本文為機器翻譯文章。如需檢視英文版,請選取 [原文] 核取方塊。您也可以將滑鼠指標移到文字上,即可在快顯視窗顯示英文原文。
譯文
原文

設定從 SharePoint Server 2013 to SharePoint Online 的伺服器對伺服器驗證

 

適用版本:SharePoint Online, SharePoint Server 2013

上次修改主題的時間:2016-12-16

摘要︰了解如何建立伺服器- SharePoint Server 2013和SharePoint Online之間的伺服器信任。

本文是藍圖設定 SharePoint 混合式解決方案的程序的一部分。請確定您是遵循程當您執行本文中的程序。

本文提供的 SharePoint 混合式環境部署程序,是有關整合SharePoint Server 2013與SharePoint Online指引。請務必檢閱規劃伺服器對伺服器驗證之前。

提示 提示:
請依本文中顯示的順序完成程序,以獲得最可靠的結果。

在 SharePoint 混合式同盟的使用者可以傳送要求給SharePoint OnlineSharePoint Server 2013的 web 應用程式設定為使用整合式 Windows 驗證與 NTLM。

例如,您需要確定想要用於方案的內部部署搜尋中心網站設定成搭配使用整合式 Windows 驗證與 NTLM。如果不是,則需要重新設定 Web 應用程式使用 Windows 驗證與 NTLM 或在 Web 應用程式上使用符合要求的搜尋中心網站。您也需要確定預期從 SharePoint Online 傳回搜尋結果的使用者是同盟使用者。

驗證 Web 應用程式是否符合需求
  1. 確認將執行此程序的使用者帳戶為 SharePoint 伺服器陣列管理員群組的成員。

  2. 在管理中心中,按一下 [應用程式管理] > [管理 Web 應用程式]。

  3. 在 [名稱] 欄中,選取您要驗證的 Web 應用程式,然後按一下功能區上的 [驗證提供者]。

  4. 在 [驗證提供者] 對話方塊的 [區域] 欄中,按一下與搜尋中心網站相關聯的區域。

  5. 在 [編輯驗證] 對話方塊中,驗證已選取 [整合式 Windows 驗證] 和 [NTLM] (如下圖所示)。

    此圖說明 Web 應用程式的驗證規則設定

根據預設,在SharePoint Server 2013 OAuth 要求HTTPS。如果您設定要使用HTTP ,而非 SSL 您主要 web 應用程式,您必須在SharePoint Server 2013伺服器陣列中每部網頁伺服器HTTP上啟用 OAuth。

注意事項 附註:
如果您將主要 Web 應用程式設定成使用 SSL,則不需要此步驟,因此可以跳到在 SharePoint Online 中建立和設定 SSL 憑證的目標應用程式

若要在 HTTP 上啟用 OAuth,請在 SharePoint Server 2013 伺服器陣列的每部網頁伺服器上,使用伺服器陣列管理員帳戶從 SharePoint 2013 管理命令介面 命令提示字元執行下列命令。

$serviceConfig = Get-SPSecurityTokenServiceConfig
$serviceConfig.AllowOAuthOverHttp = $true
$serviceConfig.Update()

如果已在 HTTP 上啟用 OAuth 進行測試,但想要重新設定環境來使用 SSL,您可以在 SharePoint Server 2013 伺服器陣列的每部網頁伺服器上,使用伺服器陣列管理員帳戶從 SharePoint 2013 管理命令介面 命令提示字元執行下列命令,以便在 HTTP 上停用 OAuth。

$serviceConfig = Get-SPSecurityTokenServiceConfig
$serviceConfig.AllowOAuthOverHttp = $false
$serviceConfig.Update()

本節將協助您設定下列兩者之間的伺服器對伺服器驗證:

  • SharePoint Server 2013

  • SharePoint Online

  • Azure Active Directory

當您設定的混合式環境的伺服器對伺服器驗證時,您會建立trust relationshipon-premises SharePoint farm您及您SharePoint Onlinetenant,它會使用Azure Active Directory為受信任權杖簽署服務之間。新增所需的Windows PowerShell模組和嵌入式管理單元,在內部部署 SharePoint web 伺服器上的單一Windows PowerShell ] 視窗中可能發生此程序。

提示 提示:
想要保留在步驟、 您執行Windows PowerShell指令程式和可能會發生任何錯誤的記錄。您應該完成之後再關閉視窗來擷取Windows PowerShell緩衝區中的所有內容。這會提供您您執行的步驟的歷程記錄會有幫助您必須疑難排解或其他人說明的程序。這也可以是有用如果安裝程式發生問題階段重新整理記憶體。

以下是本節中您必須完成之程序的高階檢視:

  1. 在 SharePoint Server 2013 中設定 Security Token Service (STS):

    • 建立新的 STS 憑證。

    • 取代 SharePoint Server 2013 伺服器陣列中的各個伺服器上的預設 STS 憑證。

  2. 在 SharePoint Server 2013 伺服器陣列的網頁伺服器上安裝線上服務管理工具。

  3. 設定伺服器對伺服器的驗證:

    • 設定您將在稍後步驟使用的變數。

    • 將新的內部部署 STS 憑證上傳至 SharePoint Online。

    • 將服務主體名稱 (SPN) 新增至 Azure。

    • 向內部部署 SharePoint Server 2013 登錄 SharePoint Online 應用程式主體物件識別碼。

    • 設定內部部署 SharePoint Server 2013 伺服器陣列與 SharePoint Online 之間的一般驗證領域。

    • 設定Azure Active Directory應用程式 proxy 內部部署。

若要繼續,您需要在內部部署 SharePoint Server 2013 網頁伺服器上安裝這些工具:

  • Microsoft Online Services 登入小幫手

  • Windows PowerShell 的 Azure Active Directory 模組

  • SharePoint Online 管理命令介面

這在 SharePoint 伺服器陣列的網頁伺服器上十分常見,因為在網頁伺服器上載入 Microsoft.SharePoint.PowerShell 嵌入式管理單元,會比在未安裝 SharePoint Server 2013 的伺服器上簡單。

驗證SharePoint Server 2013、 SharePoint Online,及Azure Active Directory需要不同的使用者帳戶。如需如何判斷所要使用的帳戶資訊,請參閱混合式設定和測試所需的帳戶

注意事項 附註:
若要讓您輕鬆將完成本章節中的步驟,我們將開啟SharePoint Server 2013在網頁伺服器上的Windows PowerShell命令提示字元] 視窗,並新增模組和嵌入式管理單元,可讓您連線至SharePoint Server 2013、 SharePoint Online,以及Azure Active Directory。(我們將會提供您如何為達成此目的本文稍後的詳細步驟。)我們將然後保持開啟此視窗的所有剩餘Windows PowerShell步驟本文中使用。

安裝線上服務管理工具並設定 Windows PowerShell 視窗:

  1. 安裝線上服務管理工具:

    1. 安裝 Microsoft Online Services 登入小幫手:

      Microsoft Online Services 登入小幫手的 IT 專業人員 BETA (64 位元版本)(https://go.microsoft.com/fwlink/?LinkId=391943)

      如需其他資訊,請參閱Microsoft Online Services 登入小幫手的 IT 專業人員 RTW (https://go.microsoft.com/fwlink/?LinkId=392322)。

    2. 安裝Windows PowerShell 的 Azure Active Directory 模組:

      Azure Active Directory Module for Windows PowerShell (64 位元版本)(https://go.microsoft.com/fwlink/p/?linkid=236297)

      如需Windows PowerShell 的 Azure Active Directory 模組的其他資訊,請參閱 <管理 Azure Active Directory 使用 Windows PowerShell (https://aka.ms/aadposh)。

    3. 安裝 SharePoint Online 管理命令介面:

      SharePoint Online 管理命令介面 (64 位元版本)(https://go.microsoft.com/fwlink/?LinkId=392323)

      如需其他資訊,請參閱SharePoint Online 管理命令介面簡介 (https://go.microsoft.com/fwlink/?LinkId=392324)。

  2. 開啟 Windows PowerShell 視窗。

  3. 為了協助確保您未填滿緩衝區以及未遺失任何命令歷程記錄,請增加 Windows PowerShell 視窗的緩衝區大小:

    1. 按一下 Windows PowerShell 視窗的左上角,然後按一下 [內容]。

    2. 在 Windows PowerShell [內容] 視窗中,按一下 [版面配置] 索引標籤。

    3. 在 [螢幕緩衝區大小] 下,將 [高度] 欄位設定為 [9999],然後按一下 [確定]。

  4. 此步驟會載入您已下載的模組,以在 Windows PowerShell 工作階段中使用它們。請將下列命令複製到 Windows PowerShell 工作階段,然後按 Enter 鍵。

    Add-PSSnapin Microsoft.SharePoint.PowerShell
    Import-Module Microsoft.PowerShell.Utility
    Import-Module MSOnline -force
    Import-Module MSOnlineExtended -force
    Import-Module Microsoft.Online.SharePoint.PowerShell -force
    

    如果您稍後需要再次執行任何設定步驟,請一定要再次執行這些命令,以在 Windows PowerShell 中載入所需的模組和嵌入式管理單元。

  5. 設定 Windows PowerShell 的遠端處理:

    在 Windows PowerShell 命令提示字元處,輸入下列命令。

    enable-psremoting
    new-pssession
    

    如需詳細資訊,請參閱about_Remote_Requirements (https://go.microsoft.com/fwlink/?LinkId=392326)。

  6. 若要登入 SharePoint Online 承租人,請在 Windows PowerShell 命令提示字元處,輸入下列命令。

    $cred=Get-Credential
    Connect-MsolService -Credential $cred
    

    系統會提示您登入。您需要使用 Office 365 全域管理員帳戶登入。

    讓Windows PowerShell視窗保持開啟,直到您已完成本文中的所有步驟。您必須針對各種不同的下列各節中的程序。

您必須取代內部部署 SharePoint 伺服器陣列中的 STS 憑證。是您內部部署 SharePoint 網站集合的 Security Token Service 與SharePoint Online租用戶之間建立信任此憑證的工作。這可讓 STS 服務及Azure Active Directory來登入經驗證使用者的安全性權杖。

在實際執行環境中,建議由公用憑證授權單位 (CA) 發出新的 STS 憑證。這可提供最高階的憑證安全性,並減少自我簽署憑證發生與其他應用程式和服務的整合問題的機會。您可以將自我簽署憑證用於測試或試驗環境。

重要事項 重要事項:
憑證的使用期限通常為一年。因此必須預先規劃憑證更新,以避免服務中斷。此憑證至少必須有 2048 位元加密。

如果您在規劃期間,從 CA 取得 STS 憑證,請移至取代 STS 憑證。否則,如果您想要建立自我簽署的憑證,繼續建立自我簽署憑證

在此步驟中,您將建立新的自我簽署 SSL 憑證,以用作 STS 憑證。您會使用兩種檔案格式來建立新的憑證:

  • .pfx (含有私密金鑰)

  • .cer (不包含私密金鑰)

執行這項作業時,您將使用 IIS 管理員 (如下圖所示)。

本圖顯示要按一下 IIS 管理員中的哪個位置以建立自我簽署憑證

此圖說明 IIS 管理員

若要產生個人資訊交換 (.pfx) 檔案格式的自我簽署憑證,然後將它匯出為 .cer 檔,請使用 IIS 嵌入式管理單元完成下列步驟。

將自我簽署憑證建立為 .pfx 檔
  1. 在 SharePoint Server 伺服器陣列的網頁伺服器上,按一下 [開始] -> [系統管理工具] -> [Internet Information Services (IIS) Manager]。

  2. 按一下您伺服器的名稱。

  3. 在詳細資料窗格中,按兩下 IIS 下的 [伺服器憑證]。

  4. 在 [動作] 窗格中,按一下 [建立自我簽署憑證]。

  5. 在 [指定好記的名稱] 頁面上,指定好記的憑證名稱,然後按一下 [確定]。

  6. 在詳細資料窗格中,以滑鼠右鍵按一下新的憑證,然後按一下 [匯出]。

  7. 在 [匯出憑證] 的 [匯出至] 中,指定儲存憑證 .pfx 檔的路徑和名稱,並且在 [密碼] 和 [確認密碼] 中指定密碼,這將建立包含私密金鑰的 .pfx 檔。

  8. 按一下 [完成],然後按兩次 [確定]。

將自我簽署憑證匯出為 .cer 檔
  1. 在最後一個步驟建立的新憑證上按一下滑鼠右鍵,然後按一下 [檢視]。

  2. 在 [詳細資料] 索引標籤上,按一下 [複製到檔案]。

  3. 按一下精靈上的 [下一步]。

  4. 在 [匯出私密金鑰] 頁面上,按 [下一步]。

  5. 在 [匯出檔案格式] 頁面上,選擇 [Base-64 編碼 X.509 (.CER)]。按 [下一步]。

  6. 在 [匯出憑證] 中,輸入 .cer 檔的路徑和檔案名稱。按 [下一步]。

  7. 按一下 [完成],然後按兩次 [確定]。

若要取代 SharePoint Server 2013 伺服器陣列中每部伺服器上的 STS 憑證,您必須依顯示的順序完成下列兩個程序:

  • 取代憑證存放區中的 STS 憑證。

  • 更新 SharePoint Security Token Service (STS) 身分識別提供者的設定。

若要取代 Windows 憑證存放區中的 STS 憑證,請遵循 SharePoint Server 2013 伺服器陣列中每部伺服器上的下列步驟:

取代憑證存放區中的 STS 憑證
  1. 確認執行此程序的使用者帳戶是伺服器陣列管理員群組的成員。

  2. 按一下 [開始] > [執行]。

  3. 輸入 mmc,然後按 ENTER 鍵。若出現 [使用者帳戶控制] 對話方塊,請按一下 [是]

  4. 移至 [檔案] > [新增/移除嵌入式管理單元] > [憑證] > [新增] > [電腦帳戶] > [下一步] > [完成],然後按一下 [確定]。

  5. 按一下加號展開 [憑證],以滑鼠右鍵按一下 [信任的根憑證授權單位] > [所有工作] > [匯入]。

  6. 按 [下一步]。隨即顯示 [歡迎使用憑證匯入精靈] 對話方塊。

  7. 按一下 [瀏覽]。選取您要匯入的 *.cer 檔案名稱,按一下 [開啟舊檔],然後按 [下一步]。

  8. 在 [憑證存放區] 下,按一下 [將所有憑證放入以下的存放區],確定已選擇 [信任的根憑證授權單位] (如下圖所示),然後按 [下一步]。

    說明要選擇之憑證存放區的名稱
  9. 按一下 [完成]。

  10. 在 SharePoint Server 伺服器陣列的其他前端 Web 和應用程式伺服器上,重複步驟 1 到 9。

在此程序中,您將更新 STS 服務的設定。

注意 注意:
請在維護期間執行此程序,因為取代每部伺服器陣列伺服器上的 STS 憑證之後,需要重新啟動 IIS 和 SharePoint 計時器服務。這會中斷 SharePoint Server 2013 伺服器陣列的服務。
使用 SharePoint 2013 管理命令介面 取代 STS 憑證
  1. 將複製您組織特有,然後將其貼入 [記事本] 之類的文字編輯器的下列變數宣告的下列值。

    • <path to replacement certificate (.pfx file)>
      e.g. c:\certificates\NewSTScert.pfx

    • <certificate password>

  2. 在 Windows PowerShell 命令提示字元處,貼入下列命令:

    $pfxPath = "<path to replacement certificate (.pfx file)>"
    $pfxPass = "<certificate password>"
    $stsCertificate = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2 $pfxPath, $pfxPass, 20
    Set-SPSecurityTokenServiceConfig -ImportSigningCertificate $stsCertificate
    certutil -addstore -enterprise -f -v root $stsCertificate
    iisreset
    net stop SPTimerV4
    net start SPTimerV4
    
    注意事項 附註:
    如果成功,這些命令將不會顯示任何輸出。
  3. 若要驗證這個步驟,請於伺服器陣列的每個伺服器上,於 Windows PowerShell 命令提示字元處輸入:

    $stsCertificate |fl
    

    在螢幕的輸出中,確定憑證有好記的新名稱。

  4. 在 SharePoint Server 2013 伺服器陣列的其餘每部前端 Web 和應用程式伺服器上,重複步驟 1 到 6。

既然您已安裝工具可遠端管理Azure Active Directory和SharePoint Online,即準備好設定伺服器對伺服器驗證。

本節說明將在下面程序中設定的變數。這些變數包含許多其餘設定步驟中使用的重要資訊。

 

Variable

Comments

$spcn

公用網域的根網域名稱。這個值不應該使用 URL 的格式,應該是沒有通訊協定的網域名稱。

例如,adventureworks.com。

$spsite

內部部署主要 Web 應用程式的內部 URL,例如 http://sharepointhttps://sharepoint.adventureworks.com。這個值是使用正確通訊協定 (http:// 或 https://) 的完整 URL。

這是您要用於混合式功能的 web 應用程式的內部 URL。

例如,http://sharepoint 或 https://sharepoint.adventureworks.com。

$site

內部部署主要 Web 應用程式的物件。填入此變數的命令會取得 $spsite 變數中所指定網站的物件。

會自動填入此變數。

$spoappid

SharePoint Online 應用程式主體識別碼一律是 00000003-0000-0ff1-ce00-000000000000。這個一般值會識別 Office 365 承租人中的 SharePoint Online 物件。

$spocontextID

SharePoint Online 承租人的內容識別碼 (ObjectID)。這個值是可識別 SharePoint Online 承租人的唯一 GUID。

執行命令來設定變數時,會自動偵測這個值。

$metadataEndpoint

Azure Active Directory proxy 用來連線至Azure Active Directory租用的 URL。

您不需要輸入此變數的值。

現在,您已識別需要設定的變數,請使用這些指示來設定它們。預先填入最常用的變數,應該可協助您更快速地執行其餘步驟。只要未關閉 Windows PowerShell 工作階段,就會持續填入這些變數。看到角括弧 (< >) 時,請小心地提供精確資訊,而且一律先移除角括弧,再執行命令。請不要變更角括弧外部的程式碼。

注意事項 附註:
如果您稍後必須重新執行其中的任何設定步驟,則應該在此步驟中執行下列 Windows PowerShell 命令,以重新填入重要變數。

複製下列變數宣告,並將它們貼到文字編輯器 (例如 [記事本])。請設定您組織特有的輸入值。從使用線上服務管理工具設定的 Windows PowerShell 命令提示字元中,執行命令。

$spcn="*.<public_root_domain_name>.com"
$spsite=Get-Spsite <principal_web_application_URL>
$site=Get-Spsite $spsite
$spoappid="00000003-0000-0ff1-ce00-000000000000"
$spocontextID = (Get-MsolCompanyInformation).ObjectID
$metadataEndpoint = "https://accounts.accesscontrol.windows.net/" + $spocontextID + "/metadata/json/1"

填入這些變數之後,只要在 Windows PowerShell 視窗中輸入變數名稱,即可檢視其值。例如,輸入 $metadataEndpoint 會傳回與下面類似的值:

https://accounts.accesscontrol.windows.net/00fceb75-246c-4ac4-a0ad-7124xxxxxxxx/metadata/json/1

在此步驟中,您會將新的 STS 憑證上傳到 SharePoint Online 承租人,以讓 SharePoint Server 2013 和 SharePoint Online 連線以及使用彼此的服務應用程式。

此圖說明將 STS 憑證上傳至 SharePoint Online 時所牽涉的架構

此步驟中的命令會將新的內部部署 STS 憑證 (僅限公開金鑰) 新增至Office 365租用的SharePoint Online主體物件

注意事項 附註:
這些步驟使用.cer 格式的 STS 憑證檔案。

複製下列變數宣告,並將它們貼到文字編輯器 (例如 [記事本])。請設定您組織特有的輸入值。

$cerPath = "<path to replacement certificate (.cer file)>"
$cer = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2
$cer.Import($cerPath)
$binCert = $cer.GetRawCertData()
$credValue = [System.Convert]::ToBase64String($binCert);
New-MsolServicePrincipalCredential -AppPrincipalId $spoappid -Type asymmetric -Usage Verify -Value $credValue

在此步驟中,您可以將服務主要名稱 (SPN) 新增至Azure Active Directory租用。SPN 是由SharePoint Online主體物件和公司的公用 DNS 命名空間所組成。

如同在 Active Directory 中的 Spn 函數,建立此 SPN 登錄物件中Azure Active Directory是用以支援SharePoint Server 2013和SharePoint Online承租人之間的相互驗證。Spn 的基本語法為:

<服務類型>/<執行個體名稱>

其中:

  • <服務類型> 是 SharePoint Online 主體物件,這對於所有 SharePoint Online 承租人來說都一樣。

  • <執行個體名稱> 是您公司之公用 DNS 網域命名空間的 URL,一律以萬用字元表示,即使安全通道 SSL 憑證是 SAN 憑證也是一樣。

以下是範例:

00000003-0000-0ff1-ce00-000000000000/*.<public domain name>.com

如果您的憑證中的一般名稱是 sharepoint.adventureworks.com,則 SPN 的語法看起來像這樣:

00000003-0000-0ff1-ce00-000000000000/*.adventureworks.com

使用萬用字元值可讓 SharePoint Online 驗證與該網域中「任何主機」的連線。如果您未來需要變更外部端點 (如果您的拓撲包括外部端點) 的主機名稱或想要變更 SharePoint Server 2013 Web 應用程式,這相當實用。

若要將 SPN 新增至Azure Active Directory,請Windows PowerShell 的 Azure Active Directory 模組命令提示字元中輸入下列命令。

$msp = Get-MsolServicePrincipal -AppPrincipalId $spoappid
$spns = $msp.ServicePrincipalNames
$spns.Add("$spoappid/$spcn") 
Set-MsolServicePrincipal -AppPrincipalId $spoappid -ServicePrincipalNames $spns

若要驗證已設定的 SPN,請在 Windows PowerShell 的 Azure Active Directory 模組 命令提示字元處輸入下列命令。

$msp = Get-MsolServicePrincipal -AppPrincipalId $spoappid
$spns = $msp.ServicePrincipalNames 
$spns

您應該會看到 Office 365 租用中 SharePoint Online 的目前 SPN 清單,而且其中一個 SPN 應該包括您的公用根網域名稱 (前面會加上 SharePoint Online 應用程式主體識別碼)。此登錄是萬用字元登錄,而且應該如下例所示:

00000003-0000-0ff1-ce00-000000000000/*.<公用網域名稱>.com

這應該是含有公用根網域名稱的清單中「唯一」的 SPN。

這個步驟將向內部部署 SharePoint 應用程式管理服務登錄 SharePoint Online 應用程式主體物件 ID,這允許使用 OAuth 向 SharePoint Online 驗證 SharePoint Server 2013。

在 Windows PowerShell 命令提示字元處,輸入下列命令。

$spoappprincipalID = (Get-MsolServicePrincipal -ServicePrincipalName $spoappid).ObjectID
$sponameidentifier = "$spoappprincipalID@$spocontextID"
$appPrincipal = Register-SPAppPrincipal -site $site.rootweb -nameIdentifier $sponameidentifier -displayName "SharePoint Online"

若要驗證這個步驟, Windows PowerShell命令提示字元處輸入 $appPrincipal 變數:

$appPrincipal | fl

預期的輸出是名稱為 SharePoint Online 的登錄應用程式主體描述,與下面類似。

此圖說明 SharePoint Online 的已登錄應用程式主體

這個步驟會將 SharePoint Server 2013 伺服器陣列的驗證領域設定為組織 Office 365 租用的內容 ID。

在 Windows PowerShell 命令提示字元處,輸入下列命令。

Set-SPAuthenticationRealm -realm $spocontextID

若要驗證這個步驟,請在 Windows PowerShell 命令提示字元處輸入下列命令。

$spocontextID
 Get-SPAuthenticationRealm

各個命令的輸出是代表 SharePoint Online 租用內容識別碼的 GUID。這些 GUID 應該相同。

重要事項 重要事項:
如果所設定的伺服器陣列設定指令碼指定伺服器陣列驗證領域值,則應該將設定指令碼更新為新的值。
如需伺服器陣列設定指令碼領域值需求的詳細資訊,請參閱在 SharePoint 2013 中規劃伺服器對伺服器的驗證。因為您此時已經設定這個 SharePoint 伺服器陣列參與混合式設定,所以 SharePoint 伺服器陣列驗證領域值必須一律符合租用內容識別碼。如果您變更這個值,伺服器陣列將無法再參與混合式功能。

在此步驟中,您可以建立SharePoint Server 2013伺服器陣列中的Azure Active Directory proxy 服務。這讓Azure Active Directory為受信任權杖發行者的SharePoint Server 2013會使用登入及驗證從SharePoint Online宣告 token。

在 Windows PowerShell 命令提示字元處,輸入下列命令。

New-SPAzureAccessControlServiceApplicationProxy -Name "ACS" -MetadataServiceEndpointUri $metadataEndpoint -DefaultProxyGroup
New-SPTrustedSecurityTokenIssuer -MetadataEndpoint $metadataEndpoint -IsTrustBroker:$true -Name "ACS"

若要驗證New-SPAzureAccessControlServiceApplicationProxy命令:

  1. 瀏覽 SharePoint 2013 管理中心 網站,並按一下 [安全性] > [一般安全性] > [管理信任]。

  2. 確定具有名稱開頭為 ACS 開頭且類型為 [受信任服務取用者] 的項目。

若要驗證這個步驟,請在 Windows PowerShell 命令提示字元處輸入下列命令。

Get-SPTrustedSecurityTokenIssuer

預期的輸出是伺服器陣列受信任權杖發行者的描述,其中 RegisteredIssuerName 屬性的值如下:

00000001-0000-0000-c000-000000000000@<內容識別碼>

其中 < 內容識別碼 > 是您是在 $spocontextID 變數值的SharePoint Online租用的內容識別碼。

完成本主題中的工作和其驗證步驟之後,您應該確認最後一些事項:

  • 使用驗證 SSO 設定中的驗證步驟,檢查 SSO 和目錄同步處理設定。

  • 確定內部部署 SharePoint Server 2013 伺服器陣列中的 STS Service 運作中 (例如,確認您可以瀏覽網站以及存取檔案和資料夾,而未發生錯誤)。

    您可以手動檢查各個伺服器陣列伺服器上的 STS 憑證:

    1. 使用伺服器陣列管理員帳戶登入伺服器。

    2. 在 Windows PowerShell 命令提示字元處,輸入下列命令:

      Get-ChildItem cert:\LocalMachine\Sharepoint |fl

    3. 確定您看過符合取代 STS 憑證對象和好記名稱的憑證。

因此,您會有所採取步驟的歷程記錄,而且應該將 Windows PowerShell 緩衝區的整個內容擷取至檔案。如果您因疑難排解或任何其他原因而需要參照設定歷程記錄,則這十分重要。如果設定跨多天或牽涉多人,則這也可協助您從中斷之處繼續。

在完成並驗證本主題中的設定工作之後,繼續執行您設定藍圖

https://technet.microsoft.com/zh-tw/library/dn607322.aspx
顯示: