配置安全令牌服务 (SharePoint Server 2010)
适用于: SharePoint Foundation 2010, SharePoint Server 2010
上一次修改主题: 2016-11-30
本文将指导您配置 Microsoft SharePoint Server 2010 安全令牌服务 (STS)。STS 是专用于响应安全令牌请求和提供标识管理的 Web 服务。每个 STS 的核心功能都相同,但每个 STS 执行的任务的性质取决于该 STS 相对于设计中的其他 STS Web 服务所发挥的作用。
本文内容:
使用 STS 的 Web 应用程序的工作原理
使用 Windows PowerShell 配置基于声明的 SharePoint Web 应用程序
编辑绑定
配置使用 STS 的 Web 应用程序
使用 STS 的 Web 应用程序的工作原理
使用安全令牌服务的 Web 应用程序处理安全令牌的颁发、管理以及验证请求。安全令牌由标识声明(如用户的名称、角色或匿名标识符)的集合组成。令牌可通过多种形式颁发,如以安全声明标记语言 (SAML) 令牌形式颁发。可使用 X.509 证书保护安全令牌,以保护令牌内容在传输过程中的安全并启用可信颁发者的验证。有关安全令牌服务的其他信息,请参阅规划身份验证方法 (SharePoint Server 2010)。
标识提供程序-STS (IP-STS) 是一种处理可信标识声明请求的 Web 服务。IP-STS 使用称为标识存储区的数据库来存储和管理标识及其关联属性。标识提供程序的标识存储区可以是简单的存储区,如 SQL 数据库表。IP-STS 也可以使用复杂的标识存储区,如 Active Directory 域服务 (AD DS) 或 Active Directory 轻型目录服务 (AD LDS)。
IP-STS 可用于想要创建和管理标识的客户,以及必须验证客户向其提供的标识的信赖方应用程序。每个 IP-STS 都与联盟合作伙伴信赖方 STS Web 应用程序(每个都称为 RP-STS)之间存在联盟信任关系,并向这些 STS Web 应用程序颁发令牌。客户可以使用诸如 CardSpace 之类的卡选择器创建或设置托管信息卡,这些信息卡表示向 IP-STS 注册的标识。客户在请求表示包含在 IP-STS 标识存储区中的标识的安全令牌时,会与 IP-STS 交互。验证完成后,IP-STS 会颁发一个可信安全令牌,客户可将该令牌提供给信赖方应用程序。信赖方应用程序可与 IP-STS 建立信任关系,从而使这些应用程序可以验证 IP-STS 颁发的安全令牌。建立信任关系后,信赖方应用程序可以检查客户提供的安全令牌,并决定令牌包含的标识声明的有效性。
信赖方 STS (RP-STS) 是接收来自可信联盟合作伙伴 IP-STS 的安全令牌的 STS。RP-STS 反过来又颁发新的安全令牌供本地信赖方应用程序使用。通过将 RP-STS Web 应用程序与 IP-STS Web 应用程序联合使用,组织可以向合作伙伴组织中的用户提供 Web 单一登录 (SSO)。每个组织可继续管理其自己的标识存储区。
使用 Windows PowerShell 配置基于声明的 SharePoint Web 应用程序
执行以下过程以使用 Windows PowerShell 配置基于声明的 SharePoint Web 应用程序。
使用 Windows PowerShell 配置基于声明的 SharePoint Web 应用程序
验证您是否满足以下最低要求:请参阅 Add-SPShellAdmin。
在“开始”菜单上,单击“所有程序”。
单击“Microsoft SharePoint 2010 产品”。
单击“SharePoint 2010 Management Shell”。
从 Windows PowerShell 命令提示符(即 PS C:\>)处创建 x509Certificate2 对象,如以下示例所示:
$cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("path to cert file")创建要用于验证提供程序的声明类型映射,如以下示例所示:
New-SPClaimTypeMapping "https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming通过先为 realm 参数创建值来创建可信登录提供程序,如以下示例所示:
$realm = "urn:" + $env:ComputerName + ":domain-int"为
signinurl参数创建值以指向 Web 应用程序,如以下示例所示:$signinurl = "https://test-2/FederationPassive/"使用与声明映射 (
$map1.InputClaimType) 中相同的IdentifierClaim值创建可信登录提供程序,如以下示例所示:$ap = New-SPTrustedIdentityTokenIssuer -Name "WIF" -Description "Windows® Identity Foundation" -Realm $realm -ImportTrustCertificate $cert -ClaimsMappings $map1[,$map2..] -SignInUrl $signinurl -IdentifierClaim $map1.InputClaimType通过先为当前用户的应用程序池帐户创建值来创建 Web 应用程序,如以下示例所示:
$account = "DOMAIN\" + $env:UserName备注
应用程序池帐户必须为管理帐户。若要创建管理帐户,请使用
New-SPManagedAccount。为 Web 应用程序 URL 创建值 (
$webappurl = "https://" + $env:ComputerName),如以下示例所示:$wa = New-SPWebApplication -name "Claims WIF" -SecureSocketsLayer -ApplicationPool "SharePoint SSL" -ApplicationPoolAccount $account -Url $webappurl -Port 443 -AuthenticationProvider $ap通过先创建 claim 对象来创建网站,如以下示例所示:
$claim = New-SPClaimsPrincipal -TrustedIdentityTokenIssuerr $ap -Identity $env:UserName创建网站,如以下示例所示:
$site = New-SPSite $webappurl -OwnerAlias $claim.ToEncodedString() -template "STS#0"
编辑绑定
配置基于声明的 SharePoint Web 应用程序后,可编辑绑定。
编辑绑定
在命令提示符处键入 INETMGR 以启动 IIS 管理器。
转到 IIS 中的“声明 Web 应用程序”网站。
在左窗格中,右键单击“声明 Web 应用程序”,并选择“编辑绑定”。
选择“https”,并单击“编辑”。
在“SSL 证书”下,选择任一列出的证书。
配置使用 STS 的 Web 应用程序
在配置基于声明的 SharePoint Server 2010 Web 应用程序、编辑绑定以及配置 Web.Config 文件之后,可以使用此部分中的过程配置安全令牌服务 Web 应用程序。
配置使用 STS 的 Web 应用程序
打开 Active Directory 联合身份验证服务 (AD FS) 2.0 管理控制台。
在左窗格中,展开“策略”,然后选择“信赖方”。
在右窗格中,单击“添加信赖方”。此时将打开 Active Directory 联合身份验证服务 (AD FS) 2.0 配置向导。
在向导的第一页上,单击“开始”。
单击“手动输入信赖方配置”,然后单击“下一步”。
键入信赖方名称,然后单击“下一步”。
确保选中“Active Directory 联合身份验证服务(AD FS) 2.0 服务器配置文件”,然后单击“下一步”。
如果不打算使用加密证书,请单击“下一步”。
选择“启用对基于 Web 浏览器的联合身份验证的支持”。
键入 Web 应用程序 URL 的名称,并在名称后附加 /_trust/(例如:https://servername/_trust/)。单击“下一步”。
键入标识符,单击“添加”。单击“下一步”。
在“摘要”页上,单击“下一步”,然后单击“关闭”。此时将打开规则编辑器管理控制台。使用此控制台配置从 LDAP Web 应用程序到 SharePoint 的声明映射。
在左窗格中,展开“新建规则”,然后选择“预定义规则”。
选择“从 LDAP 属性存储区创建声明”。
在右窗格中,从“属性存储区”下拉列表中选择“企业 Active Directory 用户帐户存储区”。
在“LDAP 属性”下,选择“sAMAccountName”。
在“传出声明类型”下,选择“电子邮件地址”。
在左窗格中,单击“保存”。