    3. Atrybuty użytkownika i oświadczenia powinny wyglądać następująco:

    User Attributes & Claims for Guests

Zapraszanie użytkowników-gości w programie SharePoint

Uwaga

W tej sekcji założono, że jest używany dostawca oświadczeń EntraCP

W powyższej sekcji zaktualizowano aplikację dla przedsiębiorstw, aby używała spójnego atrybutu dla wszystkich kont gości.
Teraz należy zaktualizować konfigurację programu EntraCP, aby odzwierciedlić zmianę i użyć atrybutu userprincipalname dla kont gości:

  1. Otwórz witrynę Administracja istration programu SharePoint Central.
  2. W obszarze Zabezpieczenia wybierz pozycję Konfiguracja globalna EntraCP.
  3. W sekcji Właściwość Identyfikator użytkownika: Ustaw identyfikator użytkownika dla użytkowników-gości: na UserPrincipalName.
  4. Kliknij przycisk OK.

Screenshot of EntraCP guests accounts configuration.

Teraz możesz zaprosić dowolnego użytkownika-gościa w witrynach programu SharePoint.

Konfigurowanie federacji dla wielu aplikacji internetowych

Konfiguracja działa w przypadku pojedynczej aplikacji internetowej, ale wymagana jest dodatkowa konfiguracja, jeśli zamierzasz używać tego samego zaufanego dostawcy tożsamości dla wielu aplikacji internetowych. Załóżmy na przykład, że masz oddzielną aplikację https://otherwebapp.contoso.local/ internetową i chcesz teraz włączyć uwierzytelnianie firmy Microsoft Entra. W tym celu skonfiguruj program SharePoint, aby przekazać parametr SAML WReply i dodać adresy URL w aplikacji dla przedsiębiorstw.

Konfigurowanie programu SharePoint w celu przekazania parametru SAML WReply

  1. Na serwerze SharePoint otwórz powłokę zarządzania programu SharePoint 201x i uruchom następujące polecenia. Użyj tej samej nazwy dla wystawcy zaufanego tokenu tożsamości, który był wcześniej używany.
$t = Get-SPTrustedIdentityTokenIssuer "MicrosoftEntraTrust"
$t.UseWReplyParameter = $true
$t.Update()

Dodawanie adresów URL w aplikacji dla przedsiębiorstw

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji w chmurze.

  2. Przejdź do pozycji> Aplikacje dla przedsiębiorstw tożsamości>>Wybierz wcześniej utworzoną aplikację dla przedsiębiorstw i wybierz pozycję Logowanie jednokrotne.

  3. Na stronie Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML edytuj podstawową konfigurację protokołu SAML.

  4. W sekcji Adres URL odpowiedzi (adres URL usługi Assertion Consumer Service) dodaj adres URL (na przykład https://otherwebapp.contoso.local/) wszystkich dodatkowych aplikacji internetowych, które muszą logować użytkowników przy użyciu identyfikatora Entra firmy Microsoft, a następnie kliknij przycisk Zapisz.

Specify additional web applications

Konfigurowanie okresu istnienia tokenu zabezpieczającego

Domyślnie identyfikator Entra firmy Microsoft tworzy token SAML ważny przez 1 godzinę, którego nie można dostosować w witrynie Azure Portal ani przy użyciu zasad dostępu warunkowego.
Można jednak utworzyć niestandardowe zasady okresu istnienia tokenu i przypisać je do aplikacji dla przedsiębiorstw utworzonej dla programu SharePoint Server.
Aby to osiągnąć, możesz uruchomić poniższy skrypt:

Install-Module Microsoft.Graph
Connect-MgGraph -Scopes "Policy.ReadWrite.ApplicationConfiguration","Policy.Read.All","Application.ReadWrite.All"

$appDisplayName = "SharePoint corporate farm"
$sp = Get-MgServicePrincipal -Search DisplayName:"$appDisplayName" -ConsistencyLevel eventual

$oldPolicy = Get-MgServicePrincipalTokenLifetimePolicy -ServicePrincipalId $sp.Id
if ($null -ne $oldPolicy) {
	# There can be only 1 TokenLifetimePolicy associated to the service principal (or 0, as by default)
    Remove-MgServicePrincipalAppManagementPolicy -AppManagementPolicyId $oldPolicy.Id -ServicePrincipalId $sp.Id
}

# Get / create a custom token lifetime policy
$policyDisplayName = "WebPolicyScenario"
$policy = Get-MgPolicyTokenLifetimePolicy -Filter "DisplayName eq '$policyDisplayName'"
if ($null -eq $policy) {
	$params = @{
		Definition = @('{"TokenLifetimePolicy":{"Version":1,"AccessTokenLifetime":"4:00:00"}}') 
		DisplayName = $policyDisplayName
		IsOrganizationDefault = $false
	}
	$policy = New-MgPolicyTokenLifetimePolicy -BodyParameter $params
}

# Assign the token lifetime policy to an app
$body = @{
	"@odata.id" = "https://graph.microsoft.com/v1.0/policies/tokenLifetimePolicies/$($policy.Id)"
}
Invoke-GraphRequest -Uri ('https://graph.microsoft.com/v1.0/servicePrincipals/{0}/tokenLifetimePolicies/$ref' -f $sp.Id) -Method POST -Body $body