0

サード パーティのアカウント プロバイダーへの認証を使用して SharePoint の POC を構成していますが、いくつかの問題が発生しており、Microsoft が提供するドキュメント ( http://technet.microsoft.com/en-us/library/cc731443(v=ws.10 )) に従っています。 .aspx . 私が見たドキュメントのほとんどは、ADFS 2.0 RTW に関するものです。

問題は、SharePoint サイトにアクセスしようとすると、アカウント プロバイダーの ADFS サイトにリダイレクトされ、NTLM プロンプト ポップアップが表示されることです。資格情報を入力すると、次のエラーが表示されます

URL "https://spadfsweb.spdev.com/_layouts/Authenticate.aspx?Source=/" を持つアプリケーションのトークン要求は、URL が既知の信頼できるアプリケーションを識別しないため、実行できません。

これが私のセットアップです

ADFS アカウント プロバイダー (ADFS ロールと DC は別のマシンにあります)

  • Windows 2008 R2
  • ADFS ロールが追加されました
  • ADFS の次のパラメーターがあります。
    • トークン署名証明書 " sts.adfsaccount.spaccount.com "
    • フェデレーション サービス URI
      • urn:federation:accountprovider
    • フェデレーション サービス エンドポイントの URL
      • https://sts.adfsaccount.spaccount.com/adfs/ls/
  • トークン署名証明書をエクスポートし、それをリソース パートナー ADFS にインポートしました

ADFS リソース パートナー (ADFS の役割と DC は別のマシンにあります)

  • Windows 2008 R2
  • ADFS ロールが追加されました
  • ADFS の次のパラメーターがあります。
    • トークン署名証明書 " sts.staging.spresource.com "
    • フェデレーション サービス URI
      • urn:federation:resourceprovider
    • フェデレーション サービス エンドポイントの URL
      • https://sts.staging.spresource.com/adfs/ls/
  • sharepoint である次の信頼できるアプリケーションがあります
  • トークン署名証明書をエクスポートし、それをアカウント パートナーの ADFS にインポートしました

以下は、SharePoint サイトを構成した手順です。

$cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("C:\Data\Certs\stsadfsaccount_exporttokensign.cer")
New-SPTrustedRootAuthority -Name "Account Token Signing Cert" -Certificate $cert
$map = New-SPClaimTypeMapping -IncomingClaimType "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming
$map2 = New-SPClaimTypeMapping -IncomingClaimType "http://schemas.microsoft.com/ws/2008/06/identity/claims/role" -IncomingClaimTypeDisplayName "Role" –SameAsIncoming
$ap = New-SPTrustedIdentityTokenIssuer -Name "Staging Provider"-Description "User account domain from adfs to provide authenitcation" -Realm "urn:federation:resourceprovider" -ImportTrustCertificate $cert -ClaimsMappings $map,$map2 -SignInUrl "https://sts.adfsaccount.spaccount.com/adfs/ls/" -IdentifierClaim http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

---SharePoint には、リソース プロバイダーの uri、アカウント パートナーの署名証明書、およびアカウント パートナーの adfs url があります。

何か間違ったことをしている場合はお知らせください。

ありがとうディーパック

4

1 に答える 1

3

ADFS 1.0 を使用しているようです。実際、あなたが言うようにhttp://technet.microsoft.com/en-us/library/cc731443%28v=ws.10%29.aspxに従っている場合は、後継ではなく ADFS 1.0 を構成しています。 ADFS 2.0。私の意見では、新しい展開では AD FS 2.0 を使用する必要があります。

エラー メッセージは、ADFS 1.0 トラブルシューティング ページに記載されています。引用:

状態: サーバーエラー

エラー: URL が既知の信頼できるアプリケーションを識別しないため、URL https://... のアプリケーションのトークン要求を実行できません

解決策:このエラーは、アプリケーション URL が既知のアプリケーションを識別しない場合に、リソース フェデレーション サービスによって返されます。アプリケーションがフェデレーション サービスの信頼ポリシーに追加されていることを確認します。これを行う方法の詳細については、「アプリケーションの追加ウィザードを完了する 」を参照してください。

クレーム対応アプリケーションの場合、リターン URL がアプリケーションの web.config ファイルに正しく入力されていること、およびそれがフェデレーション サービスの信頼ポリシーで指定されているアプリケーション URL と一致していることを確認します。

Windows NT トークン ベースのアプリケーションの場合、 IIS の [ ADFS Web エージェント] タブでリターン URL が正しく入力されていること、およびそれがフェデレーション サービスの信頼ポリシーのアプリケーション URL と一致していることを確認します。

また、ご存じない方のために説明すると、Microsoft は ADFS 1.0 用に ADFS 診断ツールを作成しました。このブログ投稿を参照してダウンロードしてください。このツールは、この特定の問題を追跡するのに役立つ場合があります。

お役に立てれば...

于 2012-04-09T19:18:40.333 に答える