本文為機器翻譯文章。如需檢視英文版,請選取 [原文] 核取方塊。您也可以將滑鼠指標移到文字上,即可在快顯視窗顯示英文原文。
譯文
原文

使用 Microsoft Azure Active Directory 的 SharePoint 2013 驗證

 

適用版本:Microsoft Azure, SharePoint Server 2013

上次修改主題的時間:2016-12-16

摘要︰了解如何使用 Azure Access Control Service 來驗證您的 SharePoint Server 2013 使用者利用 Azure Active Directory。

它可以更輕鬆地管理您的使用者藉由驗證這些不同的身分識別提供者。請考量如何方便可以使用您信任的身分識別提供者,但其他人管理。例如,您可以有一種存取SharePoint Server 2013雲端中使用者的驗證與另一個用於內部部署環境中的SharePoint 2013使用者類型。Azure存取控制服務讓這些選擇變得可能。

本文說明如何使用Azure存取控制服務來驗證您SharePoint 2013使用者具有Azure AD,而不是您在內部部署 Active Directory。在此組態中, Azure AD 會變成SharePoint 2013的信任的身分識別提供者。此設定會新增不同SharePoint 2013安裝本身所使用的 Active Directory 驗證使用者驗證方法。若要善加利用本文章,您應該熟悉 WS-同盟。如需詳細資訊,請參閱了解 WS-同盟

下圖顯示在此組態中SharePoint 2013使用者的驗證運作方式。

使用者經過 Azure Active Directory 驗證

使用本文中的範例是由吳 Evans、 Azure卓越中心的 Microsoft 架構師所提供。

如需SharePoint 2013協助工具資訊,請參閱 < SharePoint 2013 的協助工具

請遵循下列一般步驟來設定您的環境使用Azure AD 做為SharePoint 2013身分識別提供者。

  1. 建立新的Azure AD 租用戶和命名空間。

  2. 新增 WS-同盟身分識別提供者。

  3. 新增 SharePoint 做為信賴憑證者的廠商應用程式。

  4. 建立使用 ssl 的自我簽署的憑證。

  5. 建立宣告式驗證的規則群組。

  6. 設定的 X.509 憑證。

  7. 建立的宣告對應。

  8. 設定 SharePoint 進行新的身分識別提供者。

  9. 設定的權限。

  10. 確認新的提供者。

使用下列步驟來建立新的Azure AD 租用戶和相關聯的命名空間。在這個範例中,我們會使用 namespace"blueskyabove"。

  1. 在Azure管理入口網站、 按一下 [ Active Directory] 並再建立新的Azure AD租用戶。

  2. 按一下 [存取控制命名空間,並建立新的命名空間。

  3. 按一下 [下方列上的 [管理]。這應該會開啟此位置 https://blueskyabove.accesscontrol.windows.net/v2/mgmt/web。

  4. 開啟Windows PowerShell。使用 Microsoft Online Services 模組Windows PowerShell,這是安裝AzureWindows PowerShell cmdlet 的必要條件。

  5. Windows PowerShell命令提示字元處輸入命令︰ Connect-Msolservice,然後輸入您的認證。

    注意事項 附註:
    如需如何使用AzureWindows PowerShell cmdlet 的其他資訊,請參閱管理使用 Windows PowerShell 的 Azure AD
  6. Windows PowerShell命令提示字元處輸入下列命令:

    Import-Module MSOnlineExtended -Force
    
    $replyUrl = New-MsolServicePrincipalAddresses -Address "https://blueskyabove.accesscontrol.windows.net/"
    
    New-MsolServicePrincipal -ServicePrincipalNames @("https://blueskyabove.accesscontrol.windows.net/") -DisplayName "BlueSkyAbove ACS Namespace" -Addresses $replyUrl
    

    下圖說明輸出結果。

    建立服務主體名稱

使用下列步驟將新的 WS-同盟身分識別提供者新增至 blueskyabove 命名空間。

  1. 從Azure管理入口網站中,移至 [ Active Directory >存取控制命名空間,按一下 [建立新的執行個體] 和 [管理

  2. 從Azure Access Control 入口網站中,按一下 [身分識別提供者>新增],如下圖所示。

    Azure 中的 [身分識別提供者] 對話方塊

  3. 按一下 [ WS-同盟身分識別提供者,如下圖所示圖,並再按 [下一步

    「新增身分識別提供者」設定

  4. 填寫 [顯示名稱和登入連結文字,和 [儲存。WS-同盟中繼資料 URL 輸入https://accounts.accesscontrol.windows.net/blueskyabove.onmicrosoft.com/FederationMetadata/2007-06/FederationMetadata.xml。下圖說明設定。

    同盟身分識別提供者

信賴憑證者的廠商應用程式中加入 SharePoint 中使用下列步驟。

如需信賴憑證者應用程式設定的其他資訊,請參閱信賴憑證者方應用程式

  1. 從Azure Access Control 入口網站中,按一下 [信賴憑證者方應用程式,並再按一下 [新增],如下圖所示。

    「信賴憑證者應用程式」設定

使用下列步驟來建立新的自我簽署憑證,以使用安全通訊的 ssl。

  1. 擴充 web 應用程式使用相同的 URL 為 PublishingSite,但使用 SSL 搭配連接埠 443,如下圖所示。

    擴充應用程式的設定

  2. 在IIS 管理員,按兩下 [伺服器憑證]。

  3. 在 [動作] 窗格中,按一下 [建立自我簽署憑證。在 [指定憑證的易記名稱] 方塊中輸入憑證的易記名稱及 [確定]

  4. 從 [編輯網站繫結] 對話方塊中,確定主機名稱的好記的名稱相同下圖所示。

    [自我簽署憑證] 精靈

    [編輯繫結] 方塊中的主機名稱

  5. 從Azure管理入口網站中,按一下您要設定的虛擬機器] 和 [端點

  6. 按一下 [新增] 和 [ --> (適用於下一步)。

  7. 在 [名稱] 中輸入端點的名稱。

  8. 公用連接埠私人連接埠,輸入您要使用的連接埠號碼和 [完成] 核取記號。這些數字可能會不同。本文目的,我們使用 443,如下圖所示。

    Azure 中的「端點」設定

    注意事項 附註:
    如需如何將端點加入Azure在虛擬機器的其他資訊,請參閱如何設定 「 端點虛擬機器
  9. 從 [存取控制服務入口網站中,新增信賴憑證者,如下圖所示。

    「新增信賴憑證者應用程式」設定

使用下列步驟來建立新規則群組來控制宣告式驗證。

  1. 在左窗格中,按一下 [規則群組] 和 [新增

  2. 輸入規則群組的名稱、 按一下 [儲存] 和 [產生。本文目的,我們使用Default Rule Group for. spvms.cloudapp.net,如下圖所示。

    Azure 中的「規則群組」設定

    選擇 [產生] 之後的規則

    注意事項 附註:
    如需如何建立規則群組,請參閱規則群組和規則的其他資訊。
  3. 按一下您想要變更的規則群組,然後按一下 [您想要變更的宣告規則。本文目的,我們會新增宣告規則至要將name傳遞為upn,圖,如下圖所示的群組。

    Azure Access Control 中的宣告規則

  4. 刪除現有的宣告規則名稱為upn,並保留Name Claim to UPN規則圖,如下圖所示。

    Azure Access Control 中的規則設定

使用下列步驟來設定要用於 token 簽署的 X.509 憑證。

  1. 在 [存取控制服務] 窗格中的 [開發、 按一下 [應用程式整合

  2. 端點參考 (英文)、 中找出您Azure租用戶相關聯Federation.xml然後複製該位置在網址列中的瀏覽器中。

  3. Federation.xml檔案中,找出RoleDescriptor ] 區段中,並複製資訊從<X509Certificate>元素,如下圖所示。

    Federation.xml 檔案的 X509 憑證元素

  4. 從 C:\ 的磁碟機根目錄中,建立名為Certificates的資料夾。

  5. 將 X509Certificate 資訊儲存到檔案名稱、 AcsTokenSigning.cerC:\Certificates 資料夾。

    注意事項 附註:
    必須具有.cer 副檔名儲存的檔案名稱。

    將 X509Certificate 元素儲存為檔案

使用下列步驟使用Windows PowerShell建立的宣告對應。

確認您具備下列成員身分:

  1. SQL Server 執行個體上的 securityadmin 固定伺服器角色。

  2. 將更新的所有資料庫上的db_owner固定的資料庫角色。

  3. 正在執行 Windows PowerShell Cmdlet 之所在伺服器上的管理員群組。

管理員可以使用 Add-SPShellAdmin Cmdlet 來授與使用 SharePoint 2013 Cmdlet 的權限。

注意事項 附註:
如果您不具備上述權限,請連絡安裝程式系統管理員或 SQL Server 系統管理員要求權限。如需 Windows PowerShell 權限的其他資訊,請參閱<Add-SPShellAdmin>。
  1. 從 [開始] 功能表按一下 [所有程式]。

  2. 按一下 [Microsoft SharePoint 2013 產品]。

  3. 按一下 [SharePoint 2013 管理命令介面]。

  4. 在Windows PowerShell命令提示字元處輸入下列命令來建立的宣告對應:

    $cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("c:\certificates\AcsTokenSigning.cer")
    
    New-SPTrustedRootAuthority -Name "ACS BlueSkyAbove Token Signing" -Certificate $cert
    
    $map = New-SPClaimTypeMapping -IncomingClaimType "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn" -IncomingClaimTypeDisplayName "UPN" -SameAsIncoming
    
    $map2 = New-SPClaimTypeMapping -IncomingClaimType "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname" -IncomingClaimTypeDisplayName "GivenName" -SameAsIncoming
    
    $map3 = New-SPClaimTypeMapping -IncomingClaimType "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname" -IncomingClaimTypeDisplayName "SurName" -SameAsIncoming
    
    $realm = "urn:sharepoint:spvms"
    
    $ap = New-SPTrustedIdentityTokenIssuer -Name "ACS Provider" -Description "SharePoint secured by SAML in ACS" -realm $realm -ImportTrustCertificate $cert -ClaimsMappings $map,$map2,$map3 -SignInUrl "https://blueskyabove.accesscontrol.windows.net/v2/wsfederation" -IdentifierClaim "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"
    

使用下列步驟來設定您的 SharePoint 安裝以Azure AD 新的身分識別提供者。

  1. 確認執行此程序的使用者帳戶為 SharePoint 伺服器陣列管理員群組的成員。

  2. 在管理中心的首頁上按一下 [應用程式管理]。

  3. 在 [應用程式管理] 頁面上,按一下 [Web 應用程式] 區段中的 [管理 Web 應用程式]。

  4. 按一下適當的 Web 應用程式。

  5. 在功能區上,按一下 [驗證提供者]。

  6. 在 [區域] 按一下 [區域名稱。例如,預設值

  7. 在 [編輯驗證] 頁面上的 [宣告驗證類型] 區段中選取 [信任的身分識別提供者,和 [該項目的本文ACS Provider您提供者的名稱。按一下 [確定]

  8. 下圖說明Trusted Provider設定。

Web 應用程式中的「信任提供者」設定

使用下列步驟來設定存取 web 應用程式的權限。

  1. 在管理中心的首頁上按一下 [應用程式管理]。

  2. 在 [應用程式管理] 頁面上,按一下 [Web 應用程式] 區段中的 [管理 Web 應用程式]。

  3. 按一下適當的 Web 應用程式,然後按一下 [使用者原則]。

  4. 在 [Web 應用程式的原則] 中按一下 [新增使用者]。

  5. 在 [新增使用者] 對話方塊中,按一下 [區域] 中的適當區域,然後按 [下一步]。

  6. 在 [新增使用者] 對話方塊中,輸入user2@blueskyabove.onmicrosoft.com (ACS 提供者)

  7. 在 [權限,按一下 [完全控制]。

  8. 按一下 [完成],然後按一下 [確定]。

下圖說明 [新增使用者] 區段中的現有 web 應用程式。

將使用者新增至現有 Web 應用程式

使用下列步驟以確認新的身分識別提供者正常運作來確保新的驗證提供者會出現在 [登入提示。

  1. 登入使用名為Blue Sky Above、 新的提供者,如下圖所示。

    顯示新受信任提供者的登入對話方塊

了解 WS-同盟

雲端採用和混合式解決方案

參與討論

連絡我們 描述

您需要哪些解決方案?

我們將建立跨多個 Microsoft 產品和服務之解決方案的內容。讓我們知道您對跨伺服器解決方案的想法,或將電子郵件傳送至 MODAcontent@microsoft.com 以要求特定的解決方案。

參與解決方案討論

如果您熱衷於解決方案,請考慮加入 Solutions Advisory Board (SAB) 來連繫全球 Microsoft 解決方案內容開發人員、產業專業人員和客戶的更大且活躍的社群。請將電子郵件傳送至 SAB@microsoft.com 來加入。任何人都可以讀取 SAB 部落格上的社群相關內容;不過,SAB 成員存取私人解決方案研討會,並且可以參與 SAB Yammer 網路。

取得您在這裡看到的美工圖案

如果您想要在雲端採用和混合式解決方案內容中看到之美工圖案的可編輯複本,我們會很高興將它傳送給您。請以電子郵件將您的要求 (包括美工圖案的 URL 和標題) 傳送至 MODAcontent@microsoft.com

https://technet.microsoft.com/zh-tw/library/dn262744.aspx
顯示: