Configurar o serviço de token de segurança (SharePoint Foundation 2010)

  • Artigo

 

Aplica-se a: SharePoint Foundation 2010

Tópico modificado em: 2016-11-30

Este artigo fornece orientações para que você configure o serviço de token de segurança (STS) do Microsoft SharePoint Foundation 2010. Um STS é um serviço Web especializado, projetado para responder a solicitações de tokens de segurança e fornecer gerenciamento de identidade. A funcionalidade central de cada STS é a mesma, mas a natureza das tarefas que cada STS executa depende da função que ele desempenha em relação aos outros serviços Web STS em seu design.

Neste artigo:

  • Como funcionam os aplicativos Web que usam um STS

  • Configurar um aplicativo Web baseado em declarações do SharePoint usando o Windows PowerShell

  • Editar associações

  • Configurar uma aplicativo Web que usa um STS

Como funcionam os aplicativos Web que usam um STS

Aplicativos Web que usam um serviço de token de segurança lidam com solicitações para emitir, gerenciar e validar tokens de segurança. Tokens de segurança consistem em um conjunto de declarações de identidade (como nome de usuário, função ou um identificador anônimo). Os tokens podem ser emitidos em diferentes formatos, como tokens SAML. Os tokens de segurança podem ser protegidos com um certificado X.509 para proteger o conteúdo do token em trânsito e permitir a validação de emissores confiáveis. Para obter informações adicionais sobre o Serviço de Token de Segurança, consulte Planejar métodos de autenticação (SharePoint Foundation 2010).

Um Provedor de Identidade-STS (IP-STS) é um serviço Web que lida com solicitações de declarações de identidade confiáveis. Um IP-STS utiliza um banco de dados conhecido como repositório de identidades para armazenar e gerenciar identidades e seus atributos associados. O repositório de identidades para um provedor de identidade pode ser simples, como uma tabela de banco de dados SQL. Um IP-STS também pode utilizar um repositório de identidades complexo, como os Serviços de Domínio Active Directory (AD DS) ou o Active Directory Lightweight Directory Service (AD LDS).

Um IP-STS está disponível para clientes que desejam criar e gerenciar identidades e para aplicativos de terceira parte confiável que devem validar as identidades apresentadas a eles pelos clientes. Cada IP-STS tem uma relação de confiança federada com e emite tokens para aplicativos Web STS de Terceira Parte Confiável de parceiros de federação, cada um dos quais é mencionado como um RP-STS. Os clientes podem criar ou provisionar Cartões de Informações gerenciados (usando um seletor de cartões, como CardSpace), que representam as identidades registradas no IP-STS. Os clientes interagem com o IP-STS quando solicitam tokens de segurança que representam uma identidade contida no repositório de identidades do IP-STS. Após a autenticação, o IP-STS emite um token de segurança confiável que o cliente pode apresentar a um aplicativo de terceira parte confiável. Os aplicativos de terceira parte confiável podem estabelecer relações de confiança com um IP-STS. Isso permite validar os tokens de segurança emitidos por um IP-STS. Depois que a relação de confiança é estabelecida, os aplicativos de terceira parte confiável podem examinar os tokens de segurança apresentados pelos clientes e determinar a validade das declarações de identidade que eles contêm.

Um STS de Terceira Parte Confiável (RP-STS) é um STS que recebe tokens de segurança de um IP-STS de parceiro de federação confiável. Por sua vez, o RP-STS emite novos tokens de segurança a serem consumidos por um aplicativo de terceira parte confiável local. O uso de aplicativos Web RP-STS em federação com aplicativos Web IP-STS permite às empresas oferecer logon único da Web (SSO) a usuários de organizações parceiras. Cada organização continua a gerenciar seus próprios repositórios de identidades.

Configurar um aplicativo Web baseado em declarações do SharePoint usando o Windows PowerShell

Execute os procedimentos a seguir para usar o Windows PowerShell para configurar um aplicativo Web baseado em declarações do SharePoint.

Para configurar um aplicativo Web baseado em declarações do SharePoint usando o Windows PowerShell

  1. Verifique se você atende aos seguintes requisitos mínimos: Consulte Add-SPShellAdmin.

  2. No menu Iniciar, clique em Todos os Programas.

  3. Clique em Produtos do Microsoft SharePoint 2010.

  4. Clique em Shell de Gerenciamento do SharePoint 2010.

  5. No prompt de comando do Windows PowerShell (ou seja, PS C:\>), crie um objeto X509Certificate2, conforme mostrado no exemplo a seguir:

    $cert = New-Object
System.Security.Cryptography.X509Certificates.X509Certificate2("path to cert file")

  6. Crie um mapeamento de tipo de declaração para usar em seu provedor de autenticação de confiança, conforme mostrado no exemplo a seguir:

    New-SPClaimTypeMapping "https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"
-IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming

  7. Crie um provedor de logon confiável criando primeiro um valor para o parâmetro realm, conforme mostrado no exemplo a seguir:

    $realm = "urn:" + $env:ComputerName + ":domain-int"

  8. Crie um valor para o parâmetro signinurl que aponte para o aplicativo Web do Serviço de Token de Segurança, conforme mostrado no exemplo a seguir:

    $signinurl = "https://test-2/FederationPassive/"

  9. Crie o fornecedor confiável de login, usando o mesmo valor IdentifierClaim que o mapeamento de declarações ($map1.InputClaimType), conforme mostrado no exemplo a seguir:

    $ap = New-SPTrustedIdentityTokenIssuer -Name
"WIF" -Description "Windows® Identity Foundation" -Realm
$realm -ImportTrustCertificate $cert
-ClaimsMappings $map1[,$map2..] -SignInUrl
$signinurl -IdentifierClaim $map1.InputClaimType

  10. Crie um aplicativo Web criando primeiro um valor para a conta do pool de aplicativos (para o usuário atual), conforme mostrado no exemplo a seguir:

    $account = "DOMAIN\" + $env:UserName

    Observação

    A conta do pool de aplicativos deve ser uma conta gerenciada. Para criar uma conta gerenciada, use New-SPManagedAccount.

  11. Crie um valor para a URL do aplicativo Web ($webappurl = "https://" + $env:ComputerName), conforme mostrado no exemplo a seguir:

    $wa = New-SPWebApplication -name "Claims WIF"
-SecureSocketsLayer -ApplicationPool "SharePoint SSL"
-ApplicationPoolAccount $account -Url $webappurl -Port 443
-AuthenticationProvider $ap

  12. Crie um site criando primeiro um objeto de declaração, conforme mostrado no exemplo a seguir:

    $claim = New-SPClaimsPrincipal
-TrustedIdentityTokenIssuerr $ap -Identity
$env:UserName

  13. Crie um site, conforme mostrado no exemplo a seguir:

    $site = New-SPSite $webappurl -OwnerAlias
$claim.ToEncodedString() -template "STS#0"

Editar associações

Depois de configurar um aplicativo Web baseado em declarações do SharePoint, edite as associações.

Para editar associações

  1. Inicie o Gerenciador do IIS digitando INETMGR no prompt de comando.

  2. Vá para o site Aplicativo Web de Declarações no IIS.

  3. No painel esquerdo, clique com o botão direito do mouse em Aplicativo Web de Declarações e selecione Editar Associações.

  4. Selecione https e clique em Editar.

  5. Em Certificado SSL, selecione qualquer certificado listado.

Configurar uma aplicativo Web que usa um STS

Após configurar um aplicativo Web baseado em declarações do SharePoint Foundation 2010, editar as associações e configurar o arquivo Web.config, você pode usar o procedimento descrito nesta seção para configurar um aplicativo Web de Serviço de Token de Segurança.

Para configurar um aplicativo Web que usa um STS

  1. Abra o console de gerenciamento dos Serviços de Federação do Active Directory (AD FS) s2.0.

  2. No painel esquerdo, expanda Diretiva e selecione Terceiras Partes Confiáveis.

  3. No painel direito, clique em Adicionar Terceira Parte Confiável. Isso abre o assistente de configuração dos Serviços de Federação do Active Directory (AD FS) 2.0.

  4. Na primeira página do assistente, clique em Iniciar.

  5. SelecioneInserir configuração de terceira parte confiável manualmente e clique em Avançar.

  6. Digite o nome de uma terceira parte confiável e clique em Avançar.

  7. Verifique se a opção Perfil do Servidor dos Serviços de Federação do Active Directory (AD FS) 2.0 está marcada e clique em Avançar.

  8. Se não estiver planejando usar um certificado de criptografia, clique em Avançar.

  9. Selecione Habilitar suporte para federação de identidade baseada em navegador da Web.

  10. Digite o nome da URL do aplicativo Web e acrescente /_trust/ (por exemplo: https://nomedoservidor/_trust/). Clique em Avançar.

  11. Digite um identificador e clique em Adicionar. Clique em Avançar.

  12. Na página Resumo, clique em Avançar e em Fechar. Isso abre o console de Gerenciamento do Editor de Regras. Use esse console para configurar o mapeamento de declarações de um aplicativo Web LDAP para o SharePoint

  13. No painel esquerdo, expanda Nova Regra e selecione Regra Predefinida.

  14. Selecione Criar Declarações do Repositório de Atributos LDAP.

  15. No painel direito, na lista suspensa Repositório de Atributos, selecione Repositório Corporativo de Contas de Usuário do Active Directory.

  16. Em Atributo LDAP, selecione sAMAccountName.

  17. Em Tipo de Declaração de Saída, selecione Endereço de Email.

  18. No painel esquerdo, clique em Salvar.