2

使用 ADFS 登录到 SharePoint 2013 的 BCS 安全性修整不适用于自定义连接器。不工作是指当通过 Windows 身份验证登录时,有权访问这些 BCS 记录的用户可以在搜索中看到它们(这是正确的)。使用 ADFS 登录的同一用户无法在搜索中看到这些相同的记录(这是不正确的)。

我的设置是带有 ADFS 的 Windows 2012 R2 上的 SharePoint 2013。正在通过带有自定义 .NET 连接器的 BCS 对 SQL Server 数据库进行爬网。该连接器通过添加 ACL 在爬网时提供安全修整。ACL 是基于具有多个 AD 用户作为成员的 AD 安全组创建的(登录用户是这些成员之一)。AD 安全组包含在声明中,并显示如下:

<saml:Attribute AttributeName="Group"AttributeNamespace="http://schemas.xmlsoap.org/claims">
    <saml:AttributeValue>BCSSecurityGroup1</saml:AttributeValue>
</saml:Attribute>

BCSSecurityGroup1 是包含用户的 AD 安全组。

奇怪的是,即使我让每个人都可以访问 ACL 中的这些记录(即使用 WellKnownSidType.WorldSid),ADFS 登录仍然不会在搜索中返回这些项目。更奇怪的是,如果我转到相关记录的 BCS 个人资料页面的 url,ADFS 用户确实可以访问。

这是问题。我需要做什么才能让搜索结果在爬网时反映 ACL 增加的安全性?

4

1 回答 1

1

事实证明,这实际上很容易上手。首先,将 AD 安全组更改为单个 AD 用户以进行故障排除(域\用户名)。查看连接器中的 ACL 是如何构建的,域帐户用于获取 SID,然后使用 SID 构建 ACL。啊哈!所以缺少的链接是 AD FS 声明没有映射 SID。这是通过使用 Fiddler 插件在检查器选项卡下显示声明来确定的 - http://identitymodel.codeplex.com/releases/view/52187

在 AD FS 中添加 SID 声明是作为声明规则完成的。从“传递或过滤传入声明”模板添加声明规则。为其命名,为传入声明类型选择“主要 SID”,并确保选择“通过所有声明值”。重新启动 AD FS 服务让您高枕无忧。此外,这假定 SharePoint 中的受信任身份令牌颁发者是使用 SID 声明映射创建的。

就我而言,由于从 AD 安全组改回用户名,我不得不在 BCS 内容源上运行另一次爬网。虽然我还没有对此进行测试,但 AD 安全组应该以相同的方式工作,但通过组 SID 传递。希望这对将来的某人有所帮助。干杯!

于 2014-07-15T14:16:20.493 回答