Azure Active Directory Uygulama Ara Sunucusu ile SharePoint erişimi etkinleştirme

Bu adım adım kılavuzda, şirket içi bir SharePoint grubu ile Azure Active Directory (Azure AD) grubu Uygulama Ara Sunucusu.

Önkoşullar

Yapılandırmayı gerçekleştirmek için aşağıdaki kaynaklara ihtiyacınız vardır:

  • Bir SharePoint 2013 grubu veya daha yenisi.
  • Sanal ağ içeren bir planı olan bir Azure AD Uygulama Ara Sunucusu. Azure AD planları ve fiyatlandırması hakkında daha fazla bilgi edinin.
  • Azure AD kiracısı içinde özel, doğrulanmış bir etki alanı.
  • Kullanıcıların Azure'da oturum açması için Azure AD Bağlan ile eşitlenen şirket içiActive Directory.
  • Şirket Uygulama Ara Sunucusu içindeki bir makinede yüklü ve çalışan bir sanal makine bağlayıcısı.

SharePoint yapılandırmak Uygulama Ara Sunucusu URL gerektirir:

Önemli

Bağlantıların doğru eşlenmiş olduğundan emin olmak için iç URL için şu önerileri izleyin:

  • HTTPS kullanın.
  • Özel bağlantı noktaları kullanma.
  • Kurumsal Etki Alanı Adı Sisteminde (DNS), diğer ad (CName) değil, SharePoint WFE'yi (veya yük dengeleyiciyi) işaret edecek bir konak (A) oluşturun.

Bu makalede aşağıdaki değerler kullanılır:

  • İç URL: https://sharepoint
  • Dış URL: https://spsites-demo1984.msappproxy.net/
  • Web uygulaması için SharePoint havuzu hesabı:Contoso\spapppool

1. Adım: Azure AD'de Uygulama Ara Sunucusu

Bu adımda, Azure Active Directory kiracınız içinde Uygulama Ara Sunucusu. Dış URL'yi ayarp iç URL'yi belirtirsiniz; her ikisi de daha sonra SharePoint.

  1. Uygulamayı aşağıdaki ayarlarla açıklandığı gibi oluşturun. Adım adım yönergeler için bkz. Azure AD kullanarak uygulama yayımlama Uygulama Ara Sunucusu.

    • İç URL: SharePoint daha sonra bir iç URL SharePoint gibi bir iç URL'ye sahip https://sharepoint olur.
    • Ön Kimlik Doğrulaması: Azure Active Directory
    • Üst Bilgilerde URL'leri Çevirme: Hayır
    • Uygulama Gövdesinde URL'leri Çevirme: Hayır

    Uygulama SharePoint yayımlama

  2. Uygulamanız yayımlandıktan sonra, çoklu oturum açma ayarlarını yapılandırmak için şu adımları izleyin:

    1. Portaldaki uygulama sayfasında Çoklu oturum açma’yı seçin.
    2. Çoklu Oturum Açma Modu olarak Tümleşik Windows Kimlik Doğrulaması’nı seçin.
    3. İç Uygulama SPN'lerini daha önce ayar değerini olarak ayarlayın. Bu örnekte değeri HTTP/sharepoint olur.
    4. Temsilcili Oturum Açma Kimliği altında, Active Directory orman yapılandırmanız için en uygun seçeneği belirleyin. Örneğin, orman içinde tek bir Active Directory etki alanınız varsa Şirket içi SAM hesabı adı 'ı seçin (aşağıdaki ekran görüntüsünde gösterildiği gibi). Ancak kullanıcılarınız SharePoint ve Uygulama Ara Sunucusu Bağlayıcısı sunucuları ile aynı etki alanında değilse Şirket içi kullanıcı asıl adı seçin (ekran görüntüsünde gösterilmez).

    SSO için Tümleşik Windows Kimlik Doğrulamasını Yapılandırma

  3. Uygulamanızı ayarlamayı bitirmek için Kullanıcılar ve gruplar bölümüne gidin ve bu uygulamaya erişecek kullanıcıları atayın.

2. Adım: SharePoint web uygulamasını yapılandırma

SharePoint web uygulamasının, Azure AD hizmetiyle doğru şekilde çalışması için Kerberos ve uygun alternatif erişim eşlemeleri ile Uygulama Ara Sunucusu. İki olası seçenek vardır:

  • Yeni bir web uygulaması oluşturun ve yalnızca Varsayılan bölgeyi kullanın. Bu, SharePoint ile en iyi deneyimi sunduğu için tercih edilen seçenektir (örneğin, SharePoint tarafından oluşturulan e-posta uyarılarında bağlantılar her zaman Varsayılan bölgeye işaret ediyor).
  • Kerberos'u varsayılan olmayan bir bölgede yapılandırmak için var olan bir web uygulamasını genişletme.

Önemli

Kullanılan bölgeden bağımsız olarak, web uygulamasının uygulama havuzu SharePoint Kerberos'un düzgün çalışması için bir etki alanı hesabı olmalıdır.

SharePoint web uygulamasını sağlama

  • Yeni bir web uygulaması oluşturun ve yalnızca Varsayılan bölgeyi (tercih edilen seçenek) kullanın:

    1. SharePoint Management Shell'i çalıştırın ve aşağıdaki betiği çalıştırın:

      # This script creates a web application and configures the Default zone with the internal/external URL needed to work with Azure AD Application Proxy
      # Edit variables below to fit your environment. Note that the managed account must exist and it must be a domain account
      $internalUrl = "https://sharepoint"
      $externalUrl = "https://spsites-demo1984.msappproxy.net/"
      $applicationPoolManagedAccount = "Contoso\spapppool"
      
      $winAp = New-SPAuthenticationProvider -UseWindowsIntegratedAuthentication -DisableKerberos:$false
      $wa = New-SPWebApplication -Name "SharePoint - AAD Proxy" -Port 443 -SecureSocketsLayer -URL $externalUrl -ApplicationPool "SharePoint - AAD Proxy" -ApplicationPoolAccount (Get-SPManagedAccount $applicationPoolManagedAccount) -AuthenticationProvider $winAp
      New-SPAlternateURL -Url $internalUrl -WebApplication $wa -Zone Default -Internal
      
    2. SharePoint Merkezi Yönetim sitesini açın.

    3. System Ayarlar altında Alternatif Erişim Eşlemelerini Yapılandır'ı seçin. Alternatif Erişim Eşleme Koleksiyonu kutusu açılır.

    4. Ekranı yeni web uygulamasıyla filtrele ve aşağıdakine benzer bir şey gördüğünüzden onaylayın:

      Web uygulamasının Alternatif Erişim Eşlemeleri

  • Mevcut bir web uygulamasını yeni bir bölgeye genişletebilir (Varsayılan bölgeyi kullanamayabilirsiniz):

    1. SharePoint Management Shell'i çalıştırın ve aşağıdaki betiği çalıştırın:

      # This script extends an existing web application to Internet zone with the internal/external URL needed to work with Azure AD Application Proxy
      # Edit variables below to fit your environment
      $webAppUrl = "http://spsites/"
      $internalUrl = "https://sharepoint"
      $externalUrl = "https://spsites-demo1984.msappproxy.net/"
      
      $winAp = New-SPAuthenticationProvider -UseWindowsIntegratedAuthentication -DisableKerberos:$false
      $wa = Get-SPWebApplication $webAppUrl
      New-SPWebApplicationExtension -Name "SharePoint - AAD Proxy" -Identity $wa -SecureSocketsLayer -Zone Extranet -Url $externalUrl -AuthenticationProvider $winAp
      New-SPAlternateURL -Url $internalUrl -WebApplication $wa -Zone Extranet -Internal
      
    2. SharePoint Merkezi Yönetim sitesini açın.

    3. System Ayarlar altında Alternatif Erişim Eşlemelerini Yapılandır'ı seçin. Alternatif Erişim Eşleme Koleksiyonu kutusu açılır.

    4. Ekranı genişletilmiş web uygulamasıyla filtrele ve aşağıdakine benzer bir şey gördüğünüzden onaylayın:

      Genişletilmiş uygulamanın Alternatif Erişim Eşlemeleri

Web uygulamasının SharePoint etki alanı hesabı altında çalıştırıla olduğundan emin olun

Web uygulamasının uygulama havuzunu çalıştıran hesabı SharePoint ve bir etki alanı hesabı olduğundan emin olmak için şu adımları izleyin:

  1. SharePoint Merkezi Yönetim sitesini açın.

  2. Güvenlik'e gidin ve Hizmet hesaplarını yapılandır'ı seçin.

  3. Web Uygulama Havuzu - WebApplicationName öğesini seçin.

    Hizmet hesabı yapılandırma seçenekleri

  4. Bu bileşen için bir hesap seçin seçeneğinin bir etki alanı hesabı döndürerek bir sonraki adımda gerekli olacağını unutmayın.

Extranet bölgesi IIS sitesi için bir HTTPS sertifikası yapılandırıldığından emin olun

İç URL HTTPS protokolünü () kullandığı için, Internet Information Services https://SharePoint/ (IIS) sitesinde bir sertifika ayar olmalıdır.

  1. Windows PowerShell açın.

  2. Otomatik olarak imzalanan bir sertifika oluşturmak ve bilgisayarın MY deposuna eklemek için aşağıdaki betiği çalıştırın:

    # Replace "SharePoint" with the actual hostname of the Internal URL of your Azure AD proxy application
    New-SelfSignedCertificate -DnsName "SharePoint" -CertStoreLocation "cert:\LocalMachine\My"
    

    Önemli

    Otomatik olarak imzalanan sertifikalar yalnızca test amacıyla uygundur. Üretim ortamlarında bunun yerine bir sertifika yetkilisi tarafından verilen sertifikaları kesinlikle kullanmanız önerilir.

  3. Internet Information Services Manager konsolunu açın.

  4. Ağaç görünümünde sunucuyu genişletin, Siteler'i genişletin, SharePoint - AAD Proxy sitesini seçin ve Bağlamalar'ı seçin.

  5. https bağlaması'ı ve ardından Düzenle'yi seçin.

  6. TLS/SSL sertifikası alanında Sertifikayı seçin SharePoint tamam'ı seçin.

Artık Azure AD SharePoint siteyi harici olarak Uygulama Ara Sunucusu.

3. Adım: Kerberos Kısıtlanmış Temsilciyi Yapılandırma

Kullanıcılar başlangıçta Azure AD'de kimlik doğrulaması ve ardından SharePoint Azure AD Proxy bağlayıcısı aracılığıyla Kerberos kullanarak kimlik doğrulaması yapmak için. Bağlayıcının Azure AD kullanıcısı adına bir Kerberos belirteci almalarına izin vermek için, Kerberos Kısıtlanmış Temsilci 'yi (KCD) protokol geçişiyle yapılandırmanız gerekir. KCD hakkında daha fazla bilgi edinmek için bkz. Kerberos Kısıtlanmış Temsilciye genel bakış.

SharePoint hizmet hesabı için SPN'yi ayarlama

Bu makalede iç URL olarak ve dolayısıyla hizmet asıl adı https://sharepoint (SPN) olarak HTTP/sharepoint ifadelanmıştır. Bu değerleri ortamınıza karşılık gelen değerlerle değiştirmeniz gerekir. SharePoint havuzu hesabına SPN kaydetmek için, etki alanının yöneticisi olarak bir komut HTTP/sharepoint Contoso\spapppool isteminden aşağıdaki komutu çalıştırın:

setspn -S HTTP/sharepoint Contoso\spapppool

Komutu Setspn SPN'yi ekleyene kadar arar. SPN zaten varsa Yinelenen SPN Değeri hatasıyla karşılaştısınız. Bu durumda, doğru uygulama havuzu hesabı altında ayarlanmazsa mevcut SPN'yi kaldırmayı göz önünde bulundurabilirsiniz. -L seçeneğiyle komutunu çalıştırarak SPN'nin Setspn başarıyla eklenmiştir. Bu komut hakkında daha fazla bilgi edinmek için bkz. Setspn.

Bağlayıcının, uygulama havuzu hesabına eklenmiş SPN'ye temsilci seçmeye SharePoint emin olun

KCD'yi, Azure AD Uygulama Ara Sunucusu hizmetinin kullanıcı kimliklerini uygulama havuzu hesabına SharePoint şekilde yapılandırma. Uygulama Ara Sunucusu bağlayıcısının Azure AD’de kimliği doğrulanmış olan kullanıcılarınız için Kerberos biletleri almasını etkinleştirerek KCD’yi yapılandırın. Ardından bu sunucu bağlamı hedef uygulamaya (bu SharePoint) iletir.

KCD'yi yapılandırmak için her bağlayıcı makinesi için şu adımları izleyin:

  1. Etki alanı denetleyicisinde etki alanı yöneticisi olarak oturum açın ve ardından etki alanı Active Directory Kullanıcıları ve Bilgisayarları.

  2. Azure AD Proxy bağlayıcısı çalıştıran bilgisayarı bulun. Bu örnekte, SharePoint Server çalıştıran bilgisayardır.

  3. Bilgisayara çift tıklayın ve ardından Temsilci sekmesini seçin.

  4. Temsilci seçme seçeneklerinin Yalnızca belirtilen hizmetlere temsilci seçme için bu bilgisayara güven olarak ayarlanmış olduğundan emin olun. Ardından Herhangi bir kimlik doğrulama protokolünü kullan'ı seçin.

  5. Ekle düğmesini seçin, Kullanıcılar veya Bilgisayarlar'ı seçin ve SharePoint havuzu hesabını bulun. Örneğin: Contoso\spapppool.

  6. SPN listesinde, hizmet hesabı için daha önce oluşturduğunuz spn'yi seçin.

  7. Tamam'ı ve ardından değişikliklerinizi kaydetmek için tekrar Tamam'ı seçin.

    Temsilci seçme ayarları

Artık dış URL'yi kullanarak SharePoint azure kimlik doğrulaması yapmak için oturum açma hazır.

Oturum açma hatalarını giderme

Sitede oturum açma çalışmıyorsa, Bağlayıcı günlüklerinde sorun hakkında daha fazla bilgi edinebilirsiniz: Bağlayıcıyı çalıştıran makineden olay görüntüleyicisini açın, Uygulama ve Hizmet Günlükleri > Microsoft > AadApplicationProxy Bağlayıcısı'na gidin ve Yönetici günlüğünü > inceleyebilirsiniz.

Sonraki adımlar