现在越来越多的企业使用ADFS作为单点登录,我希望今天的内容能帮助大家了解如何配置ADFS和SharePoint 2013。安装配置SharePoint2013这块就不做具体描述了,今天主要讲一下怎么安装配置ADFS3.0。

1.   ADFS安装

  1. 在ADFS服务器上,以域管理员Administrator身份登录,以管理员身份启动Powershell,运行命令“Install-WindowsFeature -name ADFS-Federation”安装ADFS Windows角色功能。
  2. 启动服务器管理器,单击右上角黄色旗帜

3. 单击“在此服务器上配置联合身份验证服务”

4. 单击“下一步”

4. 单击“下一步”

5. 单击“导入”

6. 选择在2.5中导出的证书,单击“打开”

7. 输入证书的导出时设置的密码

8. 输入下述信息:

  • 联合身份验证服务名称:ADFS.***.COM –注意需要在DNS中建立相应的A记录
  • 联合身份验证服务名称:*** Test –该名称任意,会显示在登录页面上

单击“下一步”

9. 单击“选择”

10. 输入ADFS服务账户名称,单击“检查名称”后,单击“确定”

11. 输入ADFS服务的密码,单击“下一步”

12. 单击“下一步”

13. 单击“下一步”

14. 单击“配置”

15. 单击“关闭”完成配置

16. 启动浏览器,在地址栏输入“https://adfs.****.com/federationmetadata/2007-06/federationmetadata.xml “ 回车,正确显示ADFS metadata页面,证明ADFS服务已经正确配置。

2. ADFS端配置

2.1 导出令牌签名证书

在服务器管理中,单击“工具-ADFS管理”启动ADFS管理工具

在左边导航栏,依次选择“服务-证书”,然后选择“令牌签名”,在右边操作栏,选择查看证书

单击“复制到文件”

单击“下一步”

单击下一步

指定证书存放位置和文件名,单击“下一步”

单击“完成”,注意该证书在配置SharePoint时需要。

2.2  创建信赖方信任

在ADFS 管理工具,浏览到“信任关系-信赖方信任”,在右边操作栏,选择“添加信赖方信任”启动向导

单击“启动”

选择“手动输入有关信赖方的数据”,单击下一步

输入信赖方显示名称和注释,用于在ADFS中标识信赖方,不可重复,单击“下一步”

默认是用ADFS配置文件,单击“下一步”

单击“下一步”

选择“启用对WS-Federation被动协议的支持”(对于微软产品和.NET开发的应用,都可以选择该协议,对于Java等其他异构系统,请选择“启用对SAML2.0 WEB SSO 协议的支持”),输入“信赖方WS-Federation被动协议URL”,在这里测试环境的SharePoint的URL:https://protal**.***.com/_trust/, 其它请输入接受ADFS认证令牌的入口URL地址,单击“下一步”

删除已有的信赖方标识符,输入“urn:test:sp2013”最为SharePoint测试环境的信赖方标识符,单击“添加”,请记录该信赖方标识符,在配置SharePoint时会用到,

单击“下一步”

单击“下一步”

单击“下一步”

单击“下一步”

单击“关闭”

单击“添加规则”

单击“下一步”

输入声明规则名称,选择“Active directory”作为特性存储,在LDAP特性到传出声明类型映射:

按下图设置UPN和Windows账户的映射,左边是是Active Drectory的属性,右边是ADFS令牌中包含的属性,可根据需要设置多个属性。单击“完成”.

单击“确定”完成ADFS端的配置

注释:

对于SharePoint每个Web Application都需要在ADFS端配置一个信赖方信任

对于其它业务应用,每个应用应该配置在ADFS端配置一个信赖方信任

3. SharePoint ADFS 配置

3.1  导入Web站点SSL证书

运行“inetmgr.exe”,启动Internet Information Service (IIS)管理器

双击“服务器证书”

在右边操作栏,单击“导入”

输入证书文件路径,证书密码,清除“允许导出此证书”,单击确定

确认证书已经导入

注释:证书导入也可以通过MMC中证书管理工具导入。

3.2 创建 SharePoint 信任的身份令牌颁发者

在SharePoint 服务器上,以管理员身份启动SharePoint 命令行管理程序:

序号

命令说明

执行命令

1

设置ADFS签名证书变量,此处Tokensign.cer证书是从ADFS服务器上导出的令牌签名证书

$cert = New-Object   System.Security.Cryptography.x509Certificates.x509Certificate2 (“\\ad-test\Software\Tool\Tokensign.cer")

2

将令牌签名证书导入到SharePoint的信任区

New-SPTrustedRootAuthority -Name "Token Signing Cert"   -Certificate $cert

3

设置UPN声明变量

$upnClaimMap = New-SPClaimTypeMapping   -IncomingClaimType    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"  -IncomingClaimTypeDisplayName   "UPN" -SameAsIncoming

设置通用名声明变量

$cnNameMap = New-SPClaimTypeMapping -IncomingClaimType    "http://schemas.xmlsoap.org/claims/CommonName"  -IncomingClaimTypeDisplayName "Display   Name" –SameAsIncoming

4

设置“realm”声明变量,此处一定要与ADFS信赖方信任配置的“信赖方标识符”一致,包括大小写

$realm =  “urn:Dev2:SP2013”

5

设置登录URL变量,此处为ADFS登录的页URL

$signInURL = “https://adfs.****.com/adfs/ls

6

$ap = New-SPTrustedIdentityTokenIssuer -Name "ADFS Web SSO for   SharePoint" -description “ADFS Web SSO for SharePoint"  -realm $realm  -ImportTrustCertificate $cert  -ClaimsMappings $upnClaimMap, $cnNameMap   -SignInURL $signInURL -IdentifierClaim $upnClaimMap.InputClaimType

7

Get-SPTrustedIdentityTokenIssuer

3.3       配置SharePoint使用ADFS SSO登录认证

启动SharePoint管理中心,单击“管理Web应用程序”

选中要配置使用ADFS登录的Web应用程序,单击“身份验证提供程序”

单击“默认”

选中“信任的身份提供程序”和“SAML Provider for SharePoint”,单击“保存”

3.4 更改站点集管理员账户使用ADFS认证识别的账户名

由于使用ADFS认证后,认证授权程序不能正确识别使用传统的域名\账户形式的授权,需要更改成UPN的形式,因此需要更改站点集管理员为UPN形式。

启动SharePoint管理中心,单击应用程序管理,选择更改网站集管理员

选择正确的网站集,参考下图,更改网站集管理员为UPN形式。

3.5 配置第二个Web Application使用ADFS认证

  1. 创建Web Application及站点集,这里假定Web Application的URL是https://test02.test.com
  2. 按照5.2步骤创建信赖方信任,并记下信赖方信任标识符,这里假定是urn:test02:sp2013
  3. 启动SharePoint 命令行窗口,执行下面的命令

$ap = Get-SPTrustedIdentityTokenIssuer

$uri = "https://test02.test.com"

$id = "urn:test02:sp2013"

$ap.ProviderRealms.Add($uri, $id)

$ap.update()

如果回滚该操作,执行面命令:

$ap = Get-SPTrustedIdentityTokenIssuer

$uri = "https://test02.test.com"

$ap.ProviderRealms.Remove($uri)

$ap.update()

  1. 按照3.3和3.4步骤配置使用ADFS的基于声明的登录和更改站点集管理员账户为UPN形式。
  2. 在测试前端服务器上,启动浏览器,输入该地址https://portal.test.com/,回车,选择”SAML Provider for SharePoint”

1.6       测试ADFS登录

输入有权限的用户名和密码,单击“登录”

登录完成

这样我们的ADFS与SharePoint的登录配置完成了!

ADFS3.0与SharePoint2013安装配置(原创)的更多相关文章

  1. CentOS下Hadoop-2.2.0集群安装配置

    对于一个刚开始学习Spark的人来说,当然首先需要把环境搭建好,再跑几个例子,目前比较流行的部署是Spark On Yarn,作为新手,我觉得有必要走一遍Hadoop的集群安装配置,而不仅仅停留在本地 ...

  2. 最新版spark1.1.0集群安装配置

    和分布式文件系统和NoSQL数据库相比而言,spark集群的安装配置还算是比较简单的: 很多教程提到要安装java和scala,但我发现spark最新版本是包含scala的,JRE采用linux内嵌的 ...

  3. 【hadoop之翊】——基于CentOS的hadoop2.4.0伪分布安装配置

    今天总算是把hadoop2.4的整个开发环境弄好了,包括 windows7上eclipse连接hadoop,eclipse的配置和測试弄得烦躁的一逗比了~ 先上一张成功的图片,hadoop的伪分布式安 ...

  4. Android Studio 1.0 苹果电脑安装配置

    ​ 前言 近日Google终于不负众望,发布了期待已久的Android Studio 1.0正式版.小编自己是Android开发者,之前使用过Eclipse,也试用过Android Studio 0. ...

  5. Nagios Windows客户端NSClient++ 0.4.x安装配置

    NSClient++ 0.3.x和NSClient++ 0.4.x的配置完全不一样,官方的文档也没有全部更新.我记录下自己的一些操作.   一.下载安装NSClient++ 1.到http://nsc ...

  6. hbase 2.0.2 分布式安装配置/jar包替换

    环境 zk: 3.4.10 hadoop 2.7.7 jdk8 hbase 2.0.2 三台已安装配置好的hadoop002,hadoop003,hadoop004 1.上传并解压hbase-2.1. ...

  7. MySQL8.0.x免安装配置

    目录 概述 下载 配置环境变量 编辑配置文件 初始化MySQL 安装MySQL系统(Windows)服务 初始化MySQL 启动MySQL 修改默认密码 开启远程登录 概述 MySQL从5.7一下子跳 ...

  8. Linux基于Hadoop2.8.0集群安装配置Hive2.1.1及基础操作

    前言 安装Apache Hive前提是要先安装hadoop集群,并且hive只需要在hadoop的namenode节点集群里安装即可,安装前需保证Hadoop已启(动文中用到了hadoop的hdfs命 ...

  9. hive 0.11的安装配置

    一.上传hive 0.11解压后的文件到linux 1.用的版本是shark站点提供的,可能是针对shark修改了代码. 2.追加mysql.oracle两个jdbc驱动包到lib目录下. 二.配置相 ...

随机推荐

  1. js实现前端分页页码管理

    用JS实现前端分页页码管理,可以很美观的区分页码显示(这也是参考大多数网站的分页页码展示),能够有很好的用户体验,这也是有业务需要就写了一下,还是新手,经验不足,欢迎指出批评! 首先先看效果图: 这是 ...

  2. 转:serialVersionUID作用

    汗,以前学了还忘了... Java的序列化机制是通过在运行时判断类的serialVersionUID来验证版本一致性的.在进行反序列化时,JVM会把传来的字节流中的serialVersionUID与本 ...

  3. Android-armebi-v7a、arm64-v8a、armebi的坑

    先来一波扫盲: armeabi:针对普通的或旧的arm v5 cpu armeabi-v7a:针对有浮点运算或高级扩展功能的arm v7 cpu(32位ARM设备) arm64-v8a:64位ARM设 ...

  4. C++中的引用

    一,C++中引用的基础知识 1.引用的基本概念 1.所谓的引用其实就是对变量起“别名”.引用和变量对应得是相同的内存,修改引用的值,变量的值也会改变,和指针类似. 2.引用在定义的时候必须要初始化,初 ...

  5. JavaScript之链式结构序列化

    一.概述 在JavaScript中,链式模式代码,太多太多,如下: if_else: if(...){ //TODO }else if(...){ //TODO }else{ //TODO } swi ...

  6. .Net Core上也可以使用的二维码组件

    我Fork了QRCoder,并且兼容了.Net Core,图形库用的是ZKWeb.System.Drawing Github: https://github.com/zkweb-framework/Q ...

  7. PHP设计模式(八)桥接模式(Bridge For PHP)

    一.概述 桥接模式:将两个原本不相关的类结合在一起,然后利用两个类中的方法和属性,输出一份新的结果. 二.案例 1.模拟毛笔(转) 需求:现在需要准备三种粗细(大中小),并且有五种颜色的比 如果使用蜡 ...

  8. SEED实验系列文章目录

    美国雪城大学SEEDLabs实验列表 SEEDLabs是一套完整的信息安全实验,涵盖本科信息安全教学中的大部分基本原理.项目组2002年由杜文亮教授创建,目前开发了30个实验,几百所大学已采用.实验楼 ...

  9. Node.js 教程 01 - 简介、安装及配置

    系列目录: Node.js 教程 01 - 简介.安装及配置 Node.js 教程 02 - 经典的Hello World Node.js 教程 03 - 创建HTTP服务器 Node.js 教程 0 ...

  10. windows 7(32/64位)GHO安装指南(序篇)~

    大家好,本人是高三刚毕业,即将踏入校园的程序猿~我写这篇文章呢,主要是想巩固一下之前对于电脑的基础知识理论,也希望能帮助没有电脑基础的同学能维护一下自己的电脑,要是能帮助女生修电脑那就是更好啦~~哈哈 ...