Konfigurieren der Authentifizierung mit einem SAML-Sicherheitstoken (SharePoint Foundation 2010)
Gilt für: SharePoint Foundation 2010
Letztes Änderungsdatum des Themas: 2016-11-30
Mit den Verfahren in diesem Artikel wird das Konfigurieren der Authentifizierung mithilfe eines SAML (Security Assertion Markup Language)-Sicherheitstokens für eine forderungsbasierte Microsoft SharePoint Foundation 2010-Webanwendung erläutert.
Die SAML-Anmeldung wird in der Regel in Unternehmensverbundszenarien verwendet, um beispielsweise einem Geschäftspartner Zugriff zu ermöglichen. Die SAML-Anmeldung wird auch bereitgestellt, um internen Benutzern Zugriff zu ermöglichen, deren Konten sich in einer Domäne befinden, die nicht zu der Gesamtstruktur gehört, die SharePoint Foundation 2010 enthält.
Bevor Sie die Authentifizierung mit einem SAML-Sicherheitstoken für eine forderungsbasierte SharePoint Foundation 2010-Webanwendung konfigurieren, müssen Sie einen Server konfigurieren, auf dem die Active Directory-Verbunddienste (AD FS) 2.0 ausgeführt werden. Informationen zum Konfigurieren eines Servers zum Ausführen von AD FS 2.0 finden Sie im AD FS 2.0-Bereitstellungshandbuch (https://go.microsoft.com/fwlink/?linkid=191723&clcid=0x407).
Inhalt dieses Artikels:
Konfigurieren einer IP-STS-Webanwendung (Identity Provider Security Token Service) mithilfe von Windows PowerShell
Konfigurieren einer RP-STS-Webanwendung (Relying Party Security Token Service)
Einrichten einer Vertrauensstellung zu einem IP-STS mithilfe von Windows PowerShell
Exportieren des vertrauenswürdigen IP-STS-Zertifikats mithilfe von Windows PowerShell
Definieren eines eindeutigen Bezeichners für die Vertrauenszuordnung mithilfe von Windows PowerShell
Erstellen einer neuen SharePoint-Webanwendung und Konfigurieren der Webanwendung für die Verwendung von SAML-Anmeldung
Konfigurieren einer IP-STS-Webanwendung (Identity Provider Security Token Service) mithilfe von Windows PowerShell
Führen Sie die folgenden Verfahren aus, um mithilfe von Windows PowerShell eine forderungsbasierte SharePoint-Webanwendung zu konfigurieren.
So konfigurieren Sie eine IP-STS-Webanwendung (Identity Provider Security Token Service) mithilfe von Windows PowerShell
Stellen Sie sicher, dass die folgenden Mindestanforderungen erfüllt sind: Weitere Informationen finden Sie unter Add-SPShellAdmin.
Klicken Sie im Startmenüauf Alle Programme.
Klicken Sie auf Microsoft SharePoint 2010-Produkte.
Klicken Sie auf SharePoint 2010-Verwaltungsshell.
Erstellen Sie an der Windows PowerShell-Eingabeaufforderung ein x509Certificate2-Objekt, wie im folgenden Beispiel gezeigt:
$cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("path to cert file")Erstellen Sie eine Forderungszuordnung zur Verwendung im vertrauenswürdigen Authentifizierungsanbieter, wie im folgenden Beispiel gezeigt:
New-SPClaimTypeMapping "https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncomingErstellen Sie einen vertrauenswürdigen Anmeldeanbieter, indem Sie zunächst einen Wert für den
realm-Parameter erstellen, wie im folgenden Beispiel gezeigt:$realm = "urn:" + $env:ComputerName + ":domain-int"Erstellen Sie wie im folgenden Beispiel einen Wert für den
signinurl-Parameter, der auf die Sicherheitstokendienst-Webanwendung verweist:$signinurl = "https://test-2/FederationPassive/"Erstellen Sie, wie im folgenden Beispiel gezeigt, den vertrauenswürdigen Anmeldeanbieter, indem Sie den gleichen
IdentifierClaim-Wert wie in der Forderungszuordnung ($map1.InputClaimType) verwenden:$ap = New-SPTrustedIdentityTokenIssuer -Name "WIF" -Description "Windows® Identity Foundation" -Realm $realm -ImportTrustCertificate $cert -ClaimsMappings $map1[,$map2..] -SignInUrl $signinurl -IdentifierClaim $map1.InputClaimTypeErstellen Sie wie im folgenden Beispiel eine Webanwendung, indem Sie zuerst einen Wert für das Anwendungspoolkonto (für den aktuellen Benutzer) erstellen:
$account = "DOMAIN\" + $env:UserNameHinweis
Das Anwendungspoolkonto muss ein verwaltetes Konto sein. Verwenden Sie zum Erstellen eines verwalteten Kontos
New-SPManagedAccount.Erstellen Sie wie im folgenden Beispiel einen Wert für die Webanwendungs-URL (
$webappurl = "https://" + $env:ComputerName):$wa = New-SPWebApplication -name "Claims WIF" -SecureSocketsLayer -ApplicationPool "SharePoint SSL" -ApplicationPoolAccount $account -Url $webappurl -Port 443 -AuthenticationProvider $apErstellen Sie wie im folgenden Beispiel eine Website, indem Sie zuerst ein Forderungsobjekt erstellen:
$claim = New-SPClaimsPrincipal -TrustedIdentityTokenIssuerr $ap -Identity $env:UserNameErstellen Sie wie im folgenden Beispiel eine Website:
$site = New-SPSite $webappurl -OwnerAlias $claim.ToEncodedString() -template "STS#0"
Konfigurieren einer RP-STS-Webanwendung (Relying Party Security Token Service)
Verwenden Sie das Verfahren in diesem Abschnitt, um eine RP-STS-Webanwendung (Relying Party Security Token Service) zu erstellen.
So konfigurieren Sie eine RP-STS-Webanwendung (Relying Party Security Token Service)
Öffnen Sie die Verwaltungskonsole der Active Directory-Verbunddienste (AD FS) 2.0.
Erweitern Sie im linken Bereich die Option Richtlinie, und wählen Sie Vertrauende Seiten aus.
Klicken Sie im rechten Bereich auf Vertrauende Seite hinzufügen. Dadurch wird der Konfigurations-Assistent von Active Directory-Verbunddienste (AD FS) 2.0 geöffnet.
Klicken Sie auf der ersten Seite des Assistenten auf Start.
Wählen Sie Konfiguration der vertrauenden Seite manuell eingeben aus, und klicken Sie auf Weiter.
Geben Sie den Namen einer vertrauenden Seite ein, und klicken Sie auf Weiter.
Stellen Sie sicher, dass die Option für das Serverprofil von Active Directory-Verbunddienste 2.0 ausgewählt ist, und klicken Sie auf Weiter.
Verwenden Sie kein Verschlüsselungszertifikat. Klicken Sie auf Weiter.
Wählen Sie die Option zur Aktivierung der Unterstützung für webbrowserbasierten Identitätsverbund aus.
Geben Sie den Namen der Webanwendungs-URL ein, und fügen Sie /_trust/ an (z. B. https://servername/_trust/). Klicken Sie auf Weiter.
Geben Sie den Namen eines Bezeichners (z. B. urn:COMPUTERNAME:Geneva) ein, und klicken Sie auf Hinzufügen. Klicken Sie auf Weiter.
Klicken Sie auf der Zusammenfassungsseite auf Weiter, und klicken Sie dann auf Schließen. Dadurch wird die Regel-Editor-Verwaltungskonsole geöffnet. Konfigurieren Sie mithilfe dieser Konsole die Zuordnung von Forderungen von einer LDAP-Webanwendung zu SharePoint.
Erweitern Sie im linken Bereich die Option Neue Regel, und wählen Sie Vordefinierte Regel aus.
Wählen Sie Forderungen aus LDAP-Attributspeicher erstellen aus.
Wählen Sie im rechten Bereich in der Dropdownliste Attributspeicher den Eintrag für Active Directory-Benutzerkontenspeicher für Unternehmen aus.
Wählen Sie unter LDAP-Attribut den Eintrag sAMAccountName aus.
Wählen Sie unter Typ des ausgehenden Anspruchs den Eintrag E-Mail-Adresse aus.
Klicken Sie im linken Bereich auf Speichern.
Einrichten einer Vertrauensstellung zu einem IP-STS mithilfe von Windows PowerShell
Verwenden Sie das Verfahren in diesem Abschnitt, um eine Vertrauensstellung zu einem IP-STS einzurichten.
So richten Sie mit Windows PowerShell eine Vertrauensstellung zu einem IP-STS ein
Stellen Sie sicher, dass die folgenden Mindestanforderungen erfüllt sind: Weitere Informationen finden Sie unter Add-SPShellAdmin.
Klicken Sie im Startmenüauf Alle Programme.
Klicken Sie auf Microsoft SharePoint 2010-Produkte.
Klicken Sie auf SharePoint 2010-Verwaltungsshell.
Richten Sie an der Windows PowerShell-Eingabeaufforderung eine Vertrauensstellung ein, wie im folgenden Beispiel gezeigt:
$waurl = "https://" + $env:ComputerName $title = "SAML-Claims"
Exportieren des vertrauenswürdigen IP-STS-Zertifikats mithilfe von Windows PowerShell
Verwenden Sie das Verfahren in diesem Abschnitt, um das Zertifikat des IP-STS zu exportieren, für den Sie eine Vertrauensstellung einrichten möchten, und kopieren Sie dann das Zertifikat an einen Speicherort, der für Microsoft SharePoint Foundation 2010 verfügbar ist.
So exportieren Sie das vertrauenswürdige IP-STS-Zertifikat mithilfe von Windows PowerShell
Stellen Sie sicher, dass die folgenden Mindestanforderungen erfüllt sind: Weitere Informationen finden Sie unter Add-SPShellAdmin.
Klicken Sie im Startmenüauf Alle Programme.
Klicken Sie auf Microsoft SharePoint 2010-Produkte.
Klicken Sie auf SharePoint 2010-Verwaltungsshell.
Exportieren Sie an der Windows PowerShell-Eingabeaufforderung das vertrauenswürdige IP-STS-Zertifikat, wie im folgenden Beispiel gezeigt:
$cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("c:\geneva.cer")
Definieren eines eindeutigen Bezeichners für die Vertrauenszuordnung mithilfe von Windows PowerShell
Verwenden Sie das Verfahren in diesem Abschnitt, um eine E-Mail-Adresse zu definieren, die als eindeutiger Bezeichner für die Vertrauenszuordnung fungiert. Normalerweise muss der Administrator des vertrauenswürdigen STS diese Informationen bereitstellen, da nur der Besitzer des STS weiß, welcher Wert im Token immer für jeden Benutzer eindeutig ist. Beachten Sie, dass der Administrator des vertrauenswürdigen STS einen URI erstellen kann, der die E-Mail-Adresse darstellt.
So definieren Sie mithilfe von Windows PowerShell eine eindeutigen Bezeichner für die Vertrauenszuordnung
Stellen Sie sicher, dass die folgenden Mindestanforderungen erfüllt sind: Weitere Informationen finden Sie unter Add-SPShellAdmin.
Klicken Sie im Startmenüauf Alle Programme.
Klicken Sie auf Microsoft SharePoint 2010-Produkte.
Klicken Sie auf SharePoint 2010-Verwaltungsshell.
Erstellen Sie an der Windows PowerShell-Eingabeaufforderung eine Zuordnung, wie im folgenden Beispiel gezeigt:
$map = New-SPClaimTypeMapping -IncomingClaimType "https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming
Erstellen eines neuen Authentifizierungsanbieters
Verwenden Sie das Verfahren in diesem Abschnitt, um einen neuen Authentifizierungsanbieter zu erstellen, der von der Webanwendung verwendet wird.
So erstellen Sie mithilfe von Windows PowerShell einen neuen Authentifizierungsanbieter
Stellen Sie sicher, dass die folgenden Mindestanforderungen erfüllt sind: Weitere Informationen finden Sie unter Add-SPShellAdmin.
Klicken Sie im Startmenüauf Alle Programme.
Klicken Sie auf Microsoft SharePoint 2010-Produkte.
Klicken Sie auf SharePoint 2010-Verwaltungsshell.
Erstellen Sie an der Windows PowerShell-Eingabeaufforderung einen neuen Authentifizierungsanbieter, wie im folgenden Beispiel gezeigt. Beachten Sie, dass $realm der Parameter ist, der vom vertrauenswürdigen STS zum Identifizieren einer bestimmten SharePoint-Farm verwendet wird.
$realm = "urn:" + $env:ComputerName + ":Geneva" $ap = New-SPTrustedIdentityTokenIssuer -Name "Geneva" -Description "Geneva" -Realm $realm -ImportTrustCertificate $cert -ClaimsMappings $map -SignInUrl "https://test-2/FederationPassive/" -IdentifierClaim "https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"
Erstellen einer neuen SharePoint-Webanwendung und Konfigurieren der Webanwendung für die Verwendung von SAML-Anmeldung
In diesem Schritt erstellen und konfigurieren Sie die Webanwendung.
So erstellen Sie mithilfe von Windows PowerShell eine neue SharePoint-Webanwendung und konfigurieren sie für die Verwendung von SAML-Anmeldung
Stellen Sie sicher, dass die folgenden Mindestanforderungen erfüllt sind: Weitere Informationen finden Sie unter Add-SPShellAdmin.
Klicken Sie im Startmenüauf Alle Programme.
Klicken Sie auf Microsoft SharePoint 2010-Produkte.
Klicken Sie auf SharePoint 2010-Verwaltungsshell.
Erstellen Sie an der Windows PowerShell-Eingabeaufforderung eine neue SharePoint-Webanwendung, und konfigurieren Sie sie für die Verwendung von SAML-Anmeldung. Beachten Sie, dass Sie "WebAppUrl" und "domain\admin" durch die gültigen Werte ersetzen müssen.
$wa = New-SPWebApplication -Name "SAML Sign-In" -SecureSocketsLayer -ApplicationPool "SAML Sign-In" -ApplicationPoolAccount "domain\admin" - Url "WebAppUrl" -Port 443 -AuthenticationProvider $apHinweis
Sie aktivieren SSL, da bei der SAML-Anmeldung Cookies als Tickets für das einmalige Anmelden für den Benutzer verwendet werden. Dies ermöglicht es Administratoren, den SharePoint-Ressourcen Zugriff für die Geltungsdauer des Tokens zu gewähren, ohne dass sich der Benutzer erneut authentifizieren muss. Ohne SSL können die Cookies leicht von einem böswilligen Benutzer abgefangen und zum Annehmen der Identität des ursprünglichen Benutzers verwendet werden.
Wenn Sie diese Verfahren abgeschlossen haben, erstellen Sie eine SharePoint-Website, und weisen Sie einen Besitzer zu. Informationen zum Erstellen einer SharePoint-Website finden Sie unter Erstellen einer Websitesammlung (SharePoint Foundation 2010).