现在越来越多的企业使用ADFS作为单点登录,我希望今天的内容能帮助大家了解如何配置ADFS和SharePoint 2013。安装配置SharePoint2013这块就不做具体描述了,今天主要讲一下怎么安装配置ADFS3.0。

1.   ADFS安装

  1. 在ADFS服务器上,以域管理员Administrator身份登录,以管理员身份启动Powershell,运行命令“Install-WindowsFeature -name ADFS-Federation”安装ADFS Windows角色功能。
  2. 启动服务器管理器,单击右上角黄色旗帜

3. 单击“在此服务器上配置联合身份验证服务”

4. 单击“下一步”

4. 单击“下一步”

5. 单击“导入”

6. 选择在2.5中导出的证书,单击“打开”

7. 输入证书的导出时设置的密码

8. 输入下述信息:

  • 联合身份验证服务名称:ADFS.***.COM –注意需要在DNS中建立相应的A记录
  • 联合身份验证服务名称:*** Test –该名称任意,会显示在登录页面上

单击“下一步”

9. 单击“选择”

10. 输入ADFS服务账户名称,单击“检查名称”后,单击“确定”

11. 输入ADFS服务的密码,单击“下一步”

12. 单击“下一步”

13. 单击“下一步”

14. 单击“配置”

15. 单击“关闭”完成配置

16. 启动浏览器,在地址栏输入“https://adfs.****.com/federationmetadata/2007-06/federationmetadata.xml “ 回车,正确显示ADFS metadata页面,证明ADFS服务已经正确配置。

2. ADFS端配置

2.1 导出令牌签名证书

在服务器管理中,单击“工具-ADFS管理”启动ADFS管理工具

在左边导航栏,依次选择“服务-证书”,然后选择“令牌签名”,在右边操作栏,选择查看证书

单击“复制到文件”

单击“下一步”

单击下一步

指定证书存放位置和文件名,单击“下一步”

单击“完成”,注意该证书在配置SharePoint时需要。

2.2  创建信赖方信任

在ADFS 管理工具,浏览到“信任关系-信赖方信任”,在右边操作栏,选择“添加信赖方信任”启动向导

单击“启动”

选择“手动输入有关信赖方的数据”,单击下一步

输入信赖方显示名称和注释,用于在ADFS中标识信赖方,不可重复,单击“下一步”

默认是用ADFS配置文件,单击“下一步”

单击“下一步”

选择“启用对WS-Federation被动协议的支持”(对于微软产品和.NET开发的应用,都可以选择该协议,对于Java等其他异构系统,请选择“启用对SAML2.0 WEB SSO 协议的支持”),输入“信赖方WS-Federation被动协议URL”,在这里测试环境的SharePoint的URL:https://protal**.***.com/_trust/, 其它请输入接受ADFS认证令牌的入口URL地址,单击“下一步”

删除已有的信赖方标识符,输入“urn:test:sp2013”最为SharePoint测试环境的信赖方标识符,单击“添加”,请记录该信赖方标识符,在配置SharePoint时会用到,

单击“下一步”

单击“下一步”

单击“下一步”

单击“下一步”

单击“关闭”

单击“添加规则”

单击“下一步”

输入声明规则名称,选择“Active directory”作为特性存储,在LDAP特性到传出声明类型映射:

按下图设置UPN和Windows账户的映射,左边是是Active Drectory的属性,右边是ADFS令牌中包含的属性,可根据需要设置多个属性。单击“完成”.

单击“确定”完成ADFS端的配置

注释:

对于SharePoint每个Web Application都需要在ADFS端配置一个信赖方信任

对于其它业务应用,每个应用应该配置在ADFS端配置一个信赖方信任

3. SharePoint ADFS 配置

3.1  导入Web站点SSL证书

运行“inetmgr.exe”,启动Internet Information Service (IIS)管理器

双击“服务器证书”

在右边操作栏,单击“导入”

输入证书文件路径,证书密码,清除“允许导出此证书”,单击确定

确认证书已经导入

注释:证书导入也可以通过MMC中证书管理工具导入。

3.2 创建 SharePoint 信任的身份令牌颁发者

在SharePoint 服务器上,以管理员身份启动SharePoint 命令行管理程序:

序号

命令说明

执行命令

1

设置ADFS签名证书变量,此处Tokensign.cer证书是从ADFS服务器上导出的令牌签名证书

$cert = New-Object   System.Security.Cryptography.x509Certificates.x509Certificate2 (“\\ad-test\Software\Tool\Tokensign.cer")

2

将令牌签名证书导入到SharePoint的信任区

New-SPTrustedRootAuthority -Name "Token Signing Cert"   -Certificate $cert

3

设置UPN声明变量

$upnClaimMap = New-SPClaimTypeMapping   -IncomingClaimType    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"  -IncomingClaimTypeDisplayName   "UPN" -SameAsIncoming

设置通用名声明变量

$cnNameMap = New-SPClaimTypeMapping -IncomingClaimType    "http://schemas.xmlsoap.org/claims/CommonName"  -IncomingClaimTypeDisplayName "Display   Name" –SameAsIncoming

4

设置“realm”声明变量,此处一定要与ADFS信赖方信任配置的“信赖方标识符”一致,包括大小写

$realm =  “urn:Dev2:SP2013”

5

设置登录URL变量,此处为ADFS登录的页URL

$signInURL = “https://adfs.****.com/adfs/ls

6

$ap = New-SPTrustedIdentityTokenIssuer -Name "ADFS Web SSO for   SharePoint" -description “ADFS Web SSO for SharePoint"  -realm $realm  -ImportTrustCertificate $cert  -ClaimsMappings $upnClaimMap, $cnNameMap   -SignInURL $signInURL -IdentifierClaim $upnClaimMap.InputClaimType

7

Get-SPTrustedIdentityTokenIssuer

3.3       配置SharePoint使用ADFS SSO登录认证

启动SharePoint管理中心,单击“管理Web应用程序”

选中要配置使用ADFS登录的Web应用程序,单击“身份验证提供程序”

单击“默认”

选中“信任的身份提供程序”和“SAML Provider for SharePoint”,单击“保存”

3.4 更改站点集管理员账户使用ADFS认证识别的账户名

由于使用ADFS认证后,认证授权程序不能正确识别使用传统的域名\账户形式的授权,需要更改成UPN的形式,因此需要更改站点集管理员为UPN形式。

启动SharePoint管理中心,单击应用程序管理,选择更改网站集管理员

选择正确的网站集,参考下图,更改网站集管理员为UPN形式。

3.5 配置第二个Web Application使用ADFS认证

  1. 创建Web Application及站点集,这里假定Web Application的URL是https://test02.test.com
  2. 按照5.2步骤创建信赖方信任,并记下信赖方信任标识符,这里假定是urn:test02:sp2013
  3. 启动SharePoint 命令行窗口,执行下面的命令

$ap = Get-SPTrustedIdentityTokenIssuer

$uri = "https://test02.test.com"

$id = "urn:test02:sp2013"

$ap.ProviderRealms.Add($uri, $id)

$ap.update()

如果回滚该操作,执行面命令:

$ap = Get-SPTrustedIdentityTokenIssuer

$uri = "https://test02.test.com"

$ap.ProviderRealms.Remove($uri)

$ap.update()

  1. 按照3.3和3.4步骤配置使用ADFS的基于声明的登录和更改站点集管理员账户为UPN形式。
  2. 在测试前端服务器上,启动浏览器,输入该地址https://portal.test.com/,回车,选择”SAML Provider for SharePoint”

1.6       测试ADFS登录

输入有权限的用户名和密码,单击“登录”

登录完成

这样我们的ADFS与SharePoint的登录配置完成了!

ADFS3.0与SharePoint2013安装配置(原创)的更多相关文章

  1. CentOS下Hadoop-2.2.0集群安装配置

    对于一个刚开始学习Spark的人来说,当然首先需要把环境搭建好,再跑几个例子,目前比较流行的部署是Spark On Yarn,作为新手,我觉得有必要走一遍Hadoop的集群安装配置,而不仅仅停留在本地 ...

  2. 最新版spark1.1.0集群安装配置

    和分布式文件系统和NoSQL数据库相比而言,spark集群的安装配置还算是比较简单的: 很多教程提到要安装java和scala,但我发现spark最新版本是包含scala的,JRE采用linux内嵌的 ...

  3. 【hadoop之翊】——基于CentOS的hadoop2.4.0伪分布安装配置

    今天总算是把hadoop2.4的整个开发环境弄好了,包括 windows7上eclipse连接hadoop,eclipse的配置和測试弄得烦躁的一逗比了~ 先上一张成功的图片,hadoop的伪分布式安 ...

  4. Android Studio 1.0 苹果电脑安装配置

    ​ 前言 近日Google终于不负众望,发布了期待已久的Android Studio 1.0正式版.小编自己是Android开发者,之前使用过Eclipse,也试用过Android Studio 0. ...

  5. Nagios Windows客户端NSClient++ 0.4.x安装配置

    NSClient++ 0.3.x和NSClient++ 0.4.x的配置完全不一样,官方的文档也没有全部更新.我记录下自己的一些操作.   一.下载安装NSClient++ 1.到http://nsc ...

  6. hbase 2.0.2 分布式安装配置/jar包替换

    环境 zk: 3.4.10 hadoop 2.7.7 jdk8 hbase 2.0.2 三台已安装配置好的hadoop002,hadoop003,hadoop004 1.上传并解压hbase-2.1. ...

  7. MySQL8.0.x免安装配置

    目录 概述 下载 配置环境变量 编辑配置文件 初始化MySQL 安装MySQL系统(Windows)服务 初始化MySQL 启动MySQL 修改默认密码 开启远程登录 概述 MySQL从5.7一下子跳 ...

  8. Linux基于Hadoop2.8.0集群安装配置Hive2.1.1及基础操作

    前言 安装Apache Hive前提是要先安装hadoop集群,并且hive只需要在hadoop的namenode节点集群里安装即可,安装前需保证Hadoop已启(动文中用到了hadoop的hdfs命 ...

  9. hive 0.11的安装配置

    一.上传hive 0.11解压后的文件到linux 1.用的版本是shark站点提供的,可能是针对shark修改了代码. 2.追加mysql.oracle两个jdbc驱动包到lib目录下. 二.配置相 ...

随机推荐

  1. 【.net 深呼吸】细说CodeDom(2):表达式、语句

    在上一篇文章中,老周厚着脸皮给大伙介绍了代码文档的基本结构,以及一些代码对象与CodeDom类型的对应关系. 在评论中老周看到有朋友提到了 Emit,那老周就顺便提一下.严格上说,Emit并不是针对代 ...

  2. 深入理解DIP、IoC、DI以及IoC容器

    摘要 面向对象设计(OOD)有助于我们开发出高性能.易扩展以及易复用的程序.其中,OOD有一个重要的思想那就是依赖倒置原则(DIP),并由此引申出IoC.DI以及Ioc容器等概念.通过本文我们将一起学 ...

  3. HTML5 介绍

    本篇主要介绍HTML5规范的内容和页面上的架构变动. 目录 1. HTML5介绍 1.1 介绍 1.2 内容 1.3 浏览器支持情况 2. 创建HTML5页面 2.1 <!DOCTYPE> ...

  4. 【Win 10 应用开发】在App所在的进程中执行后台任务

    在以往版本中,后台任务都是以独立的专用进程来运行,因此,定义后台任务代码的类型都要位于 Windows 运行时组件项目中. 不过,在14393中,SDK 作了相应的扩展,不仅支持以前的独立进程中运行后 ...

  5. nginx源码分析之模块初始化

    在nginx启动过程中,模块的初始化是整个启动过程中的重要部分,而且了解了模块初始化的过程对应后面具体分析各个模块会有事半功倍的效果.在我看来,分析源码来了解模块的初始化是最直接不过的了,所以下面主要 ...

  6. DDD 领域驱动设计-商品建模之路

    最近在做电商业务中,有关商品业务改版的一些东西,后端的架构设计采用现在很流行的微服务,有关微服务的简单概念: 微服务是一种架构风格,一个大型复杂软件应用由一个或多个微服务组成.系统中的各个微服务可被独 ...

  7. SDWebImage源码解读 之 NSData+ImageContentType

    第一篇 前言 从今天开始,我将开启一段源码解读的旅途了.在这里先暂时不透露具体解读的源码到底是哪些?因为也可能随着解读的进行会更改计划.但能够肯定的是,这一系列之中肯定会有Swift版本的代码. 说说 ...

  8. js面向对象学习 - 对象概念及创建对象

    原文地址:js面向对象学习笔记 一.对象概念 对象是什么?对象是“无序属性的集合,其属性可以包括基本值,对象或者函数”.也就是一组名值对的无序集合. 对象的特性(不可直接访问),也就是属性包含两种,数 ...

  9. 快速了解微信小程序的使用,一个根据小程序的框架开发的todos app

    微信官方已经开放微信小程序的官方文档和开发者工具.前两天都是在看相关的新闻来了解小程序该如何开发,这两天官方的文档出来之后,赶紧翻看了几眼,重点了解了一下文档中框架与组件这两个部分,然后根据简易教程, ...

  10. javascript函数

    array.sort(function(a, b){ return a -b ; } )   把数组 array 按照从小到大排序. [11, 22, 586, 10, -58, 86].sort(f ...