我正在为 SharePoint 配置 POC,并通过第三方帐户提供程序进行身份验证,并遇到了几个问题,并遵循 microsoft 在http://technet.microsoft.com/en-us/library/cc731443(v=ws.10 ) 提供的文档).aspx。我看到的大多数文档都是针对 ADFS 2.0 RTW
问题是当我尝试访问 SharePoint 网站时,我被重定向到帐户提供商 ADFS 网站,并弹出 NTLM 提示。一旦我输入我的凭据,我会收到以下错误
由于 URL 未识别任何已知的信任应用程序,因此无法满足 URL 为“https://spadfsweb.spdev.com/_layouts/Authenticate.aspx?Source=/”的应用程序的令牌请求。
这是我的设置
ADFS 帐户提供程序(ADFS 角色和 DC 位于不同的计算机中)
- 视窗 2008 R2
- 添加了 ADFS 角色
- ADFS 具有以下参数
- 令牌签名证书“ sts.adfsaccount.spaccount.com ”
- 联合服务 URI
- urn:federation:accountprovider
- 联合服务端点 URL
- https://sts.adfsaccount.spaccount.com/adfs/ls/
- 导出令牌签名证书并将其导入资源合作伙伴 ADFS
ADFS 资源合作伙伴(ADFS 角色和 DC 位于不同的计算机中)
- 视窗 2008 R2
- 添加了 ADFS 角色
- ADFS 具有以下参数
- 令牌签名证书“ sts.staging.spresource.com ”
- 联合服务 URI
- 瓮:联合:资源提供者
- 联合服务端点 URL
- https://sts.staging.spresource.com/adfs/ls/
- 具有以下受信任的应用程序,即共享点
- https://spadfsweb.spdev.com/_trust/,我有各种各样的组合,如下所示
- 导出令牌签名证书并将其导入帐户合作伙伴 ADFS
以下是我如何配置 SharePoint 网站的步骤
$cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("C:\Data\Certs\stsadfsaccount_exporttokensign.cer")
New-SPTrustedRootAuthority -Name "Account Token Signing Cert" -Certificate $cert
$map = New-SPClaimTypeMapping -IncomingClaimType "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming
$map2 = New-SPClaimTypeMapping -IncomingClaimType "http://schemas.microsoft.com/ws/2008/06/identity/claims/role" -IncomingClaimTypeDisplayName "Role" –SameAsIncoming
$ap = New-SPTrustedIdentityTokenIssuer -Name "Staging Provider"-Description "User account domain from adfs to provide authenitcation" -Realm "urn:federation:resourceprovider" -ImportTrustCertificate $cert -ClaimsMappings $map,$map2 -SignInUrl "https://sts.adfsaccount.spaccount.com/adfs/ls/" -IdentifierClaim http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
---SharePoint有资源提供者的uri、账户伙伴的签名证书和账户伙伴的adfs url
如果我做错了什么,请告诉我。
谢谢迪帕克