Konfigurieren der Authentifizierung mithilfe eines SAML-Sicherheitstokens (SharePoint Server 2010)
Gilt für: SharePoint Foundation 2010, SharePoint Server 2010
Letztes Änderungsdatum des Themas: 2016-11-30
In den Verfahren in diesem Artikel wird erläutert, wie Sie die Authentifizierung für eine forderungsbasierte Microsoft SharePoint Server 2010-Webanwendung mithilfe eines SAML-Sicherheitstokens (Security Assertion Markup Language) konfigurieren.
Die SAML-Anmeldung wird normalerweise in Unternehmensverbundszenarien verwendet, beispielsweise um einem Geschäftspartner den Zugriff zu ermöglichen. Die SAML-Anmeldung wird auch bereitgestellt, um internen Benutzern den Zugriff zu ermöglichen, deren Konten sich in einer Domäne außerhalb der Gesamtstruktur befinden, in der SharePoint Server 2010 enthalten ist.
Vor dem Konfigurieren der Authentifizierung mithilfe eines SAML-Sicherheitstokens für eine forderungsbasierte SharePoint Server 2010-Webanwendung müssen Sie einen Server konfigurieren, auf dem Active Directory-Verbunddienste 2.0 (Active Directory Federation Services, (AD FS) ausgeführt wird. Weitere Informationen zum Konfigurieren eines Servers für die Ausführung von AD FS 2.0 finden Sie im AD FS 2.0 Deployment Guide.
Inhalt dieses Artikels:
Konfigurieren einer Webanwendung für einen Identitätsanbieter-Sicherheitstokendienst mithilfe von Windows PowerShell
Konfigurieren einer Webanwendung für den Sicherheitstokendienst einer vertrauenden Seite
Einrichten einer Vertrauensstellung zwischen dem Identitätsanbieter-Sicherheitstokendienst und dem Sicherheitstokendienst einer vertrauenden Seite mithilfe von Windows PowerShell
Exportieren des Zertifikats für den vertrauenswürdigen Identitätsanbieter-Sicherheitstokendienst mithilfe von Windows PowerShell
Definieren eines eindeutigen Bezeichners für die Forderungszuordnung mithilfe von Windows PowerShell
Erstellen einer neuen SharePoint-Webanwendung und Konfigurieren der Webanwendung für die Verwendung der SAML-Anmeldung
Konfigurieren einer Webanwendung für einen Identitätsanbieter-Sicherheitstokendienst mithilfe von Windows PowerShell
Führen Sie die folgenden Verfahren aus, um mithilfe von Windows PowerShell eine forderungsbasierte SharePoint-Webanwendung zu konfigurieren.
So konfigurieren Sie eine Webanwendung für einen Identitätsanbieter-Sicherheitstokendienst mithilfe von Windows PowerShell
Vergewissern Sie sich, dass die folgenden Mindestanforderungen erfüllt sind: Weitere Informationen finden Sie unter Add-SPShellAdmin.
Klicken Sie im Startmenü auf Alle Programme.
Klicken Sie auf Microsoft SharePoint 2010-Produkte.
Klicken Sie auf SharePoint 2010-Verwaltungsshell.
Erstellen Sie wie im folgenden Beispiel an der Windows PowerShell-Eingabeaufforderung ein x509Certificate2-Objekt:
$cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("path to cert file")Erstellen Sie wie im folgenden Beispiel eine Forderungszuordnung zur Verwendung in Ihrem vertrauenswürdigen Authentifizierungsanbieter:
New-SPClaimTypeMapping "https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncomingErstellen Sie wie im folgenden Beispiel einen vertrauenswürdigen Anmeldeanbieter, indem Sie zuerst einen Wert für den
realm-Parameter erstellen:$realm = "urn:" + $env:ComputerName + ":domain-int"Erstellen Sie wie im folgenden Beispiel einen Wert für den
signinurl-Parameter, der auf die Sicherheitstokendienst-Webanwendung verweist:$signinurl = "https://test-2/FederationPassive/"Erstellen Sie wie im folgenden Beispiel den vertrauenswürdigen Anmeldeanbieter, und verwenden Sie dabei den gleichen
IdentifierClaim-Wert wie für eine Forderungszuordnung ($map1.InputClaimType):$ap = New-SPTrustedIdentityTokenIssuer -Name "WIF" -Description "Windows® Identity Foundation" -Realm $realm -ImportTrustCertificate $cert -ClaimsMappings $map1[,$map2..] -SignInUrl $signinurl -IdentifierClaim $map1.InputClaimTypeErstellen Sie wie im folgenden Beispiel eine Webanwendung, indem Sie zuerst einen Wert für das Anwendungspoolkonto (für den aktuellen Benutzer) erstellen:
$account = "DOMAIN\" + $env:UserNameHinweis
Das Anwendungspoolkonto muss ein verwaltetes Konto sein. Verwenden Sie
New-SPManagedAccountzum Erstellen eines verwalteten Kontos.Erstellen Sie wie im folgenden Beispiel einen Wert für die Webanwendungs-URL (
$webappurl = "https://" + $env:ComputerName):$wa = New-SPWebApplication -name "Claims WIF" -SecureSocketsLayer -ApplicationPool "SharePoint SSL" -ApplicationPoolAccount $account -Url $webappurl -Port 443 -AuthenticationProvider $apErstellen Sie wie im folgenden Beispiel eine Website, indem Sie zuerst ein Forderungsobjekt erstellen:
$claim = New-SPClaimsPrincipal -TrustedIdentityTokenIssuerr $ap -Identity $env:UserNameErstellen Sie wie im folgenden Beispiel eine Website:
$site = New-SPSite $webappurl -OwnerAlias $claim.ToEncodedString() -template "STS#0"
Konfigurieren einer Webanwendung für den Sicherheitstokendienst einer vertrauenden Seite
Verwenden Sie das Verfahren in diesem Abschnitt, um eine Webanwendung für den Sicherheitstokendienst einer vertrauenden Seite zu konfigurieren.
So konfigurieren Sie eine Webanwendung für den Sicherheitstokendienst einer vertrauenden Seite
Öffnen Sie die Verwaltungskonsole von Active Directory-Verbunddienste 2.0 (Active Directory Federation Services, AD FS.
Erweitern Sie im linken Bereich die Option Richtlinie, und wählen Sie Vertrauende Seiten aus.
Klicken Sie im rechten Bereich auf Vertrauende Seite hinzufügen. Dadurch wird der Konfigurations-Assistent von Active Directory-Verbunddienste (AD FS) 2.0 geöffnet.
Klicken Sie auf der ersten Seite des Assistenten auf Start.
Wählen Sie Konfiguration der vertrauenden Seite manuell eingeben aus, und klicken Sie auf Weiter.
Geben Sie den Namen einer vertrauenden Seite ein, und klicken Sie auf Weiter.
Stellen Sie sicher, dass die Option für das Serverprofil von Active Directory-Verbunddienste 2.0 ausgewählt ist, und klicken Sie auf Weiter.
Verwenden Sie kein Verschlüsselungszertifikat. Klicken Sie auf Weiter.
Wählen Sie die Option zur Aktivierung der Unterstützung für webbrowserbasierten Identitätsverbund aus.
Geben Sie den Namen der Webanwendungs-URL ein, und fügen Sie /_trust/ an (beispielsweise https://servername/_trust/). Klicken Sie auf Weiter.
Geben Sie den Namen eines Bezeichners ein (beispielsweise urn:COMPUTERNAME:Geneva), und klicken Sie auf Hinzufügen. Klicken Sie auf Weiter.
Klicken Sie auf der Zusammenfassungsseite auf Weiter und dann auf Schließen. Dadurch wird die Regel-Editor-Verwaltungskonsole geöffnet. Konfigurieren Sie mithilfe dieser Konsole die Zuordnung von Forderungen von einer LDAP-Webanwendung zu SharePoint.
Erweitern Sie im linken Bereich die Option Neue Regel, und wählen Sie Vordefinierte Regel aus.
Wählen Sie Forderungen aus LDAP-Attributspeicher erstellen aus.
Wählen Sie im rechten Bereich in der Dropdownliste Attributspeicher den Eintrag für Active Directory-Benutzerkontenspeicher für Unternehmen aus.
Wählen Sie unter LDAP-Attribut den Eintrag sAMAccountName aus.
Wählen Sie unter Typ des ausgehenden Anspruchs den Eintrag E-Mail-Adresse aus.
Klicken Sie im linken Bereich auf Speichern.
Einrichten einer Vertrauensstellung mit einem Identitätsanbieter-Sicherheitstokendienst mithilfe von Windows PowerShell
Verwenden Sie das Verfahren in diesem Abschnitt, um eine Vertrauensstellung mit einem Identitätsanbieter-Sicherheitstokendienst einzurichten.
So richten Sie mithilfe von Windows PowerShell eine Vertrauensstellung mit einem Identitätsanbieter-Sicherheitstokendienst ein
Vergewissern Sie sich, dass die folgenden Mindestanforderungen erfüllt sind: Weitere Informationen finden Sie unter Add-SPShellAdmin.
Klicken Sie im Startmenü auf Alle Programme.
Klicken Sie auf Microsoft SharePoint 2010-Produkte.
Klicken Sie auf SharePoint 2010-Verwaltungsshell.
Richten Sie wie im folgenden Beispiel gezeigt über die Windows PowerShell-Eingabeaufforderung eine Vertrauensstellung ein:
$waurl = "https://" + $env:ComputerName $title = "SAML-Claims"
Exportieren des Zertifikats für den vertrauenswürdigen Identitätsanbieter-Sicherheitstokendienst mithilfe von Windows PowerShell
Verwenden Sie das Verfahren in diesem Abschnitt, um das Zertifikat des Identitätsanbieter-Sicherheitstokendiensts, mit dem Sie eine Vertrauensstellung einrichten möchten, zu exportieren und dann das Zertifikat in einen Speicherort zu kopieren, auf den von Microsoft SharePoint Server 2010 zugegriffen werden kann.
So exportieren Sie das Zertifikat für den vertrauenswürdigen Identitätsanbieter-Sicherheitstokendienst mithilfe von Windows PowerShell
Vergewissern Sie sich, dass die folgenden Mindestanforderungen erfüllt sind: Weitere Informationen finden Sie unter Add-SPShellAdmin.
Klicken Sie im Startmenü auf Alle Programme.
Klicken Sie auf Microsoft SharePoint 2010-Produkte.
Klicken Sie auf SharePoint 2010-Verwaltungsshell.
Exportieren Sie wie im folgenden Beispiel gezeigt das Zertifikat des vertrauenswürdigen Identitätsanbieter-Sicherheitstokendiensts über die Windows PowerShell-Eingabeaufforderung:
$cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("c:\geneva.cer")
Definieren eines eindeutigen Bezeichners für die Forderungszuordnung mithilfe von Windows PowerShell
Verwenden Sie das Verfahren in diesem Abschnitt, um eine E-Mail-Adresse zu definieren, die als eindeutiger Bezeichner für die Forderungszuordnung dienen soll. Normalerweise muss der Administrator des vertrauenswürdigen Sicherheitstokendienstsdiese Informationen bereitstellen, da nur der Besitzer des Sicherheitstokendiensts weiß, welcher Wert im Token für die einzelnen Benutzer immer eindeutig ist. Der Administrator des vertrauenswürdigen Sicherheitstokendiensts kann einen URI erstellen, der die E-Mail-Adresse darstellt.
So definieren Sie einen eindeutigen Bezeichner für die Forderungszuordnung mithilfe von Windows PowerShell
Vergewissern Sie sich, dass die folgenden Mindestanforderungen erfüllt sind: Weitere Informationen finden Sie unter Add-SPShellAdmin.
Klicken Sie im Startmenü auf Alle Programme.
Klicken Sie auf Microsoft SharePoint 2010-Produkte.
Klicken Sie auf SharePoint 2010-Verwaltungsshell.
Erstellen Sie wie im folgenden Beispiel gezeigt über die Windows PowerShell-Eingabeaufforderung eine Zuordnung:
$map = New-SPClaimTypeMapping -IncomingClaimType "https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming
Erstellen eines neuen Authentifizierungsanbieters
Verwenden Sie das Verfahren in diesem Abschnitt, um einen neuen Authentifizierungsanbieter zu erstellen, der von der Webanwendung verwendet werden soll.
So erstellen Sie einen neuen Authentifizierungsanbieter mithilfe von Windows PowerShell
Vergewissern Sie sich, dass die folgenden Mindestanforderungen erfüllt sind: Weitere Informationen finden Sie unter Add-SPShellAdmin.
Klicken Sie im Startmenü auf Alle Programme.
Klicken Sie auf Microsoft SharePoint 2010-Produkte.
Klicken Sie auf SharePoint 2010-Verwaltungsshell.
Erstellen Sie wie im folgenden Beispiel gezeigt über die Windows PowerShell-Eingabeaufforderung einen neuen Authentifizierungsanbieter. Beachten Sie, dass der Bereich der Parameter ist, der vom vertrauenswürdigen Sicherheitstokendienst zum Identifizieren einer bestimmten SharePoint-Farm verwendet wird.
$realm = "urn:" + $env:ComputerName + ":Geneva" $ap = New-SPTrustedIdentityTokenIssuer -Name "Geneva" -Description "Geneva" -Realm $realm -ImportTrustCertificate $cert -ClaimsMappings $map -SignInUrl "https:// test-2/FederationPassive/" -IdentifierClaim "https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"
Erstellen einer neuen SharePoint-Webanwendung und Konfigurieren der Webanwendung für die Verwendung der SAML-Anmeldung
In diesem Schritt erstellen und konfigurieren Sie die Webanwendung.
So erstellen Sie mithilfe von Windows PowerShell eine neue SharePoint-Webanwendung und konfigurieren diese für die Verwendung der SAML-Anmeldung
Vergewissern Sie sich, dass die folgenden Mindestanforderungen erfüllt sind: Weitere Informationen finden Sie unter Add-SPShellAdmin.
Klicken Sie im Startmenü auf Alle Programme.
Klicken Sie auf Microsoft SharePoint 2010-Produkte.
Klicken Sie auf SharePoint 2010-Verwaltungsshell.
Erstellen Sie an der Windows PowerShell-Eingabeaufforderung eine neue SharePoint-Webanwendung, und konfigurieren Sie diese für die Verwendung der SAML-Anmeldung . Dabei müssen Sie "WebAppUrl" und "domain\admin" durch gültige Werte ersetzen.
$wa = New-SPWebApplication -Name "SAML Sign-In" -SecureSocketsLayer -ApplicationPool "SAML Sign-In" -ApplicationPoolAccount "domain\admin" - Url "WebAppUrl" -Port 443 -AuthenticationProvider $apHinweis
Sie aktivieren SSL, da bei der SAML-Anwendung Cookies als Ticket für einmaliges Anmelden für den Benutzer verwendet werden. Auf diese Weise können Administratoren für die Gültigkeitsdauer des Tokens den Zugriff auf die SharePoint-Ressourcen gewähren, ohne dass der Benutzer erneut authentifiziert werden muss. Ohne SSL können diese Cookies leicht von einem bösartigen Benutzer abgefangen und zur Übernahme der Identität des ursprünglichen Benutzers verwendet werden.
Nach Abschluss dieser Verfahren erstellen Sie eine SharePoint-Website und weisen einen Besitzer zu. Weitere Informationen zum Erstellen einer SharePoint-Website finden Sie unter Erstellen einer Websitesammlung (SharePoint Server 2010).