Konfigurieren von AD FS 2.0 in SharePoint Server 2010

  • Artikel

 

Gilt für: SharePoint Foundation 2010, SharePoint Server 2010

Letztes Änderungsdatum des Themas: 2016-12-08

In diesem Artikel wird beschrieben, wie Sie Active Directory-Verbunddienste (Active Directory Federation Services, AD FS), Version 2.0, in Microsoft SharePoint Server 2010 konfigurieren.

Sie können Active Directory-Verbunddienste 2.0 (AD FS) mit dem Betriebssystem Windows Server 2008 verwenden, um eine Verbundlösung für die Identitätsverwaltung zu erstellen, die die verteilten Identifizierungs-, Authentifizierungs- und Autorisierungsdienste auf webbasierten Anwendungen über die Grenzen von Organisationen und Plattformen hinaus ausweitet. Durch Bereitstellen von AD FS 2.0 können Sie die Funktionen für die Identitätsverwaltung, die in Ihrer Organisation zur Verfügung stehen, auf das Internet ausweiten.

In diesem Artikel ist AD FS, Version 2, unser Identitätsanbieter, auch als IP-STS (Security Token Service, Sicherheitstokendienst) bezeichnet. AD FS stellt anspruchsbasierte Authentifizierung bereit. Zuerst muss AD FS mit Informationen über die vertrauende Seite konfiguriert werden, in diesem Fall SharePoint Server 2010. Aus der Sicht von Microsoft SharePoint 2010-Produkte muss AD FS so konfiguriert werden, dass es dem IP-STS vertraut, der eine anspruchsbasierte Zuordnung sendet. Zuletzt werden eine Webanwendung und eine Websitesammlung erstellt, die die anspruchsbasierte Authentifizierungsstufe verwenden.

Hinweis

Sie müssen einen Server installieren und konfigurieren, auf dem Active Directory-Verbunddienste 2.0 (AD FS) ausgeführt wird, bevor Sie die Verfahren in diesem Artikel durchführen. Informationen zum Konfigurieren eines Servers für die Ausführung von AD FS 2.0 finden Sie im AD FS 2.0-Bereitstellungshandbuch (https://go.microsoft.com/fwlink/?linkid=191723&clcid=0x407).

Im folgenden Video wird Schritt für Schritt erklärt, wie Sie Active Directory-Verbunddienste (Active Directory Federation Services, AD FS) Version 2.0 in Microsoft SharePoint Server 2010 konfigurieren.

Konfigurieren von AD FS für SharePoint Server 2010

Videodauer: 09:43:00.

Video wiedergeben Das Video "Konfigurieren von SharePoint Server 2010 mit vertrauenswürdigen Ansprüchen von Active Directory-Verbunddienste" ansehen

Video herunterladen Für eine optimale Wiedergabe laden Sie das Video "Konfigurieren von SharePoint Server 2010 mit vertrauenswürdigen Ansprüchen von Active Directory-Verbunddienste" herunter.

Klicken Sie mit der rechten Maustaste auf den Link, und klicken Sie dann auf Ziel speichern unter, um eine Kopie herunterzuladen. Durch Klicken auf den Link wird eine WMV-Datei im standardmäßigen Videoviewer mit voller Auflösung geöffnet.

Inhalt dieses Artikels

  • Konfigurieren einer vertrauenden Seite

  • Konfigurieren der Anspruchsregel

  • Exportieren des Tokensignaturzertifikats

  • Exportieren von mehreren übergeordneten Zertifikaten

  • Importieren eines Tokensignaturzertifikats mithilfe von Windows PowerShell

  • Definieren eines eindeutigen Bezeichners für die Anspruchszuordnung mithilfe von Windows PowerShell

  • Erstellen eines neuen Authentifizierungsanbieters

  • Zuordnen einer Webanwendung zu einem vertrauenswürdigen Identitätsanbieter

  • Erstellen einer Websitesammlung

Hinweis

Die Schritte in diesem Artikel müssen in der angegebenen Reihenfolge nacheinander ausgeführt werden.

Konfigurieren einer vertrauenden Seite

Führen Sie die Schritte in diesem Abschnitt aus, um eine vertrauende Seite zu konfigurieren. Die vertrauende Seite bestimmt, wie AD FS die vertrauende Seite erkennt und Ansprüche an sie ausstellt.

So konfigurieren Sie eine vertrauende Seite

  1. Stellen Sie sicher, dass das Benutzerkonto, unter dem Sie diesen Vorgang ausführen, ein Mitglied der Gruppe Administratoren auf dem lokalen Computer ist. Weitere Informationen zu Konten und Gruppenmitgliedschaften finden Sie unter Local and Domain Default Groups

  2. Öffnen Sie die Verwaltungskonsole von Active Directory-Verbunddienste 2.0 (AD FS).

  3. Erweitern Sie im linken Bereich Vertrauensstellungen, und doppelklicken Sie dann auf den Ordner Vertrauensstellungen für vertrauende Seite.

  4. Klicken Sie im rechten Bereich auf Vertrauensstellung für vertrauende Seite hinzufügen. Dadurch wird der Konfigurations-Assistent von Active Directory-Verbunddienste 2.0 (AD FS) geöffnet.

  5. Klicken Sie auf der Seite Willkommen auf Start.

  6. Wählen Sie Daten zur vertrauenden Seite manuell eingeben aus, und klicken Sie auf Weiter.

  7. Geben Sie den Namen einer vertrauenden Seite ein, und klicken Sie auf Weiter.

  8. Vergewissern Sie sich, dass Active Directory Federation Services 2.0-Profil (AD FS) ausgewählt ist, und klicken Sie auf Weiter.

  9. Verwenden Sie kein Verschlüsselungszertifikat. Klicken Sie auf Weiter.

  10. Aktivieren Sie das Kontrollkästchen Unterstützung für das passive WS-Verbundprotokoll aktivieren.

  11. Geben Sie im Feld URL des passiven WS-Verbundprotokolls den Namen der Webanwendungs-URL ein, und fügen Sie /_trust/ an (beispielsweise https://WebAppName/_trust/). Klicken Sie auf Weiter.

    Hinweis

    Für den Namen der URL muss Secure Socket Layer (SSL) verwendet werden.

  12. Geben Sie den Namen des Bezeichners der Vertrauensstellung für die vertrauende Seite ein (beispielsweise urn:sharepoint:WebAppName), und klicken Sie auf Hinzufügen. Klicken Sie auf Weiter.

  13. Wählen Sie Allen Benutzern den Zugriff auf diese vertrauende Seite erlauben aus. Klicken Sie auf Weiter.

  14. Auf der Seite Bereit zum Hinzufügen der Vertrauensstellung ist keine Aktion erforderlich. Klicken Sie auf Weiter.

  15. Klicken Sie auf der Seite Fertig stellen auf Schließen. Dadurch wird die Regel-Editor-Verwaltungskonsole geöffnet. In dieser Konsole konfigurieren Sie die Zuordnung von Ansprüchen von einer LDAP-Webanwendung zu SharePoint Server 2010.

Konfigurieren der Anspruchsregel

Führen Sie die Schritte in diesem Abschnitt aus, um Werte eines LDAP-Attributs (Lightweight Directory Access Protocol) als Ansprüche zu senden und anzugeben, wie die Attribute dem Typ des ausgehenden Anspruchs zugeordnet werden.

So konfigurieren Sie eine Anspruchsregel

  1. Stellen Sie sicher, dass das Benutzerkonto, unter dem Sie diesen Vorgang ausführen, ein Mitglied der Gruppe Administratoren auf dem lokalen Computer ist. Weitere Informationen zu Konten und Gruppenmitgliedschaften finden Sie unter Local and Domain Default Groups

  2. Klicken Sie auf der Registerkarte Ausstellungstransformationsregeln auf Regel hinzufügen.

  3. Wählen Sie auf der Seite Regelvorlage auswählen die Option LDAP-Attribute als Ansprüche senden aus. Klicken Sie auf Weiter.

  4. Geben Sie auf der Seite Regel konfigurieren im Feld Anspruchsregelname den Namen der Anspruchsregel ein.

  5. Wählen Sie in der Dropdownliste Attributspeicher den Eintrag Active Directory aus.

  6. Wählen Sie im Abschnitt Zuordnung von LDAP-Attributen zu Typen des ausgehenden Anspruchs unter -LDAP-Attribut die Option E-Mail-Adressen aus.

  7. Wählen Sie unter Typ des ausgehenden Anspruchs den Eintrag E-Mail-Adresse aus.

  8. Wählen Sie unter LDAP-Attribut den Eintrag Tokengruppen – nicht qualifizierte Namen aus.

  9. Wählen Sie unter Typ des ausgehenden Anspruchs den Eintrag Rolle aus.

  10. Klicken Sie auf Fertig stellen, und klicken Sie dann auf OK.

Exportieren des Tokensignaturzertifikats

Verwenden Sie das Verfahren in diesem Abschnitt, um das Tokensignaturzertifikat des AD FS-Servers, mit dem Sie eine Vertrauensstellung einrichten möchten, zu exportieren und dann das Zertifikat an einen Speicherort zu kopieren, auf den von SharePoint Server 2010 zugegriffen werden kann.

So exportieren Sie ein Tokensignaturzertifikat

  1. Stellen Sie sicher, dass das Benutzerkonto, unter dem Sie diesen Vorgang ausführen, ein Mitglied der Gruppe Administratoren auf dem lokalen Computer ist. Weitere Informationen zu Konten und Gruppenmitgliedschaften finden Sie unter Local and Domain Default Groups

  2. Öffnen Sie die Verwaltungskonsole von Active Directory-Verbunddienste 2.0 (AD FS).

  3. Erweitern Sie im linken Bereich Dienst, und klicken Sie dann auf den Ordner Zertifikate.

  4. Klicken Sie unter Tokensignatur auf das primäre Tokenzertifikat, wie in der Spalte Primär angegeben.

  5. Klicken Sie im rechten Bereich auf Zertifikatlink anzeigen. Dadurch werden die Eigenschaften des Zertifikats angezeigt.

  6. Klicken Sie auf die Registerkarte Details.

  7. Klicken Sie auf In Datei kopieren. Damit wird der Zertifikatexport-Assistent gestartet.

  8. Klicken Sie auf der Seite Willkommen auf Weiter.

  9. Klicken Sie auf der Seite Privaten Schlüssel exportieren auf Nein, privaten Schlüssel nicht exportieren, und klicken Sie dann auf Weiter.

  10. Wählen Sie auf der Seite Exportdateiformat die Option DER-codierte Binärdatei-X509 (*.cer) aus, und klicken Sie dann auf Weiter.

  11. Geben Sie auf der Seite Zu exportierende Datei den Namen und den Speicherort der zu exportierenden Datei ein, und klicken Sie auf Weiter. Geben Sie beispielsweise C:\ADFS.cer ein.

  12. Klicken Sie auf der Seite Fertigstellen des Assistenten auf Fertig stellen.

Exportieren von mehreren übergeordneten Zertifikaten

Zum Abschließen der Konfiguration des AD FS-Servers kopieren Sie die CER-Datei auf den Computer, auf dem AD FS ausgeführt wird.

Das Tokensignaturzertifikat kann ein oder mehrere übergeordnete Zertifikate in seiner Kette enthalten. Ist dies der Fall, muss jedes Zertifikat in dieser Kette zur SharePoint Server-Liste der vertrauenswürdigen Stammzertifizierungsstellen hinzugefügt werden.

Führen Sie die folgenden Schritte aus, um festzustellen, ob übergeordnete Zertifikate vorhanden sind.

Hinweis

Wiederholen Sie diese Schritte, bis alle Zertifikate hinauf in das Zertifikat der Stammzertifizierungsstelle exportiert worden sind.

So exportieren Sie mehrere übergeordnete Zertifikate

  1. Stellen Sie sicher, dass das Benutzerkonto, unter dem Sie diesen Vorgang ausführen, ein Mitglied der Gruppe Administratoren auf dem lokalen Computer ist. Weitere Informationen zu Konten und Gruppenmitgliedschaften finden Sie unter Local and Domain Default Groups

  2. Öffnen Sie die Verwaltungskonsole von Active Directory-Verbunddienste 2.0 (AD FS).

  3. Erweitern Sie im linken Bereich Dienst, und klicken Sie dann auf den Ordner Zertifikate.

  4. Klicken Sie unter Tokensignatur auf das primäre Tokenzertifikat, wie in der Spalte Primär angegeben.

  5. Klicken Sie im rechten Bereich auf Zertifikatlink anzeigen. Dadurch werden die Eigenschaften des Zertifikats angezeigt.

  6. Klicken Sie auf die Registerkarte Zertifizierung.

    Dadurch werden etwaige andere Zertifikate in der Kette angezeigt.

  7. Klicken Sie auf die Registerkarte Details.

  8. Klicken Sie auf In Datei kopieren. Damit wird der Zertifikatexport-Assistent gestartet.

  9. Klicken Sie auf der Seite Willkommen auf Weiter.

  10. Klicken Sie auf der Seite Privaten Schlüssel exportieren auf Nein, privaten Schlüssel nicht exportieren, und klicken Sie dann auf Weiter.

  11. Wählen Sie auf der Seite Exportdateiformat die Option DER-codierte Binärdatei-X509 (*.cer) aus, und klicken Sie dann auf Weiter.

  12. Geben Sie auf der Seite Zu exportierende Datei den Namen und den Speicherort der zu exportierenden Datei ein, und klicken Sie auf Weiter. Geben Sie beispielsweise C:\ADFS.cer ein.

  13. Klicken Sie auf der Seite Fertigstellen des Assistenten auf Fertig stellen.

Importieren eines Tokensignaturzertifikats mithilfe von Windows PowerShell

Führen Sie das Verfahren in diesem Abschnitt durch, um das Tokensignaturzertifikat in die Liste der vertrauenswürdigen Stammzertifizierungsstellen zu importieren, die sich auf dem SharePoint-Server befindet. Diesen Schritt müssen Sie für jedes Tokensignaturzertifikat in der Kette wiederholen, bis die Stammzertifizierungsstelle erreicht ist.

So importieren Sie ein Tokensignaturzertifikat mithilfe von Windows PowerShell

  1. Stellen Sie sicher, dass die folgenden Mindestanforderungen erfüllt sind: Weitere Informationen finden Sie unter Add-SPShellAdmin.

  2. Klicken Sie im Startmenüauf Alle Programme.

  3. Klicken Sie auf Microsoft SharePoint 2010-Produkte.

  4. Klicken Sie auf SharePoint 2010-Verwaltungsshell.

  5. Importieren Sie über die Windows PowerShell-Eingabeaufforderung das übergeordnete Zertifikat des Tokensignaturzertifikats (d. h. das Zertifikat der Stammzertifizierungsstelle), wie in der folgenden Syntax gezeigt:

    $root = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("C:\adfsParent.cer")

New-SPTrustedRootAuthority -Name "Token Signing Cert Parent" -Certificate $root

  6. Importieren Sie über die Windows PowerShell-Eingabeaufforderung das Tokensignaturzertifikat, das vom AD FS-Server kopiert wurde, wie in der folgenden Syntax gezeigt:

    $cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("C:\adfs.cer ")

New-SPTrustedRootAuthority -Name "Token Signing Cert" -Certificate $cert

Weitere Informationen zum New-SPTrustedRootAuthority-Cmdlet finden Sie unter New-SPTrustedRootAuthority.

Definieren eines eindeutigen Bezeichners für die Anspruchszuordnung mithilfe von Windows PowerShell

Führen Sie die Schritte in diesem Abschnitt durch, um einen eindeutigen Bezeichner für die Anspruchszuordnung zu definieren. Diese Informationen liegen typischerweise in Form einer E-Mail-Adresse vor und müssen vom Administrator des vertrauenswürdigen Sicherheitstokendiensts bereitgestellt werden, da nur der Besitzer des Sicherheitstokendiensts weiß, welcher Anspruchstyp für jeden Benutzer immer eindeutig ist.

So definieren Sie mithilfe von Windows PowerShell einen eindeutigen Bezeichner für die Anspruchszuordnung

  1. Stellen Sie sicher, dass die folgenden Mindestanforderungen erfüllt sind: Weitere Informationen finden Sie unter Add-SPShellAdmin.

  2. Klicken Sie im Startmenüauf Alle Programme.

  3. Klicken Sie auf Microsoft SharePoint 2010-Produkte.

  4. Klicken Sie auf SharePoint 2010-Verwaltungsshell.

  5. Erstellen Sie über die Windows PowerShell-Eingabeaufforderung eine Identitätsanspruchszuordnung, wie in der folgenden Syntax gezeigt:

    $map = New-SPClaimTypeMapping -IncomingClaimType "https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming

  6. Erstellen Sie über die Windows PowerShell-Eingabeaufforderung die Rollenanspruchszuordnung, wie in der folgenden Syntax gezeigt:

    $map2 = New-SPClaimTypeMapping -IncomingClaimType "https://schemas.microsoft.com/ws/2008/06/identity/claims/role" -IncomingClaimTypeDisplayName "Role" -SameAsIncoming

Weitere Informationen zum New-SPClaimTypeMapping-Cmdlet finden Sie unter New-SPClaimTypeMapping.

Erstellen eines neuen Authentifizierungsanbieters

Führen Sie die Schritte in diesem Abschnitt aus, um einen neuen SPTrustedIdentityTokenIssuer zu erstellen.

So erstellen Sie mithilfe von Windows PowerShell einen neuen Authentifizierungsanbieter

  1. Stellen Sie sicher, dass die folgenden Mindestanforderungen erfüllt sind: Weitere Informationen finden Sie unter Add-SPShellAdmin.

  2. Klicken Sie im Startmenüauf Alle Programme.

  3. Klicken Sie auf Microsoft SharePoint 2010-Produkte.

  4. Klicken Sie auf SharePoint 2010-Verwaltungsshell.

  5. Erstellen Sie über die Windows PowerShell-Eingabeaufforderung einen neuen Authentifizierungsanbieter, wie in der folgenden Syntax gezeigt.

    Hinweis

    Die $realm-Variable definiert den vertrauenswürdigen Sicherheitstokendienst, der eine bestimmte SharePoint-Farm identifiziert. Die $cert-Variable ist die Variable, die im Abschnitt Importieren eines Tokensignaturzertifikats mithilfe von Windows PowerShell verwendet wurde. Der SignInUrl-Parameter gilt für den AD FS-Server.

    $realm = "urn:sharepoint:WebAppName"

$ap = New-SPTrustedIdentityTokenIssuer -Name "SAML Provider" -Description "SharePoint secured by SAML" -realm $realm -ImportTrustCertificate $cert -ClaimsMappings $map,$map2 -SignInUrl "https://congen1.contoso.local/adfs/ls" -IdentifierClaim "https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"

Weitere Informationen zum New-SPTrustedIdentityTokenIssuer-Cmdlet finden Sie unter New-SPTrustedIdentityTokenIssuer.

Zuordnen einer Webanwendung zu einem vertrauenswürdigen Identitätsanbieter

Damit Sie eine vorhandene Webanwendung für die Verwendung der SAML-Anmeldung konfigurieren können, müssen Sie den vertrauenswürdigen Identitätsanbieter im Abschnitt über den Anspruchsauthentifizierungstyp ändern.

So konfigurieren Sie eine vorhandene Webanwendung für die Verwendung des SAML-Anbieters

  1. Vergewissern Sie sich, dass das Benutzerkonto, mit dem dieses Verfahren ausgeführt wird, Mitglied der SharePoint-Gruppe Farmadministratoren ist.

  2. Klicken Sie auf der Homepage der Zentraladministration auf Anwendungsverwaltung.

  3. Klicken Sie auf der Seite Anwendungsverwaltung im Abschnitt Webanwendungen auf Webanwendungen verwalten.

  4. Wählen Sie die betreffende Webanwendung aus.

  5. Klicken Sie im Menüband auf Authentifizierungsanbieter.

  6. Klicken Sie unter Zone auf den Namen der Zone, beispielsweise Standard.

  7. Aktivieren Sie auf der Seite Authentifizierung bearbeiten im Abschnitt Forderungsauthentifizierungstypen das Kontrollkästchen mit dem Namen des neuen vertrauenswürdigen Identitätsanbieters.

Informationen zum Erstellen einer Webanwendung und Konfigurieren dieser Webanwendung für die Verwendung der SAML-Anmeldung finden Sie unter Erstellen einer neuen SharePoint-Webanwendung und Konfigurieren der Webanwendung für die Verwendung der SAML-Anmeldung.

Erstellen einer Websitesammlung

Im letzten Schritt erstellen Sie eine SharePoint-Websitesammlung und weisen sie einem Besitzer zu. Denken Sie daran, beim Hinzufügen eines Websitesammlungsadministrators den Namen im Format des Identitätsanspruchs einzugeben. Im vorliegenden Artikel ist der Identitätsanspruch beispielsweise eine E-Mail-Adresse. Weitere Informationen finden Sie unter Erstellen einer Websitesammlung (SharePoint Server 2010).