Использование Azure AD для проверки подлинности на сервере SharePoint ServerUsing Azure AD for SharePoint Server Authentication

Сводка: Узнайте, как выполнить проверку подлинности пользователей SharePoint Server 2016 с Azure Active Directory.Summary: Learn how to authenticate your SharePoint Server 2016 users with Azure Active Directory.

В этом статье содержатся ссылки на примеры кода для взаимодействия с Azure Active Directory графике. Вы можете загрузить примеры кода ниже.This article refers to code samples for interacting with Azure Active Directory Graph. You can download the code samples here.

SharePoint Server 2016 предоставляет возможность проверки подлинности пользователей с помощью проверки подлинности на основе утверждений, что упрощает для управления пользователями, они проходят проверку подлинности с помощью различных поставщиков удостоверений, которые вы доверяете, но кто управляет. К примеру вместо управления проверки подлинности пользователей с помощью доменных служб Active Directory (AD DS), позволит пользователям проходить проверку подлинности с помощью Azure Active Directory (Azure AD). Это позволяет проверки подлинности пользователей только в облаке с суффиксом onmicrosoft.com в свои имя пользователя, пользователи синхронизируются с локального каталога и гостевых пользователей из других каталогов на участие. Он также позволяет воспользоваться преимуществами Azure AD компонентов, таких как многофакторная проверка подлинности и расширенные возможности работы с отчетами.SharePoint Server 2016 provides the ability to authenticate users using claims-based authentication, making it easy to manage your users by authenticating them with different identity providers that you trust but someone else manages. For example, instead of managing user authentication through Active Directory Domain Services (AD DS), you could enable users to authenticate using Azure Active Directory (Azure AD). This enables authentication for cloud-only users with the onmicrosoft.com suffix in their username, users synchronized with an on-premises directory, and invited guest users from other directories. It also enables you to take advantage of Azure AD features such as multi-factor authentication and advanced reporting capabilities.

Важно!

Решения, описанного в данной статье также можно использовать вместе с SharePoint Server 2013; Однако имейте в виду, что SharePoint Server 2013 приближается к завершению основной поддержки. Для получения дополнительных сведений см [Microsoft жизненный цикл обновления продукта обслуживания для политики](https://technet.microsoft.com/library/684173bb-e90a-4eb7-b268-b8d7458bc802(v=office.16).aspx)и SharePoint 2013 .The solution described in this article can also be used with SharePoint Server 2013; however, keep in mind that SharePoint Server 2013 is nearing the end of mainstream support. For more information, see Microsoft Lifecycle Policy and Updated Product Servicing Policy for SharePoint 2013.

В этой статье объясняется, как использовать Azure AD для проверки подлинности пользователей, а не на локальную Доменные службы Active Directory. В этой конфигурации Azure AD становится доверенного поставщика удостоверений для SharePoint Server 2016. В этой конфигурации добавляется метод проверки подлинности пользователя, которая не связана с проверки подлинности Доменные службы Active Directory, используемых самой установки SharePoint Server 2016. Чтобы извлечь пользу из этой статьи, необходимо ознакомиться с WS-Federation. Дополнительные сведения содержатся в разделе Общие сведения о WS-Federation.This article explains how you can use Azure AD to authenticate your users instead of your on-premises AD DS. In this configuration, Azure AD becomes a trusted identity provider for SharePoint Server 2016. This configuration adds a user authentication method that is separate from the AD DS authentication used by the SharePoint Server 2016 installation itself. To benefit from this article, you should be familiar with WS-Federation. For more information, see Understanding WS-Federation.

С помощью Azure AD для проверки подлинности SharePoint

Ранее эта конфигурация потребовалось бы службы федерации например Azure доступа Control Service (ACS) в облаке или в среде, в котором размещается служб федерации Active Directory (AD FS) для преобразования маркеры SAML 2.0 для SAML 1.1. Это преобразование больше не требуется как Azure AD теперь включает выдающего маркеры SAML 1.1. На приведенной выше схеме показано принципы работы проверки подлинности для пользователей SharePoint 2016 в этой конфигурации демонстрирует, что оно больше не является обязательным требованием для посредника для выполнения этого преобразования.Previously, this configuration would have required a federation service such as Azure Access Control Service (ACS) in the cloud or an environment that hosts Active Directory Federation Services (AD FS) to transform tokens from SAML 2.0 to SAML 1.1. This transformation is no longer required as Azure AD now enables issuing SAML 1.1 tokens. The diagram above shows how authentication works for SharePoint 2016 users in this configuration, demonstrating that there is no longer a requirement for an intermediary to perform this transformation.

Примечание

Эта конфигурация работает ли размещается в виртуальных машин Azure или локальной фермы SharePoint. Не требуется открыть порты брандмауэра Дополнительные отличный от обеспечение пользователей можно получить доступ к Azure Active Directory в браузере.This configuration works whether the SharePoint farm is hosted in Azure virtual machines or on-premises. It does not require opening additional firewall ports other than ensuring users can access Azure Active Directory from their browser.

Сведения о специальных возможностей SharePoint 2016 содержатся Требования к специальным возможностям в SharePoint Server 2016.For information about SharePoint 2016 accessibility, see Accessibility Guidelines in SharePoint Server 2016.

Общие сведения о конфигурацииConfiguration overview

Выполните следующие действия для настройки среды для использования в качестве поставщика удостоверений SharePoint Server 2016 Azure AD.Follow these general steps to set up your environment to use Azure AD as a SharePoint Server 2016 identity provider.

  1. Создать новый каталог Azure AD или использовать существующий каталог.Create a new Azure AD directory or use your existing directory.
  2. Убедитесь, что зоны для веб-приложения, которое требуется защитить с помощью Azure AD настроен для использования протокола SSL.Ensure the zone for the web application that you want to secure with Azure AD is configured to use SSL.
  3. Создание нового приложения предприятия в Azure AD.Create a new enterprise application in Azure AD.
  4. Настройка нового доверенного поставщика удостоверений в SharePoint Server 2016.Configure a new trusted identity provider in SharePoint Server 2016.
  5. Установка разрешений для веб-приложения.Set the permissions for the web application.
  6. Добавление политики выдача маркеров SAML 1.1 в Azure AD.Add a SAML 1.1 token issuance policy in Azure AD.
  7. Проверьте нового поставщика.Verify the new provider.

В следующих разделах описано для выполнения этих задач.The following sections describe how to perform these tasks.

Шаг 1: Создание нового каталога Azure AD или использовать существующий каталогStep 1: Create a new Azure AD directory or use your existing directory

На портале Azure (https://portal.azure.com), создайте новый каталог. Укажите название организации, исходное имя домена и страну или регион.In the Azure Portal (https://portal.azure.com), create a new directory. Provide the organization name, initial domain name, and the country or region.

Создание каталога

При наличии каталогов, такой как для Microsoft Office 365 или подписки Microsoft Azure, вместо этого можно использовать этот каталог. Необходимо иметь разрешения для регистрации приложений в каталоге.If you already have a directory such as the one used for Microsoft Office 365 or your Microsoft Azure subscription, you can use that directory instead. You must have permissions to register applications in the directory.

Шаг 2: Убедитесь, что зоны для веб-приложения, которое требуется защитить с помощью Azure AD настроен для использования протокола SSLStep 2: Ensure the zone for the web application that you want to secure with Azure AD is configured to use SSL

Эта статья была написана использование архитектуры ссылку в запустите высокой доступности фермы SharePoint Server 2016 в Azure. Сопутствующая сценарии со статьей, используемые для развертывания решения, описанного в данной статье Создание сайта, который не используется протокол SSL.This article was written using the reference architecture in Run a high availability SharePoint Server 2016 farm in Azure. The article’s accompanying scripts used to deploy the solution described in this article create a site that does not use SSL.

При использовании SAML необходимо настроить приложение для использования протокола SSL. Если веб-приложения SharePoint не настроен для использования протокола SSL, выполните следующие действия для создания самозаверяющего сертификата для настройки веб-приложения для SSL. Эта конфигурация предназначен только для лабораторной среды и не предназначен для рабочей среды. Рабочие среды следует использовать подписанный сертификат.Using SAML requires the application be configured to use SSL. If your SharePoint web application is not configured to use SSL, use the following steps to create a new self-signed certificate to configure the web application for SSL. This configuration is only meant for a lab environment and is not intended for production. Production environments should use a signed certificate.

  1. Перейдите в Центр администрирования > Управление приложениями > Управление веб-приложениямии выберите веб-приложение, которое должно быть расширены для использования протокола SSL. Выберите веб-приложение и нажмите кнопку ленты расширить . Расширение веб-приложения, чтобы использовать же URL-адрес, но использование SSL с порт 443.Go to Central Administration > Application Management > Manage Web Applications, and choose the web application that needs to be extended to use SSL. Select the web application and click the Extend ribbon button. Extend the web application to use the same URL but use SSL with port 443.
    Расширение веб-приложения на другой сайт служб IISExtending the web app to another IIS site
  2. В Диспетчер IIS дважды щелкните Сертификаты сервера.In IIS Manager, double-click Server Certificates.
  3. В области Действия нажмите Создать самозаверяющий сертификат. Введите понятное имя сертификата в поле Понятное имя сертификата и нажмите кнопку ОК.In the Actions pane, click Create Self-Signed Certificate. Type a friendly name for the certificate in the Specify a friendly name for the certificate box, and then click OK.
  4. В диалоговом окне Изменение привязки сайта убедитесь, что имя узла — это понятное имя, как показано на следующем рисунке.From the Edit Site Binding dialog box, ensure the host name is the same as the friendly name, as illustrated in the following image.
    Изменение привязки сайта в IISEditing site binding in IIS

Каждый из интерфейсных веб-серверах в ферме SharePoint требуется Настройка сертификата для привязки сайта в IIS.Each of the web front end servers in the SharePoint farm will require configuring the certificate for the site binding in IIS.

Шаг 3: Создание нового корпоративного приложения в Azure ADStep 3: Create a new enterprise application in Azure AD

  1. На портале Azure (https://portal.azure.com), откройте каталог Azure AD. Нажмите кнопку Корпоративные приложения, а затем нажмите кнопку новое приложение. Выберите приложение, не коллекции. Укажите имя, например SAML интеграции с SharePoint и нажмите кнопку Добавить.In the Azure Portal (https://portal.azure.com), open your Azure AD directory. Click Enterprise Applications, then click New application. Choose Non-gallery application. Provide a name such as SharePoint SAML Integration and click Add.
    Добавление нового приложения не галереиAdding a new non-gallery application
  2. Щелкните ссылку единого входа на левой панели навигации для настройки приложения. Измените раскрывающийся список Режим единого входа на основе SAML-входа для отображения свойства конфигурации SAML для приложения. Настройка со следующими свойствами:Click the Single sign-on link in the navigation pane to configure the application. Change the Single Sign-on Mode dropdown to SAML-based Sign-on to reveal the SAML configuration properties for the application. Configure with the following properties:
    • Идентификатор:urn:sharepoint:portal.contoso.localIdentifier: urn:sharepoint:portal.contoso.local
    • URL-адрес для ответа:https://portal.contoso.local/_trust/default.aspxReply URL: https://portal.contoso.local/_trust/default.aspx
    • Вход в систему URL-адрес.https://portal.contoso.local/_trust/default.aspxSign-on URL: https://portal.contoso.local/_trust/default.aspx
    • Идентификатор пользователя:user.userprincipalnameUser Identifier: user.userprincipalname
    • Примечание: Не забудьте изменить URL-адреса, заменив portal.contoso.local URL-адрес сайта SharePoint, которые необходимо защитить.Note: Remember to change the URLs by replacing portal.contoso.local with the URL of the SharePoint site you want to secure.
  3. Настройка таблицы (как в таблице 1), который включает в себя следующие строки:Set up a table (similar to Table 1 below) that includes the following rows:
    • RealmRealm
    • Полный путь к файлу сертификата для подписи SAMLFull path to SAML signing certificate file
    • SAML единого входа URL-адрес службы (Замените /saml2 /wsfed)SAML Single Sign-On service URL (replacing /saml2 with /wsfed)
    • Идентификатор объекта приложения.Application Object ID.
      Скопируйте значение идентификатора в области свойства в таблицу (видеть в таблице 1 ниже.)Copy the Identifier value into the Realm property into a table (See Table 1 below.)
  4. Сохраните изменения.Save your changes.
  5. Щелкните ссылку настроить (app name) для доступа к странице настройки единого входа.Click the Configure (app name) link to access the Configure sign-on page.
    Настройка единого входа на страницуConfiguring a single-sign on page
    • Щелкните ссылку SAML сертификат для подписи - необработанные для загрузки сертификата для подписи SAML как файл с расширением CER-файл. Скопируйте и вставьте полный путь к файлу загруженного в таблицу.Click the SAML Signing Certificate - Raw link to download the SAML Signing Certificate as a file with the .cer extension. Copy and paste the full path to the downloaded file into your table.
    • Скопируйте и вставьте ссылку SAML единого входа URL-адрес службы в вашей, заменив /saml2 часть URL-адрес /wsfed.Copy and paste the SAML Single Sign-On Service URL link into your, replacing the /saml2 portion of the URL with /wsfed.
  6. Перейдите в области свойств для приложения. Скопируйте и вставьте значение идентификатора объекта в таблице, настроенных в шаге 3.Navigate to the Properties pane for the application. Copy and paste the Object ID value into the table you set up in Step 3.
    Область свойств для приложенияProperties pane for the application
  7. С помощью значений, сохраненных, убедитесь, что таблицы, настроенных в шаге 3 имеет следующий вид: 1 в таблице ниже.Using the values you captured, make sure the table you set up in Step 3 resembles Table 1 below.
В таблице 1: Записываемые значенияTable 1: Values captured
RealmRealm urn:sharepoint:portal.contoso.local
Полный путь к файлу сертификата для подписи SAMLFull path to SAML signing certificate file C:/temp/SharePoint SAML Integration.cer
URL-адрес службы единого входа SAML (заменить /saml2 /wsfed)SAML single sign-on service URL (replace /saml2 with /wsfed) https://login.microsoftonline.com/b1726649-b616-460d-8d20-defab80d476c/wsfed
Идентификатор объекта приложенияApplication Object ID a812f48b-d1e4-4c8e-93be-e4808c8ca3ac

Важно!

Замените значение /saml2 в URL-адрес /wsfed. Конечная точка /saml2 будет обрабатываться маркеры SAML 2.0. Конечная точка /wsfed включает маркеры SAML 1.1 обработки и является обязательным для федерации SharePoint 2016 SAML.Replace the /saml2 value in the URL with /wsfed. The /saml2 endpoint will process SAML 2.0 tokens. The /wsfed endpoint enables processing SAML 1.1 tokens and is required for SharePoint 2016 SAML federation.

Шаг 4: Настройка нового доверенного поставщика удостоверений в SharePoint Server 2016Step 4: Configure a new trusted identity provider in SharePoint Server 2016

Войдите на сервер SharePoint Server 2016 и откройте командную консоль SharePoint 2016. Введите значения $realm, $wsfedurl и $filepath в таблице 1 и выполните следующие команды для настройки нового доверенного поставщика удостоверений.Sign into the SharePoint Server 2016 server and open the SharePoint 2016 Management Shell. Fill in the values of $realm, $wsfedurl, and $filepath from Table 1 and run the following commands to configure a new trusted identity provider.

Совет

Хотите узнать больше о работе PowerShell или работе с помощью PowerShell, в статье SharePoint PowerShell.If you're new to using PowerShell or want to learn more about how PowerShell works, see SharePoint PowerShell.

$realm = "<Realm from Table 1>"
$wsfedurl="<SAML single sign-on service URL from Table 1>"
$filepath="<Full path to SAML signing certificate file from Table 1>"
$cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2($filepath)
New-SPTrustedRootAuthority -Name "AzureAD" -Certificate $cert
$map = New-SPClaimTypeMapping -IncomingClaimType "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name" -IncomingClaimTypeDisplayName "name" -LocalClaimType "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"
$map2 = New-SPClaimTypeMapping -IncomingClaimType "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname" -IncomingClaimTypeDisplayName "GivenName" -SameAsIncoming
$map3 = New-SPClaimTypeMapping -IncomingClaimType "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname" -IncomingClaimTypeDisplayName "SurName" -SameAsIncoming
$ap = New-SPTrustedIdentityTokenIssuer -Name "AzureAD" -Description "SharePoint secured by Azure AD" -realm $realm -ImportTrustCertificate $cert -ClaimsMappings $map,$map2,$map3 -SignInUrl $wsfedurl -IdentifierClaim "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name"

Затем выполните следующие действия для включения доверенного поставщика удостоверений для вашего приложения.Next, follow these steps to enable the trusted identity provider for your application:

  1. В центре администрирования перейдите на Управление веб-приложения и выберите веб-приложение, предназначенное для безопасного с Azure AD.In Central Administration, navigate to Manage Web Application and select the web application that you wish to secure with Azure AD.
  2. На ленте щелкните Поставщики проверки подлинности и выберите зону, которая будет использоваться.In the ribbon, click Authentication Providers and choose the zone that you wish to use.
  3. Выберите доверенный поставщик удостоверений и выберите определение поставщика, который вы только что зарегистрированные с именем AzureAD.Select Trusted Identity provider and select the identify provider you just registered named AzureAD.
  4. На странице параметров URL-адрес страницы входа выберите Custom входа в страницу и укажите значение «/_trust/».On the sign-in page URL setting, select Custom sign in page and provide the value "/_trust/".
  5. Нажмите кнопку ОК.Click OK.

Настройка поставщика проверки подлинности

Важно!

Важно, необходимо выполнить все действия, включая установку настраиваемых входа на странице «/_trust/», как показано. Конфигурации не будет работать корректно, если выполнены все шаги.It is important to follow all steps, including setting the custom sign in page to "/_trust/" as shown. The configuration will not work correctly unless all steps are followed.

Шаг 5: Задайте разрешенияStep 5: Set the permissions

Пользователи, которым будет войти в Azure AD и получить доступ к SharePoint необходимо предоставить доступ к приложению.The users who will log into Azure AD and access SharePoint must be granted access to the application.

  1. На портале Azure откройте каталог Azure AD. Нажмите кнопку Корпоративные приложения, а затем выберите все приложения. Выберите приложение, которое вы создали ранее (SAML интеграции с SharePoint).In the Azure Portal, open the Azure AD directory. Click Enterprise Applications, then click All applications. Click the application that you created previously (SharePoint SAML Integration).
  2. Щелкните пользователи и группы.Click Users and Groups.
  3. Нажмите кнопку Добавить пользователя для добавления пользователя или группы пользователей, которые будут иметь разрешения на вход в SharePoint с помощью Azure AD.Click Add user to add a user or group who will have permissions to log into SharePoint using Azure AD.
  4. Выберите пользователя или группы, а затем нажмите кнопку назначить.Select the user or group then click Assign.

Пользователь имеет разрешение в Azure AD, но также необходимо предоставить разрешение в SharePoint. Чтобы задать разрешения для доступа к веб-приложение, выполните следующие действия.The user has been granted permission in Azure AD, but also must be granted permission in SharePoint. Use the following steps to set the permissions to access the web application.

  1. Откройте Центр администрирования и выберите Управление приложениями.In Central Administration, click Application Management.
  2. На странице Управление приложениями в разделе Веб-приложения выберите команду Управление веб-приложениями.On the Application Management page, in the Web Applications section, click Manage web applications.
  3. Щелкните соответствующее веб-приложение, а затем выберите пункт Политика пользователей.Click the appropriate web application, and then click User Policy.
  4. В политике для веб-приложения нажмите кнопку Добавить пользователей.In Policy for Web Application, click Add Users.
    Поиск пользователя с их имя утвержденияSearching for a user by their name claim
  5. В диалоговом окне Добавление пользователей щелкните соответствующие зоны в разделе Зоны, а затем нажмите кнопку Далее.In the Add Users dialog box, click the appropriate zone in Zones, and then click Next.
  6. В диалоговом окне Политика для веб-приложения в разделе Выбор пользователей щелкните значок Обзор .In the Policy for Web Application dialog box, in the Choose Users section, click the Browse icon.
  7. В текстовом поле поиска введите имя входа для пользователя в каталоге и нажмите кнопку Найти.In the Find textbox, type the sign-in name for a user in your directory and click Search.
    Пример: demouser@blueskyabove.onmicrosoft.com.Example: demouser@blueskyabove.onmicrosoft.com.
  8. Под заголовком AzureAD в представлении списка выберите свойство имя и нажмите кнопку Добавить, а затем нажмите кнопку ОК , чтобы закрыть диалоговое окно.Under the AzureAD heading in the list view, select the name property and click Add then click OK to close the dialog.
  9. В разделе разрешения выберите Полный доступ.In Permissions, click Full Control.
    Предоставление полного доступа к пользователя утвержденийGranting full control to a claims user
  10. Нажмите Готово, а затем ОК.Click Finish, and then click OK.

Шаг 6: Добавление политики выдача маркеров SAML 1.1 в Azure ADStep 6: Add a SAML 1.1 token issuance policy in Azure AD

При создании приложения Azure AD на портале, по умолчанию с помощью SAML 2.0. SharePoint Server 2016 необходимо использовать формат маркеров SAML 1.1. Приведенный ниже сценарий будет удалить политику SAML 2.0 по умолчанию и добавьте новую политику маркеры SAML 1.1 проблему.When the Azure AD application is created in the portal, it defaults to using SAML 2.0. SharePoint Server 2016 requires the SAML 1.1 token format. The following script will remove the default SAML 2.0 policy and add a new policy to issue SAML 1.1 tokens.

Этот код требует загрузки сопутствующий примеры, показывающие взаимодействия с Azure Active Directory графике. Если сценарии загрузить ZIP-файл из репозиториев рабочий стол Windows, убедитесь в том разблокировать MSGraphTokenLifetimePolicy.psm1 файл сценария модуля и Initialize.ps1 файл сценария (щелкните правой кнопкой мыши свойства, нажмите кнопку разблокировать, нажмите кнопку ОК). Разблокировка загружаемых файловThis code requires downloading the accompanying samples demonstrating interacting with Azure Active Directory Graph. If you download the scripts as a ZIP file from GitHub to a Windows desktop, make sure to unblock the MSGraphTokenLifetimePolicy.psm1 script module file and the Initialize.ps1 script file (right-click Properties, choose Unblock, click OK). Unblocking downloaded files

После загрузки пример сценария создать новый сценарий PowerShell, путем добавления следующего кода, заменив заполнитель путь к файлу загруженного Initialize.ps1 на локальном компьютере. Замените заполнитель идентификатор объекта приложения идентификатор объекта приложения, который был введен в таблице 1. После создания выполните сценарий PowerShell.Once the sample script is downloaded, create a new PowerShell script using the following code, replacing the placeholder with the file path of the downloaded Initialize.ps1 on your local machine. Replace the application object ID placeholder with the application object ID that you entered in Table 1. Once created, execute the PowerShell script.

function AssignSaml11PolicyToAppPrincipal
{
    Param(
        [Parameter(Mandatory=$true)]
        [string]$pathToInitializeScriptFile, 
        [Parameter(Mandatory=$true)]
        [string]$appObjectid
    )

    $folder = Split-Path $pathToInitializeScriptFile
    Push-Location $folder

    #Loads the dependent ADAL module used to acquire tokens
    Import-Module $pathToInitializeScriptFile 

    #Gets the existing token issuance policy
    $existingTokenIssuancePolicy = Get-PoliciesAssignedToServicePrincipal -servicePrincipalId $appObjectid | ?{$_.type -EQ "TokenIssuancePolicy"} 
    Write-Host "The following TokenIssuancePolicy policies are assigned to the service principal." -ForegroundColor Green
    Write-Host $existingTokenIssuancePolicy -ForegroundColor White
    $policyId = $existingTokenIssuancePolicy.objectId

    #Removes existing token issuance policy
    Write-Host "Only a single policy can be assigned to the service principal. Removing the existing policy with ID $policyId" -ForegroundColor Green
    Remove-PolicyFromServicePrincipal -policyId $policyId -servicePrincipalId $appObjectid

    #Creates a new token issuance policy and assigns to the service principal
    Write-Host "Adding the new SAML 1.1 TokenIssuancePolicy" -ForegroundColor Green
    $policy = Add-TokenIssuancePolicy -DisplayName SPSAML11 -SigningAlgorithm "http://www.w3.org/2001/04/xmldsig-more#rsa-sha256" -TokenResponseSigningPolicy TokenOnly -SamlTokenVersion "1.1"
    Write-Host "Assigning the new SAML 1.1 TokenIssuancePolicy $policy.objectId to the service principal $appObjectid" -ForegroundColor Green
    Set-PolicyToServicePrincipal -policyId $policy.objectId -servicePrincipalId $appObjectid
    Pop-Location
}

#Only edit the following two variables
$pathToInitializeScriptFile = "<file path of Initialize.ps1>"
$appObjectid = "<Application Object ID from Table 1>"

AssignSaml11PolicyToAppPrincipal $pathToInitializeScriptFile $appObjectid

Важно!

Не подписи скриптов PowerShell и может потребоваться задать политику выполнения. Дополнительные сведения о политиках выполнения видеть О политиках выполнения. Кроме того необходимо открыть окно командной строки с повышенными привилегиями, для успешного выполнения команд, содержащихся в примеры сценариев.The PowerShell scripts are not signed and you may be prompted to set the execution policy. For more information on execution policies, see About Execution Policies. Additionally, you may need to open an elevated command prompt to successfully execute the commands contained in the sample scripts.

Эти команды PowerShell пример приведены примеры того, как для выполнения запросов к API графике. Для получения дополнительных сведений о маркеров политики выдачи с Azure AD видеть Справочник по API график для операций в политике.These sample PowerShell commands are examples of how to execute queries against the Graph API. For more details on Token Issuance Policies with Azure AD, see the Graph API reference for operations on policy.

Шаг 7: Проверка нового поставщикаStep 7: Verify the new provider

Откройте браузер на URL-адрес веб-приложения, настроенного на предыдущих шагах. Вы будете перенаправлены для входа в Azure AD.Open a browser to the URL of the web application that you configured in the previous steps. You are redirected to sign into Azure AD.

Вход в Azure AD, настроенных для федерации

Запрос следует ли выполнять выход.You are asked if you want to stay signed in.

Будьте в курсе выполнен вход?

И, наконец можно доступ к сайту, войти в систему под учетной записью пользователя от клиента Azure Active Directory.Finally, you can access the site logged in as a user from your Azure Active Directory tenant.

Пользователь вошел в SharePoint

Управление сертификатамиManaging certificates

Важно понимать, что имеет дату окончания срока действия сертификата для подписи, который был настроен для доверенного поставщика удостоверений в приведенном выше шаге 4 и должны обновляться. В статье Управление сертификатами для федеративного единого входа в Azure Active Directory для получения сведений на Продление сертификата. После обновления сертификата в Azure AD загрузить локальный файл и используйте приведенный ниже сценарий для настройки доверенного поставщика удостоверений с обновленного сертификата для подписи.It is important to understand that the signing certificate that was configured for the trusted identity provider in step 4 above has an expiration date and must be renewed. See the article Manage certificates for federated single sign-on in Azure Active Directory for information on certificate renewal. Once the certificate has been renewed in Azure AD, download to a local file and use the following script to configure the trusted identity provider with the renewed signing certificate.

$filepath="<Full path to renewed SAML signing certificate file>"
$cert= New-Object System.Security.Cryptography.X509Certificates.X509Certificate2($filePath)
New-SPTrustedRootAuthority -Name "AzureAD" -Certificate $cert
Get-SPTrustedIdentityTokenIssuer "AzureAD" | Set-SPTrustedIdentityTokenIssuer -ImportTrustCertificate $cert

Настройка одного доверенного поставщика удостоверений для нескольких веб-приложенийConfiguring one trusted identity provider for multiple web applications

Конфигурация работает для одного веб-приложения, но требуется дополнительная настройка, если вы намерены использовать же доверенного поставщика удостоверений для нескольких веб-приложений. Например, предположим, мы расширенного веб-приложение для использования URL-адрес https://portal.contoso.local и теперь требуется проверка подлинности пользователей для https://sales.contoso.local также. Для этого необходимо обновить поставщика удостоверений для поддерживать параметра WReply и обновления регистрации приложения в Azure AD для добавления URL-адрес ответа.The configuration works for a single web application, but needs additional configuration if you intend to use the same trusted identity provider for multiple web applications. For example, assume we had extended a web application to use the URL https://portal.contoso.local and now want to authenticate the users to https://sales.contoso.local as well. To do this, we need to update the identity provider to honor the WReply parameter and update the application registration in Azure AD to add a reply URL.

  1. На портале Azure откройте каталог Azure AD. Щелкните Регистрация приложения, а затем щелкните Просмотр всех приложений. Выберите приложение, которое вы создали ранее (SAML интеграции с SharePoint).In the Azure Portal, open the Azure AD directory. Click App registrations, then click View all applications. Click the application that you created previously (SharePoint SAML Integration).
  2. Нажмите кнопку Параметры.Click Settings.
  3. В blade параметры щелкните URL-адреса ответа.In the settings blade, click Reply URLs.
  4. Добавьте URL-адрес для дополнительных веб-приложения с помощью /_trust/default.aspx добавляется в конец URL-адреса (например, https://sales.contoso.local/_trust/default.aspx) и нажмите кнопку Сохранить.Add the URL for the additional web application with /_trust/default.aspx appended to the URL (such as https://sales.contoso.local/_trust/default.aspx) and click Save.
  5. На сервере SharePoint откройте Командную консоль SharePoint 2016 и выполните следующие команды, используя имя надежный поставщик маркеров удостоверений, который использовался ранее.On the SharePoint server, open the SharePoint 2016 Management Shell and execute the following commands, using the name of the trusted identity token issuer that you used previously.
$t = Get-SPTrustedIdentityTokenIssuer "AzureAD"
$t.UseWReplyParameter=$true
$t.Update()
  1. В центре администрирования перейдите на веб-приложения и включить существующий доверенного поставщика удостоверений. Не забудьте также настроить URL-адрес страницы входа в качестве настраиваемая страница входа /_trust/.In Central Administration, go to the web application and enable the existing trusted identity provider. Remember to also configure the sign-in page URL as a custom sign in page /_trust/.
  2. В центре администрирования щелкните веб-приложение и выберите Политика пользователя. Добавление пользователя с соответствующими разрешениями, как было показано ранее в этой статье.In Central Administration, click the web application and choose User Policy. Add a user with the appropriate permissions as demonstrated previously in this article.

Исправление "Выбор людей"Fixing People Picker

Пользователи могут теперь войдите в 2016 SharePoint с помощью удостоверения от Azure AD, но по-прежнему существуют возможности для улучшения взаимодействия с пользователем. Например поиск пользователя представляет нескольких результатов поиска в средстве выбора людей. Нет результатов поиска для каждого из типов 3 утверждения, которые были созданы в сопоставлении утверждений. Чтобы выбрать пользователя, с помощью средства выбора людей, необходимо точно введите свои имя пользователя и выберите имя утверждения результатов.Users can now log into SharePoint 2016 using identities from Azure AD, but there are still opportunities for improvement to the user experience. For instance, searching for a user presents multiple search results in the people picker. There is a search result for each of the 3 claim types that were created in the claim mapping. To choose a user using the people picker, you must type their user name exactly and choose the name claim result.

Результаты поиска утверждений

Проверка на значения, которые вы поиска, что может привести к орфографические ошибки не или утверждений пользователи случайно Выбор неправильный тип для назначения, такие как Фамилия утверждения. Это может запретить пользователям успешно доступ к ресурсам.There is no validation on the values you search for, which can lead to misspellings or users accidentally choosing the wrong claim type to assign such as the SurName claim. This can prevent users from successfully accessing resources.

Чтобы упростить этот сценарий, является открытым кодом решения вызывается AzureCP , который предоставляет пользовательского поставщика утверждений для SharePoint 2016. Он будет использоваться на графике Azure AD для решения, что пользователи вводят и выполнить проверку. Дополнительные AzureCP.To assist with this scenario, there is an open-source solution called AzureCP that provides a custom claims provider for SharePoint 2016. It will use the Azure AD Graph to resolve what users enter and perform validation. Learn more at AzureCP.

Дополнительные ресурсыAdditional resources

Общие сведения о WS-FederationUnderstanding WS-Federation

Освоение облака и гибридные решенияCloud adoption and hybrid solutions

Присоединяйтесь к обсуждениюJoin the discussion

Свяжитесь с намиContact us ОписаниеDescription
Какое вам решение необходимо?What cloud adoption content do you need?
Мы создаем контент для решений, которые охватывают несколько продуктов и служб Майкрософт. Сообщите нам, что вы думаете о наших межсерверных решениях, или укажите интересующие вас решения, написав по адресу MODAcontent@microsoft.com.We are creating content for cloud adoption that spans multiple Microsoft cloud platforms and services. Let us know what you think about our cloud adoption content, or ask for specific content by sending email to cloudadopt@microsoft.com.
Присоединяйтесь к обсуждению решенийJoin the cloud adoption discussion
Если вам интересны облачные решения, присоединяйтесь к теме Cloud Adoption Advisory Board (CAAB) и общайтесь с разработчиками контента Майкрософт, специалистами отрасли и клиентами со всего мира. Чтобы присоединиться, добавьте себя в качестве участника темы CAAB (Cloud Adoption Advisory Board) на сайте Microsoft Tech Community и отправьте нам письмо на адрес CAAB@microsoft.com. Просматривать материалы в блоге CAAB могут все пользователи. Однако только участники CAAB получают приглашения на закрытые вебинары, на которых мы рассказываем о новых облачных решениях и ресурсах по их внедрению.If you are passionate about cloud-based solutions, consider joining the Cloud Adoption Advisory Board (CAAB) to connect with a larger, vibrant community of Microsoft content developers, industry professionals, and customers from around the globe. To join, add yourself as a member of the CAAB (Cloud Adoption Advisory Board) space of the Microsoft Tech Community and send us a quick email at CAAB@microsoft.com. Anyone can read community-related content on the CAAB blog. However, CAAB members get invitations to private webinars that describe new cloud adoption resources and solutions.
Скачать изображения, которые вы видите здесьGet the art you see here
Если вам нужна редактируемая копия иллюстративного материала из этой статьи, мы с радостью вам ее отправим. Напишите нам, указав URL-адрес и название материала, по адресу cloudadopt@microsoft.com.If you want an editable copy of the art you see in this article, we'll be glad to send it to you. Email your request, including the URL and title of the art, to cloudadopt@microsoft.com.