Sharepoint 2013 – How to Install and Configure ADFS 3.0

Für die Konfiguration des ADFS mit dem Sharepoint müssen wir erst ein paar Vorarbeiten leisten um dies zu bewerkstelligen.

Als erstes müssen wir aus unserem ADFS Server das „Token Signing Certificate“ Exportieren. Dazu öffnet Ihr die AD FS Verwaltung auf eurem Server und geht auf den Ordner Zertifikate:

token

 

 

 

 

 

 

 

 

 

 

Mit Rechtsklick Anzeigen, könnt Ihr nun das Zertifikat unter Details

–> In Datei kopieren –> exportieren folgt dem Dialog und speichert es an eine Stelle von dem Ihr aus von eurem Sharepoint Server Zugriff habt.

Als nächstes müssen wir dem AD FS eine neue Vertrauensstellung hinzufügen und zwar ist das eure Domain des Sharepoints in unserem Beispiel ist es diese „https://spss.microsoft.com/“ ihr könnt in diesem Fall die Oberfläche der AD FS Verwaltung nutzen.

Klick auf Sie auf neue Vertrauensstellung hinzufügen:

vertraunsstellung2

 

 

 

reyling1
relying2
relying3
relying4

relying5

Achten Sie darauf das Ihre SPSS Url mit /_trust/ endet!!!

relying5

Fügen Sie einen zusätzlichen realm hinzu und merken Sie sich diesen, dieser wird für das Powershell Script auf der Sharepoint Server gebraucht.

relying7
relying8
relying9
relying10
relying11
relying11
relying11
relying11
relying11

 

 

Für die letzte Konfiguration des ADFS gehen wir in die PowerShell und fügen folgendes Cmdlet aus:

Dieses Bewirkt das beim besuch das Sharepoints automatisch der richtige Realm gesetzt wird, so das der Nutzer nicht extra einen Realm auswählen muss.

Set-AdfsRelyingPartyTrust -TargetName MySPSS-ClaimsProviderName @("Active Directory")

 

Jetzt gehen wir auf unseren Sharepoint Server 2013 und führen folgende Powershell Konsole aus: sharepoint2013

Danach öffnen wir uns ein Editor oder eine normale Powershell und kopieren uns folgendes Script hinein, und passen folgende Variablen an:

#First step is import the token-signing certificate on the SharePoint server. For do this we need to use the “SharePoint management shell”. 
#First copy the exported certificate on the SharePoint server. 
#In my case I have saved the certificate in C:\ so my <PathToTokenSignCert> is C:\TokenSignCert.cer.
$cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("C:\TokenSigning.cer")
New-SPTrustedRootAuthority -Name "Token Signing Cert" -Certificate $cert

Kopiert dies nun in die Zwischenablage und fügt die in die „SharePoint 2013-Verwaltungshell“ ein und führt das Script aus.
Somit haben wir jetzt dem Sharepoint ein TokenSigning Zertifkat unseres ADFS hinterlegt und können nunmit dem nachfolgenden Befehl unser ClaimMapping inkl. unseren neuen Realms eine Verbindung zum AD FS aufbauen.

$emailClaimMap = New-SPClaimTypeMapping -IncomingClaimType "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming
$upnClaimMap = New-SPClaimTypeMapping -IncomingClaimType "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn" -IncomingClaimTypeDisplayName "UPN" -SameAsIncoming
$roleClaimMap = New-SPClaimTypeMapping -IncomingClaimType "http://schemas.microsoft.com/ws/2008/06/identity/claims/role" -IncomingClaimTypeDisplayName "Role" -SameAsIncoming 
$sidClaimMap = New-SPClaimTypeMapping -IncomingClaimType "http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid" -IncomingClaimTypeDisplayName "SID" -SameAsIncoming 
$realm = "urn:sharepoint:spss" 
$signInURL = "https://adfs.microsoft.com/adfs/ls" 
$ap = New-SPTrustedIdentityTokenIssuer -Name "ADFS Microsoft" -Description "ADFS Microsoft" -realm $realm -ImportTrustCertificate $cert -ClaimsMappings $emailClaimMap,$upnClaimMap,$roleClaimMap,$sidClaimMap -SignInUrl $signInURL -IdentifierClaim $emailClaimmap.InputClaimType

Nun haben wir dem Sharepoint klar gemacht das wir einen neuen Anspruchsanbieter besitzen nun gehen wir in die Administration des Sharepoints und gehen auf die Webanwendung die die ADFS Authentfizierung bekommen soll. Standardmäßig ist die Windows Authentifizierung eingestellt diese müssen wir nun im zuge der Umstellung abschalten und dafür die AD FS Authentifizierung anschalten. Das machen wir wie folgt:

anspruchsanbieter

Wählen Sie zuerst Ihre Webanwendung aus und dann klicken Sie auf „Authentifizierungsanbieter“ in der oberen Titelleiste der Sharepoint Administration

adfs_forderung

Wählen Sie hier bitte die Windows Authentifizierung und aktivieren Sie die Vertrauenswürdiger Identitätsanbieter Ihren ADFS den Sie soeben per Powershell hinzugefügt haben

 

Nun klicken Sie noch auf Fertigstellen und warten ab bis der Sharepoint die Konfiguration gespeichert hat. Nun könnten wir uns schon einloggen, nur wird dies uns nichts bringen da wir unseren Benutzerkonten noch keine Berechtigungen erteilt haben.

Um Berechtigungen für die Webseite zu erlauben selektiert eure Webseite und klickt auf „Benutzerrichtlinie“

benutzerrichtline

benutzerhinzufuegen

Klicken Sie auf Benutzer hinzufügen

 

useradd

Um einen Benutzer im ADFS zu suchen klicken auf der kleine Icon was im Bild mit dem Pfeil gekennzeichnet ist an

useradd_groups

Bitte beachten der Dialog sucht nur korrekt wenn sie einen Begriff eingetippt haben ins Suchfeld ansonsten bekommen Sie kein Ergebnis. haben Sie Ihren Nutzer gefunden. Wählen Sie mit dem Button Hinzufügen den Nutzer aus und klicken Sie auf „OK“ danach steht der User in dem Textfeld der auszuwählenden Nutzer.

useradd2

Jetzt kann die Berechtigung ausgewählt werden. In meinem Beispiel Vollzugriff. Und schließen den Dialog

So nun ist die Konfiguration abgeschlossen und der Sharepoint ist mit dem ADFS Verknüpft und kann für die Webseite verwendet werden.

sharepoint_login