Migrar da autenticação de modo clássico para a autenticação baseada em declarações SharePoint 2013

APLICA-SE A:2013 2019 Subscription Edition SharePoint no Microsoft 365

Autenticação baseada em declarações é um componente essencial para habilitar as funcionalidades avançadas do SharePoint 2013. Para mover aplicativos web de modo classico do Produtos do SharePoint 2010 para o SharePoint 2013, você pode convertê-los a aplicativos web baseados em declarações dentro do Produtos do SharePoint 2010 e então migrá-los para SharePoint 2013. Os procedimentos neste artigo ilustram vários cenários suportados.

O cmdlet PowerShell Convert-SPWebApplication no SharePoint 2013 converte aplicativos web de modo clássico a aplicativos web baseados em declarações.

Cuidado

Após converter um aplicativo Web para um autenticação baseado em declarações, você não poderá revertê-lo ao modo de autenticação clássica.

Converta aplicativos web de modo clássico do Produtos do SharePoint 2010 para autenticação baseada em declarações no Produtos do SharePoint 2010 e então atualize para SharePoint 2013

No Produtos do SharePoint 2010, complete o seguinte procedimento para converter um aplicativo web existente para autenticação baseada em declarações. Após converter o aplicativo web para autenticação baseada em declarações, complete o passo adicional para mirar o aplicativo web para o SharePoint 2013. Para concluir este procedimento, você precisa das informações a seguir:

• A URL do aplicativo Web que você está convertendo: http://yourWebAppUrl

• Uma conta de usuário a ser definida como um administrador do site: yourDomain\yourUser

Para converter um aplicativo Web do Produtos do SharePoint 2010 para autenticação baseada em declarações

1. Verifique se você possui as seguintes associações:

• A função de servidor fixa securityadmin na instância do SQL Server.

• A função de banco de dados fixa db_owner em todos os bancos de dados que devem ser atualizados.

• O grupo de administradores no servidor no qual você está executando os cmdlets do PowerShell.

• Você deve ler about_Execution_Policies (https://go.microsoft.com/fwlink/p/?LinkId=193050).

• Adicione associações que sejam necessárias além dos mínimos acima.

  Um administrador pode usar o cmdlet Add-SPShellAdmin para conceder permissões para usar cmdlets SharePoint 2013.

  Observação

  [!OBSERVAçãO] Se você não possui permissões, entre em contato com o Administrador da instalação ou com o administrador do SQL Server para solicitar permissões. Para mais informações sobre as permissões do PowerShell, confira Permissões e Add-SPShellAdmin.

2. A partir do prompt de comando do PowerShell, digite o seguinte para definir a conta de usuário esecificada como um administrador para o site:

$WebAppName = "http://<yourWebAppUrl>"
$wa = get-SPWebApplication $WebAppName
$wa.UseClaimsAuthentication = $true
$wa.Update()

Em que:

• <yourWebAppUrl> é a URL do aplicativo web.

3. A partir do prompt de comando do PowerShell, digite o seguinte para configurar a política para permitir que o usuário tenha acesso total:

$account = "yourDomain\yourUser"
$account = (New-SPClaimsPrincipal -identity $account -identitytype 1).ToEncodedString()
$wa = get-SPWebApplication $WebAppName
$zp = $wa.ZonePolicies("Default")
$p = $zp.Add($account,"PSPolicy")
$fc=$wa.PolicyRoles.GetSpecialRole("FullControl")
$p.PolicyRoleBindings.Add($fc)
$wa.Update()

Para saber mais, veja Get-SPWebApplication.

4. A partir do prompt de comando do PowerShell, digite o seguinte para executar a migração de usuário:

$wa.MigrateUsers($true)

5. Depois que a migração estiver concluída, digite o seguinte a partir do prompt de comando do PowerShell para executar o provisionamento:

$wa.ProvisionGlobally()

Para saber mais, veja New-SPClaimsPrincipal.

Depois de concluir os procedimentos anteriores, você poderá experimentar um ou mais dos seguintes problemas:Os usuários que enviam credenciais válidas ao acessar o aplicativo Web migrado poderão ser notificados de que não têm permissões. Caso isso ocorra, a propriedade portalsuperuseraccount e a propriedade portalsuperreaderaccount do aplicativo web foram provavelmente configuradas antes da migração. Caso seja esse o caso, atualize a propriedade portalsuperuseraccount e a propriedade portalsuperreaderaccount para usar o novo nome de conta baseada em declarações. Após a migração, você pode encontrar o novo nome da conta baseada em declarações na política do aplicativo Web para o aplicativo Web migrado. Se os alertas existentes não forem invocados após a migração, talvez seja necessário excluir e recriar os alertas. Se o rastreamento de pesquisa não funcionar no aplicativo Web após a migração, verifique se a conta de rastreamento de pesquisa lista o novo nome da conta convertida. Caso o novo nome de conta convertida não esteja listado, você deve criar manualmente uma nova política para a conta de rastreamento.

Para migrar um aplicativo Web do Produtos do SharePoint 2010 baseado em declarações para o SharePoint 2013

1. No SharePoint 2013, crie um aplicativo web baseado em declarações. Para saber mais, veja Criar aplicativos web baseados em declarações no SharePoint Server.

2. Anexe os dois bancos de dados de conteúdo do Produtos do SharePoint 2010 existentes ao aplicativo web baseado em declarações do SharePoint 2013 recentemente criado. Para saber mais, veja Anexar ou desanexar bancos de dados de conteúdo no SharePoint Server.

   Observação

   Quando você anexar os bancos de dados de conteúdo do SharePoint 2010 Products ao aplicativo Web baseado em declarações do SharePoint 2013, os bancos de dados serão atualizados para o formato de banco de dados do SharePoint 2013, mas não serão habilitados para declarações.

Converta os aplicativos web de modo clássico do Produtos do SharePoint 2010 para aplicativos web baseados em declarações do SharePoint 2013

No SharePoint 2013, complete o procedimento a seguir para converter um aplicativo web de modo clássico do Produtos do SharePoint 2010 para um aplicativo web do SharePoint 2013 que usa autenticação baseada em declarações.

Para converter um aplicativo Web de modo clássico do Produtos do SharePoint 2010 para autenticação baseada em declarações do SharePoint 2013

1. Verifique se você possui as seguintes associações:

• A função de servidor fixa securityadmin na instância do SQL Server.

• A função de banco de dados fixa db_owner em todos os bancos de dados que devem ser atualizados.

• O grupo de administradores no servidor no qual você está executando os cmdlets do PowerShell.

• Você deve ler about_Execution_Policies (https://go.microsoft.com/fwlink/p/?LinkId=193050).

• Adicione associações que sejam necessárias além dos mínimos acima.

  Um administrador pode usar o cmdlet Add-SPShellAdmin para conceder permissões para usar cmdlets SharePoint 2013.

  Observação

  [!OBSERVAçãO] Se você não possui permissões, entre em contato com o Administrador da instalação ou com o administrador do SQL Server para solicitar permissões. Para mais informações sobre as permissões do PowerShell, confira Permissões e Add-SPShellAdmin.

2. No ambiente SharePoint 2013, no menu Iniciar, clique em Todos os Programas.

3. Clique em SharePoint 2013.

4. Clique em SharePoint 2013 Management Shell.

5. Altere para o diretório onde você salvou o arquivo.

6. No prompt de comando do PowerShell, digite o seguinte comando:

$ap = New-SPAuthenticationProvider -UseWindowsIntegratedAuthentication -DisableKerberos
New-SPWebApplication -name "ClaimsWebApp" -Port 80 -ApplicationPool "ClaimsAuthAppPool" -ApplicationPoolAccount (Get-SPManagedAccount "<domainname>\<user>") -AuthenticationMethod NTLM -AuthenticationProvider $ap

Em que:

• <domainname>\ <user> são o domínio ao qual o servidor pertence e o nome da conta de usuário.

7. Anexe os dois bancos de dados de conteúdo do SharePoint 2010 Products existentes ao novo aplicativo Web do modo de declarações do SharePoint 2013. Para saber mais, veja Anexar ou desanexar bancos de dados de conteúdo no SharePoint Server.

   Observação

   Quando você anexa os bancos de dados de conteúdo do SharePoint 2010 Products ao aplicativo Web do modo de declaração do SharePoint 2013, os bancos de dados são atualizados para o formato de banco de dados do SharePoint 2013. Você precisa verificar que os bancos de dados de conteúdo estão funcionando corretamento depois de anexá-los.

8. A partir do prompt de comando do PowerShell, digite o seguinte:

Convert-SPWebApplication -Identity <yourWebAppUrl> -From Legacy -To Claims -RetainPermissions [-Force]

Em que:

• <yourWebAppUrl> é a URL do aplicativo web.

Observação

Convert-SPWebApplication converte os bancos de dados de conteúdo em autenticação baseada em declarações. Você precisa verificar se os usuários podem acessar o aplicativo Web depois de converter os bancos de dados de conteúdo.

9. Se necessário, anexe um terceiro banco de dados de conteúdo de produtos do SharePoint 2010 ao novo aplicativo Web do modo de declaração do SharePoint 2013 e verifique se o banco de dados de conteúdo funciona corretamente depois de anexá-lo.

10. A partir do prompt de comando do PowerShell, digite o seguinte:

Convert-SPWebApplication -Identity <yourWebAppUrl> -From Legacy -To Claims -RetainPermissions [-Force]

Verifique se os usuários podem acessar o aplicativo Web depois que você tiver convertido os bancos de dados de conteúdo em autenticação baseada em declarações. Para maiores informações, consulte New-SPWebApplication, Get-SPManagedAccount e Convert-SPWebApplication.

Converta aplicativos de modo clássico do SharePoint 2013 para aplicativos web baseados em declarações

No SharePoint 2013, complete os procedimentos a seguir para criar um aplicativo web de modo clássico, e então o converta para autenticação baseada em declarações.

Para criar um aplicativo Web de modo clássico no SharePoint 2013

• Verifique se você possui as seguintes associações:

  • A função de servidor fixa securityadmin na instância do SQL Server.

  • A função de banco de dados fixa db_owner em todos os bancos de dados que devem ser atualizados.

  • O grupo de administradores no servidor no qual você está executando os cmdlets do PowerShell.

  • Você deve ler about_Execution_Policies (https://go.microsoft.com/fwlink/p/?LinkId=193050).

  • Adicione associações que sejam necessárias além dos mínimos acima.

    Um administrador pode usar o cmdlet Add-SPShellAdmin para conceder permissões para usar cmdlets SharePoint 2013.

    Observação

    [!OBSERVAçãO] Se você não possui permissões, entre em contato com o Administrador da instalação ou com o administrador do SQL Server para solicitar permissões. Para mais informações sobre as permissões do PowerShell, confira Permissões e Add-SPShellAdmin.

• A partir do prompt de comando do PowerShell, digite o seguinte:

  New-SPWebApplication -Name <Name> -ApplicationPool <ApplicationPool> -AuthenticationMethod <WindowsAuthType> -ApplicationPoolAccount <ApplicationPoolAccount> -Port <Port> -URL <URL>
  

  Em que:

  • <Name> é o nome do novo aplicativo web que usa autenticação de modo clássico.

  • <ApplicationPool> é o nome do pool de aplicativos.

  • <WindowsAuthType> é "NTLM" ou "Kerberos". Recomenda-se Kerberos.

  • <ApplicationPoolAccount> é a conta de usuário como a qual será executado este poool de aplicativos.

  • <Port> é a porta na qual o aplicativo web será criado no IIS.

  • <URL> é a URL pública para o aplicativo web.

  Observação

  Para saber mais, veja New-SPWebApplication.

  Observação

  [!OBSERVAçãO] Após criar com sucesso o aplicativo web, ao abrir a página de Administração Central, você verá um aviso de regra de integridade que indica que um ou mais aplicativos web estão habilitados com modo de autenticação clássica. Isso é um reflexo de nossa recomendação para usar autenticação baseada em declarações, ao invés de autenticação de modo clássico.

Para converter um aplicativo Web de modo clássico do SharePoint 2013 para autenticação baseada em declarações

• A partir do prompt de comando do PowerShell, digite o seguinte:

  Convert-SPWebApplication -Identity "http:// <servername>:port" -From Legacy -To Claims -RetainPermissions [-Force]
  

  Em que:

  • <servername> é o nome do servidor.

Verifique se os usuários podem acessar o aplicativo Web depois que você o tenha convertido para autenticação baseada em declarações.Para obter mais informações, confira New-SPWebApplication, Get-SPManagedAccount e Convert-SPWebApplication.

Migre aplicativo web de modo clássico do Produtos do SharePoint 2010 para aplicativos web de modo clássico do SharePoint 2013

No SharePoint 2013, complete o procedimento a seguir para produzir um aplicativo web de modo classico, e então migre um aplicativo web de modo clássico do Produtos do SharePoint 2010 existente para o SharePoint 2013.

Para migrar um aplicativo Web de modo clássico do Produtos do SharePoint 2010 para o SharePoint 2013

1. Verifique se você possui as seguintes associações:

• A função de servidor fixa securityadmin na instância do SQL Server.

• A função de banco de dados fixa db_owner em todos os bancos de dados que devem ser atualizados.

• O grupo de administradores no servidor no qual você está executando os cmdlets do PowerShell.

• Você deve ler about_Execution_Policies (https://go.microsoft.com/fwlink/p/?LinkId=193050).

• Adicione associações que sejam necessárias além dos mínimos acima.

  Um administrador pode usar o cmdlet Add-SPShellAdmin para conceder permissões para usar cmdlets SharePoint 2013.

  Observação

  [!OBSERVAçãO] Se você não possui permissões, entre em contato com o Administrador da instalação ou com o administrador do SQL Server para solicitar permissões. Para mais informações sobre as permissões do PowerShell, confira Permissões e Add-SPShellAdmin.

2. A partir do prompt de comando do PowerShell, digite o seguinte:

New-SPWebApplication -name "ClassicAuthApp" -Port 100 -ApplicationPool "ClassicAuthAppPool" -ApplicationPoolAccount (Get-SPManagedAccount "<domainname>\<user>")

Em que:

• <domainname>\ <user> são o domínio ao qual o servidor pertence e o nome da conta de usuário.

3. Anexe os dois bancos de dados de conteúdo do Produtos do SharePoint 2010 existentes ao novo aplicativo web de modo clássico do SharePoint 2013. Verifique que os bancos de dados de conteúdo funcionam corretamente após anexá-los. Para saber mais, veja Anexar ou desanexar bancos de dados de conteúdo no SharePoint Server.

Para saber mais, veja New-SPWebApplication e Get-SPManagedAccount.

Confira também

Outros recursos

Criar aplicativos web baseados em declarações no SharePoint Server

Criar aplicativos da web que usam a autenticação de modo clássico no SharePoint Server