Letzte Aktualisierungen Kommentarverlauf ein-/ausschalten | Tastaturkürzel

  • Christian

    Christian 14:23 am 19. October 2016 permalink | Antwort  

    How to set AD FS Relying Party Application Permisson 

    Ab der Windows Server 2016 wird die Version AD FS 3.0 ausgeliefert und somit auch die Funktion „Grant-AdfsApplicationPermission“ diese muss nun zusätzlich ausgeführt werden, wenn Ihr eine Native Applikation in Verbindung mit einem ADFS verbindet. In der Technical Preview war dies noch nicht notwendig da dies beim hinzufügen der RelyingParty automatisch gemacht wurde.

    Beachtet bitte also bei der neuen Version das Ihr nach dem hinzufügen einer ReylingParty immer noch den „Grant-AdfsApplicationPermission“ Cmdlet setzt.

    Grant-AdfsApplicationPermission -ServerRoleIdentifier "https://myreylingparty.com" -AllowAllRegisteredClients
     
  • Christian

    Christian 13:59 am 19. October 2016 permalink | Antwort  

    Sharepoint 2013 – How to Install and Configure ADFS 3.0 

    Für die Konfiguration des ADFS mit dem Sharepoint müssen wir erst ein paar Vorarbeiten leisten um dies zu bewerkstelligen.

    Als erstes müssen wir aus unserem ADFS Server das „Token Signing Certificate“ Exportieren. Dazu öffnet Ihr die AD FS Verwaltung auf eurem Server und geht auf den Ordner Zertifikate:

    token

     

     

     

     

     

     

     

     

     

     

    Mit Rechtsklick Anzeigen, könnt Ihr nun das Zertifikat unter Details

    –> In Datei kopieren –> exportieren folgt dem Dialog und speichert es an eine Stelle von dem Ihr aus von eurem Sharepoint Server Zugriff habt.

    Als nächstes müssen wir dem AD FS eine neue Vertrauensstellung hinzufügen und zwar ist das eure Domain des Sharepoints in unserem Beispiel ist es diese „https://spss.microsoft.com/“ ihr könnt in diesem Fall die Oberfläche der AD FS Verwaltung nutzen.

    Klick auf Sie auf neue Vertrauensstellung hinzufügen:

    vertraunsstellung2

     

     

     

    reyling1
    relying2
    relying3
    relying4

    relying5

    Achten Sie darauf das Ihre SPSS Url mit /_trust/ endet!!!

    relying5

    Fügen Sie einen zusätzlichen realm hinzu und merken Sie sich diesen, dieser wird für das Powershell Script auf der Sharepoint Server gebraucht.

    relying7
    relying8
    relying9
    relying10
    relying11
    relying11
    relying11
    relying11
    relying11

     

     

    Für die letzte Konfiguration des ADFS gehen wir in die PowerShell und fügen folgendes Cmdlet aus:

    Dieses Bewirkt das beim besuch das Sharepoints automatisch der richtige Realm gesetzt wird, so das der Nutzer nicht extra einen Realm auswählen muss.

    Set-AdfsRelyingPartyTrust -TargetName MySPSS-ClaimsProviderName @("Active Directory")

     

    Jetzt gehen wir auf unseren Sharepoint Server 2013 und führen folgende Powershell Konsole aus: sharepoint2013

    Danach öffnen wir uns ein Editor oder eine normale Powershell und kopieren uns folgendes Script hinein, und passen folgende Variablen an:

    #First step is import the token-signing certificate on the SharePoint server. For do this we need to use the “SharePoint management shell”. 
    #First copy the exported certificate on the SharePoint server. 
    #In my case I have saved the certificate in C:\ so my <PathToTokenSignCert> is C:\TokenSignCert.cer.
    $cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("C:\TokenSigning.cer")
    New-SPTrustedRootAuthority -Name "Token Signing Cert" -Certificate $cert

    Kopiert dies nun in die Zwischenablage und fügt die in die „SharePoint 2013-Verwaltungshell“ ein und führt das Script aus.
    Somit haben wir jetzt dem Sharepoint ein TokenSigning Zertifkat unseres ADFS hinterlegt und können nunmit dem nachfolgenden Befehl unser ClaimMapping inkl. unseren neuen Realms eine Verbindung zum AD FS aufbauen.

    $emailClaimMap = New-SPClaimTypeMapping -IncomingClaimType "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming
    $upnClaimMap = New-SPClaimTypeMapping -IncomingClaimType "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn" -IncomingClaimTypeDisplayName "UPN" -SameAsIncoming
    $roleClaimMap = New-SPClaimTypeMapping -IncomingClaimType "http://schemas.microsoft.com/ws/2008/06/identity/claims/role" -IncomingClaimTypeDisplayName "Role" -SameAsIncoming 
    $sidClaimMap = New-SPClaimTypeMapping -IncomingClaimType "http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid" -IncomingClaimTypeDisplayName "SID" -SameAsIncoming 
    $realm = "urn:sharepoint:spss" 
    $signInURL = "https://adfs.microsoft.com/adfs/ls" 
    $ap = New-SPTrustedIdentityTokenIssuer -Name "ADFS Microsoft" -Description "ADFS Microsoft" -realm $realm -ImportTrustCertificate $cert -ClaimsMappings $emailClaimMap,$upnClaimMap,$roleClaimMap,$sidClaimMap -SignInUrl $signInURL -IdentifierClaim $emailClaimmap.InputClaimType

    Nun haben wir dem Sharepoint klar gemacht das wir einen neuen Anspruchsanbieter besitzen nun gehen wir in die Administration des Sharepoints und gehen auf die Webanwendung die die ADFS Authentfizierung bekommen soll. Standardmäßig ist die Windows Authentifizierung eingestellt diese müssen wir nun im zuge der Umstellung abschalten und dafür die AD FS Authentifizierung anschalten. Das machen wir wie folgt:

    anspruchsanbieter

    Wählen Sie zuerst Ihre Webanwendung aus und dann klicken Sie auf „Authentifizierungsanbieter“ in der oberen Titelleiste der Sharepoint Administration

    adfs_forderung

    Wählen Sie hier bitte die Windows Authentifizierung und aktivieren Sie die Vertrauenswürdiger Identitätsanbieter Ihren ADFS den Sie soeben per Powershell hinzugefügt haben

     

    Nun klicken Sie noch auf Fertigstellen und warten ab bis der Sharepoint die Konfiguration gespeichert hat. Nun könnten wir uns schon einloggen, nur wird dies uns nichts bringen da wir unseren Benutzerkonten noch keine Berechtigungen erteilt haben.

    Um Berechtigungen für die Webseite zu erlauben selektiert eure Webseite und klickt auf „Benutzerrichtlinie“

    benutzerrichtline

    benutzerhinzufuegen

    Klicken Sie auf Benutzer hinzufügen

     

    useradd

    Um einen Benutzer im ADFS zu suchen klicken auf der kleine Icon was im Bild mit dem Pfeil gekennzeichnet ist an

    useradd_groups

    Bitte beachten der Dialog sucht nur korrekt wenn sie einen Begriff eingetippt haben ins Suchfeld ansonsten bekommen Sie kein Ergebnis. haben Sie Ihren Nutzer gefunden. Wählen Sie mit dem Button Hinzufügen den Nutzer aus und klicken Sie auf „OK“ danach steht der User in dem Textfeld der auszuwählenden Nutzer.

    useradd2

    Jetzt kann die Berechtigung ausgewählt werden. In meinem Beispiel Vollzugriff. Und schließen den Dialog

    So nun ist die Konfiguration abgeschlossen und der Sharepoint ist mit dem ADFS Verknüpft und kann für die Webseite verwendet werden.

    sharepoint_login

     
  • Christian

    Christian 10:21 am 13. January 2016 permalink | Antwort
    Tags: header, http 400, size   

    HTTP Error 400. The size of the request headers is too long. 

    Bekommt Ihr folgende Fehlermeldung, könnt Ihr diesen relativ einfach beheben!

    Hier die Fehlermeldung die Ihr bekommt sobald Ihr eine Anfrage an euer Dienst schickt.

    badrequest

     

     

     

     

     

    Erstellt eine neue Datei auf eurem Desktop oder wo auch immer. Mit dem Dateinamen „HTTP400BadRequestFix.reg“ und bearbeitet diese im Editor und geb folgendes ein:

    Windows Registry Editor Version 5.00
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters]
    "MaxFieldLength"=dword:0000fffe
    "MaxRequestBytes"=dword:0007a120

    Danach speichert Ihr die Datei und führt sie aus. Startet bitte dann euren Server bzw. eure Workstation je nach dem wo euer IIS läuft neu.

    Somit sollte nun euer Request funktionieren.

     
  • Christian

    Christian 09:20 am 5. January 2016 permalink | Antwort  

    Wie legt man einen URL Rewrite/Redirect im IIS fest? 

    Klären wir zu Anfangs erstmal was ist ein Kanonischer Hostname?

    Viele Websites sind mit und ohne http://www.-Präfix zu erreichen. Das ist gut. Schlecht ist es, wenn sich daraus doppelte URLs ergeben. Sie sollten sich für einen Hostnamen entscheiden. Ob das nun http://www.example.org oder example.org ist, ist weitgehend Ihrem persönlichen Geschmack überlassen. Ich selbst bevorzuge die Form ohne http://www., denn man spart sich etwas Tipparbeit, und solch ein Domainname läßt sich viel eleganter durch Subdomains erweitern.

    1. Öffnet das URL Rewrite Modul und legt eine neue Regel an „Kanonischer Domainname“

    kanonischername

    2. Nun, legt Ihr eure Bevorzugte Domain fest die Ihr nutzen möchtet ich nutze immer die Domain ohne www also z.B. example.org. Bitte achtet darauf das Ihr unter Bindungen alle Domains hinterlegt die jemals verwendet werden sollen bzw. verwendet wurden, somit kann dann immer auf die hier angeben Domain ersetzt werden.

    example

    3. Nun tragen wir noch die Ziel-Url ein

    umleiten

    4. So nun sagen wir „Übernehmen“, nun ist es geschafft alle Bindungen die Ihr hinterlegt habt z.B. eure Domain mit www oder mit einer Subdomain ersetzt. Somit gehen auch ältere Url’s die Ihr euren Kunden bereits mitgeteilt habt.

     
c
compose new post
j
next post/next comment
k
previous post/previous comment
r
reply
e
edit
o
show/hide comments
t
go to top
l
go to login
h
show/hide help
Shift + Esc
cancel