ADFS配置文档-sharepoint.docx

ADFS配置文档 硬件要求： 1台AD机器 1台ADFS机器 1台WebServer机器 基本条件 1 所有机器加入域 2 需要证书：AD建立证书，导出证书 3 所有Web服务器都需要在IIs导入（pfx证书） 安装步骤 安装证书 进入AD服务器添加角色与功能 选择AD证书服务 配置证书 2.2 生成证书 3.1 进入AD 服务器，然后进入IIS，选择服务器证书（下图Ad和Share Point 安装一起） 3.2 执行命令 certreq -submit -attrib CertificateTemplate:WebServer C:\reg.txt 自动弹出 点击完成证书申请 导出证书 导出 ADFS认证服务器安装 安装ADFS组件 2.1 导入证书 配置ADFS 填写当前域中机器名 填写域用户名与密码 验证ADFS https://机器名全称()/federationmetadata/2007-06/federationmetadata.xml SharePoint ADFS 操作步骤 首先在SharePoint 服务器 IIS 导入证书（ad 证书服务器IIs导出的*.pfx） 配置SharePoint 域名 首先进入dns服务器申请域名 IIS绑定域名（https） 进去SharePoint 管理中心配置备用访问映射 SharePoint ADFS配置 进入ADFS服务器，打开ADFS功能程序，展开点击信赖方信任-添加信赖方信任如下图： 点击启动进入欢迎界面，选择“手动输入…”点击下一步 指定信赖方名称和注释如下图 选择“AD FS配置文件” 信赖方地址是配置的SharePoint https网址 （需要在dns服务器申请域名绑定 在IIS 和sharepoint 备用访问映射做映射） ADFS导出2个证书 需要导出“服务通信”和“令牌签名”2个证书 导出完成之后开始在SharePoint服务器站点开始配置，需要提前把这2个证书复制到SharePoint服务器导入证书 在SharePoint 控制台执行 编辑如下脚本： $root = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2(c:\ServiceCom.cer) New-SPTrustedRootAuthority -Name Service comm -Certificate $root $cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2(c:\ADFSSigning.cer) New-SPTrustedRootAuthority -Name Token Signing Cert -Certificate $cert $emailClaimMap = New-SPClaimTypeMapping -IncomingClaimType /ws/2005/05/identity/claims/emailaddress -IncomingClaimTypeDisplayName 电子邮件地址 -SameAsIncoming $upnClaimMap = New-SPClaimTypeMapping -IncomingClaimType /ws/2005/05/identity/claims/upn -IncomingClaimTypeDisplayName UPN -SameAsIncoming $roleClaimMap = New-SPClaimTypeMapping -IncomingClaimType /ws/2008/06/identity/claims/role -IncomingClaimTypeDisplayName 角色 -SameAsIncoming $sidClaimMap = New-SPClaimTypeMapping -IncomingClaimType /ws/2008/06/identity/claims/primarysid -IncomingClaimTypeDisplayName SID -SameAsIncoming $realm = urn:seo:sharepoint $signInURL = /adfs/ls $ap = New-SPTrustedIdentityTokenIssuer -Name ABCDProvider -Description ABC -realm $realm -ImportTrustCertificate $cert -ClaimsMappings $emailCl