Como configurar o AD FS v 2.0 no SharePoint Server 2010

  • Artigo

 

Aplica-se a: SharePoint Foundation 2010, SharePoint Server 2010

Tópico modificado em: 2016-12-08

Os procedimentos neste artigo descrevem como configurar o AD FS (Serviços de Federação do Active Directory) versão 2.0 no Microsoft SharePoint Server 2010.

É possível usar o AD FS 2.0 com o sistema operacional Windows Server 2008 a fim de construir uma solução de gerenciamento de identidade federada que amplia os serviços de identificação distribuída, autenticação e autorização para aplicativos com base na Web em organizações e limites de plataforma. Implantando o AD FS 2.0, é possível ampliar os recursos de gerenciamento de identidade existentes em sua organização para a Internet.

Neste artigo, o AD FS v2 é nosso provedor de identidade, também conhecido como IP-STS (Security Token Service). O AD FS fornecerá autenticação com base em declarações. Para começar, o AD FS precisa ser configurado com informações sobre nossa terceira parte confiável, nesse caso o SharePoint Server 2010. A partir da perspectiva do Produtos do Microsoft SharePoint 2010, o AD FS precisa ser configurado para confiar no IP-STS, ou seja, enviar um mapeamento com base em declarações. Finalmente, um aplicativo Web e conjunto de sites são criados para usar um nível de autenticação com base em declarações.

Observação

Você precisa instalar e configurar um servidor executando o AD FS 2.0 antes de realizar os procedimentos neste artigo. Para obter informações sobre como configurar um servidor para executar o AD FS 2.0, consulte o Guia de implantação do AD FS 2.0 (https://go.microsoft.com/fwlink/?linkid=191723&clcid=0x416).

O vídeo a seguir ilustra o processo detalhado que configura o Serviços de Federação do Active Directory versão 2.0 (AD FS) no Microsoft SharePoint Server 2010.

Configurar AD FS para SharePoint Server 2010

Tempo de execução: 09:43:00

Reproduzir vídeo Assista ao vídeo " Configure SharePoint Server 2010 with AD FS trusted claims"

Baixar vídeo Para obter a melhor experiência de exibição, baixe o vídeo "Configure SharePoint Server 2010 with AD FS trusted claims ".

Clique com o botão direito do mouse no link e clique em Salvar Destino Como para baixar uma cópia. Quando você clicar no link, um arquivo .wmv será aberto no visualizador de vídeo padrão para visualização de resolução máxima.

Neste artigo:

  • Configurar uma parte confiável

  • Configurar a regra de declaração

  • Exportar o certificado de autenticação de tokens

  • Exportando múltiplos certificados pai

  • Importar um certificado de assinatura de token usando o Windows PowerShell

  • Definir um identificador exclusivo para mapeamento de declarações usando o Windows PowerShell

  • Criar um novo provedor de autenticação

  • Associar um aplicativo Web a um provedor de identidade confiável

  • Criar um conjunto de sites

Observação

As etapas listadas neste artigo precisam ser concluídas em ordem consecutiva.

Configurar uma terceira parte confiável

Use o procedimento descrito nesta seção para configurar uma terceira parte confiável. A terceira parte confiável define como o AD FS reconhece essa terceira parte e emite declarações para ela.

Para configurar uma terceira parte confiável

  1. Verifique se a conta de usuário que está executando esse procedimento é membro do grupo Administradores no computador local. Para obter informações adicionais sobre contas e associações de grupo, consulte Local and Domain Default Groups.

  2. Abra o console de Gerenciamento do AD FS 2.0.

  3. No painel esquerdo, expanda Relações de Confiança e clique duas vezes na pasta Confianças da Terceira Parte Confiável.

  4. No painel direito, clique em Adicionar Confiança de Terceira Parte Confiável. Isso abre o assistente de configuração do AD FS 2.0.

  5. Na página Bem-vindo ao Assistente de Adição de Confiança de Terceira Parte Confiável, clique em Iniciar.

  6. SelecioneInserir dados sobre a terceira parte confiável manualmente e clique em Avançar.

  7. Digite o nome de uma terceira parte confiável e clique em Avançar.

  8. Verifique se Perfil do Active Directory Federation Services (AD FS) 2.0 está selecionado e clique em Avançar.

  9. Não use um certificado de criptografia. Clique em Avançar.

  10. Clique para marcar a caixa de seleção Habilitar o suporte para o protocolo WS-Federation Passive.

  11. No campo URL do protocolo WS-Federation Passive, digite o nome do URL do aplicativo Web e anexe /_trust/ (por exemplo, https://WebAppName/_trust/). Clique em Avançar.

    Observação

    O nome da URL precisa usar SSL (Secure Socket Layer).

  12. Digite o nome do identificador de confiança da terceira parte confiável (por exemplo, urn:sharepoint:WebAppName) e clique em Adicionar. Clique em Avançar.

  13. Selecione Permitir que todos os usuários acessem essa terceira parte confiável. Clique em Avançar.

  14. Na página Pronto para Adicionar a Confiança, nenhuma ação é necessária, clique em Avançar.

  15. Na página Concluir, clique em Fechar. Isso abre o console de Gerenciamento do Editor de Regras. Use esse console para configurar o mapeamento de declarações de um aplicativo Web LDAP para o SharePoint Server 2010.

Configurar a regra de declaração

Use o procedimento descrito nesta etapa para enviar valores de um atributo LDAP (Lightweight Directory Access Protocol) como declarações e especificar como os atributos mapearão para o tipo de declaração de saída.

Para configurar uma regra de declaração

  1. Verifique se a conta de usuário que está executando esse procedimento é membro do grupo Administradores no computador local. Para obter informações adicionais sobre contas e associações de grupo, consulte Local and Domain Default Groups.

  2. Na guia Regras de Transformação de Emissão, clique em Adicionar Regra.

  3. Na página Selecionar Modelo de Regra, selecione Enviar Atributos LDAP como Declarações. Clique em Avançar.

  4. Na página Regra de Configuração, digite o nome da regra de declaração no campo Nome da regra de declaração.

  5. Na lista suspensa Repositório de Atributos, selecione Active Directory.

  6. Na seção Mapeamento dos atributos LDAP para tipos de declarações de saída, em Atributo LDAP, selecione Endereços de e-mail.

  7. Em Tipo de Declaração de Saída, selecione Endereço de Email.

  8. Em Atributo LDAP, selecione Grupos de Token-Nomes não Qualificados.

  9. Em Tipo de Declaração de Saída, selecione Função.

  10. Clique em Concluir e em OK.

Exportar o certificado de assinatura de token

Use o procedimento nesta seção para exportar o certificado de assinatura de token do Servidor AD FS com o qual você deseja estabelecer uma relação de confiança, e copie o certificado para um local que o SharePoint Server 2010 possa acessar.

Para exportar um certificado de assinatura de token

  1. Verifique se a conta de usuário que está executando esse procedimento é membro do grupo Administradores no computador local. Para obter informações adicionais sobre contas e associações de grupo, consulte Local and Domain Default Groups.

  2. Abra o console de Gerenciamento do AD FS 2.0.

  3. No painel esquerdo, clique para expandir Serviço e clique na pasta Certificados.

  4. Em Assinatura de token, clique no certificado de token primário, conforme indicado na coluna Primário.

  5. No painel direito, clique em Exibir link do certificado. Isso exibe as propriedades do certificado.

  6. Clique na guia Detalhes.

  7. Clique em Copiar para Arquivo. Isso inicia o Assistente de Exportação de Certificado.

  8. Na página Bem-vindo ao Assistente para Exportação de Certificados, clique em Avançar.

  9. Na página Exportar Chave Privada, clique em Não, não exportar a chave privada e clique em Avançar.

  10. Na página Exportar Formato de Arquivo, selecione X.509 binário codificado por DER (.cer) e clique em Avançar.

  11. Na página Arquivo para Exportação, digite o nome e o local do arquivo que você deseja exportar e clique em Avançar. Por exemplo, insira C:\ADFS.cer.

  12. Na página Concluindo o Assistente para Exportação de Certificados, clique em Concluir.

Exportando múltiplos certificados pai

Para completar a configuração do Servidor AD FS, copie o arquivo .CER no computador que está executando o AD FS.

O certificado de assinatura de token pode ter um ou mais certificados pai em sua cadeia. Se tiver, cada certificado nessa cadeia precisará ser adicionado à lista do SharePoint Server de autoridades raiz confiáveis.

Para determinar se há um ou mais certificados pai, use as etapas a seguir.

Observação

Estas etapas devem ser repetidas até que todos os certificados tenham sido exportados até o certificado de autoridade raiz.

Para exportar múltiplos certificados pai

  1. Verifique se a conta de usuário que está executando esse procedimento é membro do grupo Administradores no computador local. Para obter informações adicionais sobre contas e associações de grupo, consulte Local and Domain Default Groups.

  2. Abra o console de Gerenciamento do AD FS 2.0.

  3. No painel esquerdo, clique para expandir Serviço e clique na pasta Certificados.

  4. Em Assinatura de token, clique no certificado de token primário, conforme indicado na coluna Primário.

  5. No painel direito, clique em Exibir link do certificado. Isso exibe as propriedades do certificado.

  6. Clique na guia Certificação.

    Isso exibe quaisquer outros certificados na cadeia.

  7. Clique na guia Detalhes.

  8. Clique em Copiar para Arquivo. Isso inicia o Assistente de Exportação de Certificado.

  9. Na página Bem-vindo ao Assistente para Exportação de Certificados, clique em Avançar.

  10. Na página Exportar Chave Privada, clique em Não, não exportar a chave privada e clique em Avançar.

  11. Na página Exportar Formato de Arquivo, selecione X.509 binário codificado por DER (.cer) e clique em Avançar.

  12. Na página Arquivo para Exportação, digite o nome e o local do arquivo que você deseja exportar e clique em Avançar. Por exemplo, insira C:\ADFS.cer.

  13. Na página Concluindo o Assistente para Exportação de Certificados, clique em Concluir.

Importar um certificado de assinatura de token usando o Windows PowerShell

Use esta seção para importar os certificados de assinatura de token para a lista de autoridades raiz confiáveis que residem no servidor SharePoint. Essa etapa deve ser repetida para cada certificado de assinatura de token na cadeia até que a autoridade de certificado raiz seja alcançada.

Para importar um certificado de assinatura de token usando o Windows PowerShell

  1. Verifique se você atende aos seguintes requisitos mínimos: Consulte Add-SPShellAdmin.

  2. No menu Iniciar, clique em Todos os Programas.

  3. Clique em Produtos do Microsoft SharePoint 2010.

  4. Clique em Shell de Gerenciamento do SharePoint 2010.

  5. No prompt de comando do Windows PowerShell, importe o certificado pai do certificado de assinatura do token (ou seja, o certificado de autoridade raiz), como mostra a seguinte sintaxe:

    $root = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("C:\adfsParent.cer")

New-SPTrustedRootAuthority -Name "Token Signing Cert Parent" -Certificate $root

  6. No prompt de comando do Windows PowerShell, importe o certificado de assinatura de token copiado do servidor AD FS, como mostra a seguinte sintaxe:

    $cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("C:\adfs.cer ")

New-SPTrustedRootAuthority -Name "Token Signing Cert" -Certificate $cert

Para obter informações adicionais sobre o cmdlet New-SPTrustedRootAuthority, consulte New-SPTrustedRootAuthority

Definir um identificador exclusivo para mapeamento de declarações usando o Windows PowerShell

Use o procedimento nesta seção para definir um identificador exclusivo para mapeamento de declarações. Normalmente, essas informações estão na forma de um endereço de e-mail e o administrador do STS confiável terá que fornecer essas informações, pois somente o proprietário do STS sabe qual tipo de declaração será sempre exclusivo para cada usuário.

Para definir um identificador exclusivo para mapeamento de declarações usando o Windows PowerShell

  1. Verifique se você atende aos seguintes requisitos mínimos: Consulte Add-SPShellAdmin.

  2. No menu Iniciar, clique em Todos os Programas.

  3. Clique em Produtos do Microsoft SharePoint 2010.

  4. Clique em Shell de Gerenciamento do SharePoint 2010.

  5. No prompt de comando do Windows PowerShell, crie um mapeamento de declaração de identidade, como mostrado na sintaxe a seguir:

    $map = New-SPClaimTypeMapping -IncomingClaimType "https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming

  6. No prompt de comando do Windows PowerShell, crie um mapeamento de declaração de função, como mostrado na sintaxe a seguir:

    $map2 = New-SPClaimTypeMapping -IncomingClaimType "https://schemas.microsoft.com/ws/2008/06/identity/claims/role" -IncomingClaimTypeDisplayName "Role" -SameAsIncoming

Para obter informações adicionais sobre o cmdlet New-SPClaimTypeMapping, consulte New-SPClaimTypeMapping

Criar um novo provedor de autenticação

Use o procedimento nesta seção para criar um novo SPTrustedIdentityTokenIssuer.

Para criar um novo provedor de autenticação usando o Windows PowerShell

  1. Verifique se você atende aos seguintes requisitos mínimos: Consulte Add-SPShellAdmin.

  2. No menu Iniciar, clique em Todos os Programas.

  3. Clique em Produtos do Microsoft SharePoint 2010.

  4. Clique em Shell de Gerenciamento do SharePoint 2010.

  5. No prompt de comando do Windows PowerShell, crie um novo provedor de autenticação, como mostra a sintaxe a seguir.

    Observação

    A variável $realm define o STS confiável que identifica um farm específico do SharePoint e a variável $cert é a usada na seção Importar um certificado de assinatura de token usando o Windows PowerShell. O parâmetro SignInUrl serve para o servidor AD FS.

    $realm = "urn:sharepoint:WebAppName"

$ap = New-SPTrustedIdentityTokenIssuer -Name "SAML Provider" -Description "SharePoint secured by SAML" -realm $realm -ImportTrustCertificate $cert -ClaimsMappings $map,$map2 -SignInUrl "https://congen1.contoso.local/adfs/ls" -IdentifierClaim "https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"

Para obter informações adicionais sobre o cmdlet New-SPTrustedIdentityTokenIssuer, consulte New-SPTrustedIdentityTokenIssuer

Associar um aplicativo Web a um provedor de identidade confiável

Para configurar um aplicativo Web existente para usar a assinatura SAML, o provedor de identidade confiável na seção do tipo de autenticação das declarações precisa ser modificado.

Para configurar um aplicativo Web existente para usar o Provedor SAML

  1. Verifique se a conta de usuário que está executando esse procedimento é membro do grupo Administradores de Farm do SharePoint.

  2. Na home page da Administração Central, clique em Gerenciamento de Aplicativos.

  3. Na página Gerenciamento de Aplicativos, na seção Aplicativos da Web, clique em Gerenciar aplicativos da Web.

  4. Clique para selecionar o aplicativo Web apropriado.

  5. Na faixa de opções, clique em Provedores de Autenticação.

  6. Em Zona, clique no nome da zona. Por exemplo, Padrão.

  7. Na página Editar Autenticação na seção Tipos de Autenticação de Declarações, marque a nova caixa de seleção Nome do provedor de Identidade confiável.

Se você precisar criar um aplicativo Web e configurá-lo para usar a assinatura SAML, consulte Criar um novo aplicativo Web do SharePoint e configurá-lo para usar a entrada SAML.

Criar um conjunto de sites

Como etapa final, crie um conjunto de sites do SharePoint e atribua um proprietário. Lembre-se de que ao adicionar um administrador do conjunto de sites, você deve inserir o nome no formato de sua declaração de identidade. Por exemplo, neste artigo, a declaração de identidade é um endereço de email. Para obter mais informações, consulte Criar um conjunto de sites (SharePoint Server 2010).