Logo
技术 C#

实战:ADFS3.0单点登录系列-集成SharePoint

photo
Pastore Antonio

2023年03月28日

这是本系列第四篇了,终于轮到SharePoint上场了,但是本文不会过多讲解SharePoint安装等话题,而是直入主题,讲解如何进行配置,让其于ADFS配合完成SSO的工作。

注意:本文使用的SharePoint为2013版。

 

本系列导航

实战:ADFS3.0单点登录系列-总览

实战:ADFS3.0单点登录系列-前置准备

实战:ADFS3.0单点登录系列-ADFS3.0安装配置

实战:ADFS3.0单点登录系列-集成SharePoint

实战:ADFS3.0单点登录系列-集成MVC

实战:ADFS3.0单点登录系列-集成Exchange

实战:ADFS3.0单点登录系列-自定义ADFS样式

实战:ADFS3.0单点登录系列-问题汇总

 

一 SharePoint端的配置

1.在ADFS服务器,打开ADFS管理工具,定位到证书,将令牌签名证书导出。并拷贝到SharePoint服务器。

2.打开SharePoint命令行管理工具,并非是windows的的powershell

3.执行如下命令

$cert = New-Object System.Security.Cryptography.x509Certificates.x509Certificate2 (“c:\ADFS.cer”)

New-SPTrustedRootAuthority -Name “Token Signing Cert” -Certificate $cert (Name可以随意)

$upnClaimMap = New-SPClaimTypeMapping -IncomingClaimType “http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn” -IncomingClaimTypeDisplayName “UPN” -SameAsIncoming(定义UPN声明类型)

$emailClaimMap= New-SPClaimTypeMapping -IncomingClaimType “http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress”-IncomingClaimTypeDisplayName “EmailAddress” –SameAsIncoming(定义Email声明类型)

$realm = “urn:sharepoint:ql” (设置标识符,sharepoint提供给ADFS的唯一身份认证)

$signInURL = “https://xtcs-validate.test.com/adfs/ls” (adfs登录地址)

$ap = New-SPTrustedIdentityTokenIssuer -Name “TCSCD Provider for SharePoint” -description “SAML secured SharePoint” -realm $realm -ImportTrustCertificate $cert -ClaimsMappings $emailClaimMap, $upnClaimMap -SignInURL $signInURL -IdentifierClaim $upnClaimMap.InputClaimType

(Name可以随意命名,描述也可随意命名)

 

注意:

l  如果需要修改证书信任,则先删除
Remove-SPTrustedRootAuthority -Identity " Token Signing Cert"
l  如果需要修改tokenissuer:则先删除
 Remove-SPTrustedIdentityTokenIssuer -Identity " TCSCD Provider for SharePoint "

 

否则会出现如下错误:

 “ADFS new-sptrustedIdentityTokenIssuer:the trust provider certificate already exist”

 

二 ADFS配置

1.在ADFS服务器,打开ADFS管理控制台,并定位到信任关系->信赖方信任

 

2.点击“添加信赖方信任”

3.选择“手动输入有关信赖方的数据”

 

4.输入名称和描述

 

5.选择“ADFS配置文件”,下面的是ADFS1.0和2.0使用的配置文件。

6.配置证书,默认即可,后面会讲解如何对证书进行单独的修改。

7.选择“启用对ws-federation的被动协议支持”,URL必须是https://sharepoint应用程序地址/_trust/的形式。例如:https://sso-sp.tt.com/_trust/

8.配置标识符,格式“urn:xxx:xx,和1.3中的$realm设置相同

9.立即启用多重身份验证,保持默认

10.选择授权规则,选择“允许所有用户访问此信赖方”

11.完成并打开”编辑声明规则“对话框

 

 

12.添加声明规则,以声明形式发送LDAP特性

13.填入名称,并选择UPN和Email和之前SharePoint命令行工具中设置的声明相对应

14.完成

 

三 配置SharePoint使用前面创建的自定义STS

1.Sharepoint管理中心>应用程序管理>管理web应用程序>选中需要配置的web应用程序>身份验证提供程序

 2.修改身份提供程序:点击默认->编辑验证>选中信任的身份提供程序>选中之前注册的信任的身份验证提供程序->保存,本例中为

TSCCD Provider for SharePoint

3.修改SharePoint网站集管理员为UPN格式:Sharepoint管理中心>应用程序管理>网站集>修改网站集管理员

 

 

四 验证

直接在浏览器输入SharePoint应用程序地址,检查是否跳转至ADFS登录页面

 

 

 

至此,sharepoint成功与ADFS结合,并且使用ADFS的登录替换掉了SharePoint自带的弹出框身份认证。

注意:本例中SharePoint需要配置为使用SSL的形式。

 

本文为原创文章,请注意保留出处!
修复群晖Synology Drive client右键菜单缺失问题 Local, clean & environmental 作者:Pastore Antonio
1806 浏览量
1779 浏览量
configure: error: Package requirements (oniguruma) were not met Local, clean & environmental 作者:Pastore Antonio
1524 浏览量
Adobe Acrobat Pro 激活 Local, clean & environmental 作者:Pastore Antonio
1518 浏览量
追寻日出,找回自己 Local, clean & environmental 作者:Pastore Antonio
1488 浏览量