AD FS

Présentation de la fédération d'identité avec SharePoint 

Avant de partir sur l'installation et la configuration des services de fédération sous ADFS, je vous conseille de consulter cet article qui vous donnera tout le bagage nécessaire pour la bonne prise en main des concepts de bases.

http://www.it-channels.com/microsoft/ad-fs/202-la-federation-d-identite-quels-avantages-pour-mon-sharepoint

 

 

Avant de commencer 

Installation de SharePoint Server : http://www.it-channels.com/microsoft/sharepoint/110-sharepoint-2013-installation-et-configuration

Installation de ADFS Server : http://www.it-channels.com/microsoft/ad-fs/191-installer-le-serveur-adfs-3-0

Installation de ADFS Proxy : http://www.it-channels.com/microsoft/ad-fs/192-installer-le-proxy-adfs-3-0

 

Configurer l’authentification basée sur les revendications SAML avec les services ADFS dans SharePoint 2013

 La première étape consiste à rajouter l'application à vous souhaitez faire confiance dans la partie Relying Party Trusts. Next

Sélectionnez Enter data about the relying party manually 

Donnez lui le nom souhaité. Dans mon cas ce sera SharePoint 2013 ADFS Identity

Sélectionnez AD FS profile

Next

Renseignez ici après avoir coché la case, l'url de l'application web SharePoint sur lequel vous allez configurer l'authentification basée sur les jetons SAML

Rajoutez l'urn qui correspond à l'identifieur d'approbation de la partie de confiance (mon SharePoint dans cet exemple)

Next

Next

Next

Close. L'étape qui suit consiste à configurer les revendications qui vont être poussées dans mon jeton SAML lors de l'échange avec mon SharePoint

Add Rule

...

...

...

...

...

...

...

La configuration des claims est maintenant terminées. Dans cet exemple, j'ai configuré :

  • l'UPN
  • Primary SID
  • Name
  • E-mail Address

La première partie de la configuration est finie. La seconde partie va se dérouler sur le serveur SharePoint. Avant cela, il est nécessaire d'exporter le certificat (Token Signing)

Copy to file...

Next

Sélectionnez DER encoded binary (.CER)

OK

Importez le certificat sur SharePoint via powershell :

$cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("C:\Users\adm_mim\Desktop\Certificat ADFS\_Production\ADFS_Token-signing certificate.cer")
New-SPTrustedRootAuthority -Name “Token Signing Cert” -Certificate $cert

Configurez le Trusted Identity Provider pour la web Application (en powershell) :

$emailClaimMap = New-SPClaimTypeMapping -IncomingClaimType “http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress” -IncomingClaimTypeDisplayName “EmailAddress” -SameAsIncoming
$upnClaimMap = New-SPClaimTypeMapping -IncomingClaimType “http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn” -IncomingClaimTypeDisplayName “UPN” -SameAsIncoming
$roleClaimMap = New-SPClaimTypeMapping -IncomingClaimType “http://schemas.microsoft.com/ws/2008/06/identity/claims/role” -IncomingClaimTypeDisplayName “Role” -SameAsIncoming
$sidClaimMap = New-SPClaimTypeMapping -IncomingClaimType “http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid” -IncomingClaimTypeDisplayName “SID” -SameAsIncoming
$realm = "urn:sharepoint:portal"
#Nom du service ADFS et non pas le nom du serveur sur lequel est installé ADFS
$signInURL = "https://adfs.it-channels.com/adfs/ls/"
$ap = New-SPTrustedIdentityTokenIssuer -Name “SAML Provider for SharePoint” -Description “SAML secured SharePoint” -realm $realm -ImportTrustCertificate $cert -ClaimsMappings $emailClaimMap,$upnClaimMap,$roleClaimMap,$sidClaimMap -SignInUrl $signInURL -IdentifierClaim $emailClaimmap.InputClaimType

 

La dernière étape consiste à autoriser l'authentification par jeton SAML en modifiant le paramètre dans la partie Authentification Providers sur la WebApp définie

Vous pouvez maintenant utiliser l'authentification basée sur les revendications sur votre SharePoint

Enjoy :-) 

Joris

Leave your comments

Post comment as a guest

0
Your comments are subject to administrator's moderation.
  • No comments found

Translation

S5 Box

Connexion classique

Inscription par formulaire