設定 Security Token Service (SharePoint Server 2010)

  • 發行項

 

適用版本: SharePoint Foundation 2010, SharePoint Server 2010

上次修改主題的時間: 2016-11-30

本文提供的指導可供您設定 Microsoft SharePoint Server 2010 Security Token Service (STS)。STS 是特殊設計的 Web 服務,可以回應對安全性權杖的要求,並提供身分識別管理。每一個 STS 的核心功能均相同,但各 STS 所執行的工作本質,端視在您的設計中它相對於其他 STS Web 服務所扮演的角色而定。

本文內容:

  • 使用 STS 的 Web 應用程式如何運作

  • 使用 Windows PowerShell 以設定採用 SharePoint 宣告的 Web 應用程式

  • 編輯繫結

  • 設定使用 STS 的 Web 應用程式

使用 STS 的 Web 應用程式如何運作

使用 Security Token Service 的 Web 應用程式可處理有關發行、管理及驗證安全性權杖的要求。安全性權杖由身分識別宣告 (如使用者的名稱、角色或匿名識別碼) 集合所組成。權杖可以不同的格式發行,如安全性聲明標記語言 (SAML) 權杖。此外安全性權杖也可利用 X.509 憑證加上保護,一方面可以保護權杖內容於傳送過程的安全性,另一方面則可用於驗證信任的發行者。如需 Security Token Service 的其他資訊,請參閱<規劃驗證方法 (SharePoint Server 2010)>。

身分識別提供者 STS (IP-STS) 是個處理有關信任身分識別宣告要求的 Web 服務。IP-STS 使用稱為身分識別存放區的資料庫,存放與管理身分識別及其屬性。身分識別提供者的身分識別存放區可能十分簡單,如 SQL 資料庫的資料表。IP-STS 也可能使用複雜的身分識別存放區,如 Active Directory 網域服務 (AD DS) 或 Active Directory 輕量型目錄服務 (AD LDS)。

IP-STS 可供用戶端建立及管理身分識別,也可供信賴憑證者應用程式在必須驗證用戶端所提出的身分識別時使用。每一個 IP-STS 皆會與同盟夥伴信賴憑證者 STS Web 應用程式 (稱為 RP-STS) 建立同盟信任關係,並對其發行權杖。用戶端可以建立或提供受管理的資訊卡 (它會使用卡片選取器,如 CardSpace),透過資訊卡提出在 IP-STS 上登錄的身分識別。用戶端在要求安全性權杖(代表身分識別,包含於 IP-STS 的身分識別存放區內) 時,會與 IP-STS 進行互動。完成驗證之後,IP-STS 會發行信任的安全性權杖,讓用戶端提供給信賴憑證者。信賴憑證者應用程式可與 IP-STS 建立信任關係,以便於驗證 IP-STS 所發行的安全性權杖。建立信任關係之後,信賴憑證者應用程式即會檢查用戶端所提出的安全性權杖,並判別其所含之身分識別宣告是否有效。

信賴憑證者 STS (RP-STS) 是負責接收來自信任同盟夥伴 IP-STS 之安全性權杖的 STS。RP-STS 會相對發行新的安全性權杖,供本機信賴憑證者應用程式使用。藉由讓 RP-STS Web 應用程式與 IP-STS Web 應用程式建立同盟關係,組織將可提供網頁單一登入 (SSO) 功能供合作夥伴組織的使用者使用。每一個組織仍可各自管理其身分識別存放區。

使用 Windows PowerShell 以設定採用 SharePoint 宣告的 Web 應用程式

若要使用 Windows PowerShell 設定採用 SharePoint 宣告式 Web 應用程式,請執行下列程序。

使用 Windows PowerShell 以設定採用 SharePoint 宣告的 Web 應用程式

  1. 確認符合下列基本需求:請參閱<Add-SPShellAdmin>。

  2. 在 [開始] 功能表上,按一下 [所有程式]。

  3. 按一下 [Microsoft SharePoint 2010 產品]。

  4. 按一下 [SharePoint 2010 管理命令介面]。

  5. 在 Windows PowerShell 命令提示字元 (即 PS C:\>) 中,建立 x509Certificate2 物件,如以下範例所示:

    $cert = New-Object
System.Security.Cryptography.X509Certificates.X509Certificate2("path to cert file")

  6. 建立驗證提供者所要使用的宣告類型對應,如以下範例所示:

    New-SPClaimTypeMapping "https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"
-IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming

  7. 先建立 realm 參數的值,再建立信任的登入提供者,如以下範例所示:

    $realm = "urn:" + $env:ComputerName + ":domain-int"

  8. 建立指向 Web 應用程式的 signinurl 參數值,如以下範例所示:

    $signinurl = "https://test-2/FederationPassive/"

  9. 使用與宣告對應 ($map1.InputClaimType) 相同的 IdentifierClaim 值,建立信任的登入提供者,如以下範例所示:

    $ap = New-SPTrustedIdentityTokenIssuer -Name
"WIF" -Description "Windows® Identity Foundation" -Realm
$realm -ImportTrustCertificate $cert
-ClaimsMappings $map1[,$map2..] -SignInUrl
$signinurl -IdentifierClaim $map1.InputClaimType

  10. 先建立目前使用者的應用程式集區帳戶值,然後再建立 Web 應用程式,如以下範例所示:

    $account = "DOMAIN\" + $env:UserName

    注意

    此應用程式集區帳戶必須是受管理帳戶。若要建立受管理帳戶,請使用 New-SPManagedAccount

  11. 建立 Web 應用程式 URL ($webappurl = "https://" + $env:ComputerName) 的值,如以下範例所示:

    $wa = New-SPWebApplication -name "Claims WIF"
-SecureSocketsLayer -ApplicationPool "SharePoint SSL"
-ApplicationPoolAccount $account -Url $webappurl -Port 443
-AuthenticationProvider $ap

  12. 先建立宣告物件,然後再建立網站,如以下範例所示:

    $claim = New-SPClaimsPrincipal
-TrustedIdentityTokenIssuerr $ap -Identity
$env:UserName

  13. 建立網站,如以下範例所示:

    $site = New-SPSite $webappurl -OwnerAlias
$claim.ToEncodedString() -template "STS#0"

編輯繫結

完成設定 SharePoint 宣告式 Web 應用程式之後,請編輯繫結。

編輯繫結

  1. 在命令提示字元中輸入 INETMGR,啟動 IIS 管理員。

  2. 前往 IIS 的 [宣告 Web 應用程式] 網站。

  3. 在左窗格中,以滑鼠右鍵按一下 [宣告 Web 應用程式],然後選取 [編輯繫結]。

  4. 選取 [https],然後按一下 [編輯]。

  5. 在 [SSL 憑證] 下,選取所列的憑證。

設定使用 STS 的 Web 應用程式

完成採用 SharePoint Server 2010 宣告之 Web 應用程式的設定、繫結的編輯及 Web.Config 檔案的設定之後,即可使用本節的程序,設定 Security Token Service Web 應用程式。

設定使用 STS 的 Web 應用程式

  1. 開啟 Active Directory Federation Services (AD FS) 2.0 管理主控台。

  2. 在左窗格中,展開 [原則],然後選取 [信賴憑證者]。

  3. 在右窗格中,按一下 [新增信賴憑證者]。隨即會開啟 Active Directory Federation Services (AD FS) 2.0 設定精靈。

  4. 在精靈的第一頁中,按一下 [開始]。

  5. 按一下 [手動輸入信賴憑證者設定],然後按 [下一步]。

  6. 輸入信賴憑證者名稱,然後按 [下一步]。

  7. 確認已選取 [Active Directory Federation Services (AD FS) 2.0 伺服器設定檔],然後按 [下一步]。

  8. 若不打算使用加密憑證,請按 [下一步]。

  9. 選取 [啟用採用網頁瀏覽器的識別身分同盟支援]。

  10. 輸入 Web 應用程式 URL 的名稱,並在名稱後加上 /_trust/ (例如:https://servername/_trust/)。按 [下一步]。

  11. 輸入識別碼,然後按一下 [新增]。按 [下一步]。

  12. 在 [摘要] 頁面上,按 [下一步],然後按一下 [關閉]。規則編輯器管理主控台會隨即開啟。請使用此主控台設定 LDAP Web 應用程式對 SharePoint 的宣告對應。

  13. 在左窗格中,展開 [新增規則],然後選取 [預先定義的規則]。

  14. 選取 [從 LDAP 屬性存放區建立宣告]。

  15. 在右窗格中,從 [屬性存放區] 下拉式清單中選取 [企業 Active Directory 使用者帳戶存放區]。

  16. 從 [LDAP 屬性] 下選取 [sAMAccountName]。

  17. 從 [連出的宣告類型] 下選取 [電子郵件地址]。

  18. 在左窗格中,按一下 [儲存]。