Configurer le service de jeton de sécurité (SharePoint Foundation 2010)
S’applique à : SharePoint Foundation 2010
Dernière rubrique modifiée : 2016-11-30
Cet article fournit des instructions pour vous aider à configurer le service de jeton de sécurité (STS) de Microsoft SharePoint Foundation 2010. Ce service Web spécialisé est conçu pour répondre aux demandes de jeton de sécurité et fournir une gestion des identités. La fonctionnalité principale de chaque service STS est la même, mais la nature des tâches effectuées par chacun dépend du rôle que le service STS joue en relation avec les autres services Web STS de votre conception.
Dans cet article :
Comment fonctionnent les applications Web qui utilisent un service STS
Configurer une application Web basée sur les revendications SharePoint à l’aide de Windows PowerShell
Modifier les liaisons
Configurer une application Web qui utilise un service STS
Comment fonctionnent les applications Web qui utilisent un service STS
Les applications Web qui utilisent un service d’émission de jeton de sécurité gèrent les demandes d’émission, de gestion et de validation de jetons de sécurité. Les jetons de sécurité sont composés d’une collection de revendications d’identité (par exemple, un nom d’utilisateur, un rôle ou un identificateur anonyme). Les jetons peuvent être émis dans différents formats, par exemple des jetons SAML (Security Assertion Markup Language). Les jetons de sécurité peuvent être protégés par un certificat X.509 afin de protéger leur contenu dans les transits et permettre la validation des émetteurs approuvés. Pour des informations supplémentaires sur le service d’émission de jeton de sécurité, voir Planifier des méthodes d’authentification (SharePoint Foundation 2010).
Un fournisseur d’identités avec service d’émission de jeton de sécurité (IP-STS) est un service Web qui gère les demandes de revendications d’identité approuvée. Il utilise une base de données nommée magasin d’identités pour stocker et gérer les identités et les attributs qui leur sont associés. Le magasin d’identités d’un fournisseur d’identités peut être une simple table de base de données SQL. Un service IP-STS peut également utiliser un magasin d’identités complexe, comme les services de domaine Active Directory (AD DS) ou les services d’annuaire Active Directory Lightweight Directory Service (AD LDS).
Un service IP-STS est disponible pour les clients qui souhaitent créer et gérer des identités, et pour les applications de partie de confiance qui doivent valider les identités que les clients leur présentent. Chaque service IP-STS a une relation d’approbation fédérée avec les applications Web STS de partie de confiance de partenaire de fédération (RP-STS) pour lesquelles il émet des jetons. Les clients peuvent créer ou fournir des cartes d’informations gérées (à l’aide d’un sélecteur de carte tel qu’un CardSpace) qui représentent les identités enregistrées avec le service IP-STS. Les clients interagissent avec le service IP-STS lorsqu’ils demandent des jetons de sécurité qui représentent une identité contenue dans le magasin d’identités du service IP-STS. Après authentification, le service IP-STS émet un jeton de sécurité approuvé que le client peut présenter à une application de partie de confiance. Les applications de partie de confiance peuvent établir des relations d’approbation avec un service IP-STS. Cela leur permet de valider les jetons de sécurité émis par un service IP-STS. Une fois la relation d’approbation établie, les applications de partie de confiance peuvent examiner les jetons de sécurité présentés par des clients et déterminer la validité des revendications d’identité qu’ils contiennent.
Un service RP-STS est service STS de partie de confiance qui reçoit des jetons de sécurité provenant d’un partenaire de fédération approuvé IP-STS. À son tour, le service RP-STS émet de nouveaux jetons de sécurité qui sont utilisés par une application de partie de confiance locale. L’utilisation d’applications Web RP-STS en fédération avec des applications Web IP-STS permet aux organisations d’offrir l’authentification Web unique (SSO) aux utilisateurs d’organisations partenaires. Chaque organisation continue à gérer ses propres magasins d’identités.
Configurer une application Web basée sur les revendications SharePoint à l’aide de Windows PowerShell
Pour configurer une application Web basée sur les revendications SharePoint à l’aide de Windows PowerShell, procédez comme suit.
Pour configurer une application Web basée sur les revendications SharePoint à l’aide de Windows PowerShell
Vérifiez que vous disposez de la configuration minimale requise suivante : Voir Add-SPShellAdmin.
Dans le menu Démarrer, cliquez sur Tous les programmes.
Cliquez sur Produits Microsoft SharePoint 2010.
Cliquez sur SharePoint 2010 Management Shell.
Depuis l’invite de commandes Windows PowerShell (PS C:\>), créez un objet x509Certificate2, comme dans l’exemple suivant :
$cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("path to cert file")
Créez un mappage de type revendication à utiliser dans votre fournisseur d’authentification approuvé, comme dans l’exemple suivant :
New-SPClaimTypeMapping "https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming
Créez un fournisseur de connexion approuvé en créant d’abord une valeur pour le paramètre de domaine, comme dans l’exemple suivant :
$realm = "urn:" + $env:ComputerName + ":domain-int"
Créez une valeur pour le paramètre
signinurl
qui pointe vers l’application Web de service d’émission de jeton de sécurité, comme dans l’exemple suivant :$signinurl = "https://test-2/FederationPassive/"
Créez le fournisseur de connexion approuvé, en utilisant la même valeur
IdentifierClaim
dans un mappage de revendication ($map1.InputClaimType
), comme dans l’exemple suivant :$ap = New-SPTrustedIdentityTokenIssuer -Name "WIF" -Description "Windows® Identity Foundation" -Realm $realm -ImportTrustCertificate $cert -ClaimsMappings $map1[,$map2..] -SignInUrl $signinurl -IdentifierClaim $map1.InputClaimType
Créez une application Web en créant d’abord une valeur pour le compte du pool d’applications (pour l’utilisateur actuel), comme dans l’exemple suivant :
$account = "DOMAIN\" + $env:UserName
Notes
Le compte du pool d’applications doit être un compte géré. Pour créer un compte géré, utilisez
New-SPManagedAccount
.Créez une valeur pour l’URL de l’application Web (
$webappurl = "https://" + $env:ComputerName
), comme dans l’exemple suivant :$wa = New-SPWebApplication -name "Claims WIF" -SecureSocketsLayer -ApplicationPool "SharePoint SSL" -ApplicationPoolAccount $account -Url $webappurl -Port 443 -AuthenticationProvider $ap
Créez un site en créant d’abord un objet revendication, comme dans l’exemple suivant :
$claim = New-SPClaimsPrincipal -TrustedIdentityTokenIssuerr $ap -Identity $env:UserName
Créez un site, comme dans l’exemple suivant :
$site = New-SPSite $webappurl -OwnerAlias $claim.ToEncodedString() -template "STS#0"
Modifier les liaisons
Après avoir configuré une application Web SharePoint basée sur les revendications, modifiez les liaisons.
Pour modifier les liaisons
Lancez le gestionnaire IIS en tapant INETMGR dans une invite de commandes.
Accédez au site Application Web basée sur les revendications dans IIS.
Dans le volet gauche, cliquez avec le bouton droit sur Application Web basée sur les revendications, puis sélectionnez Modifier les liaisons.
Sélectionnez https et cliquez sur Modifier.
Sous Certificat SSL, sélectionnez un certificat dans la liste.
Configurer une application Web qui utilise un service STS
Après avoir configuré une application Web basée sur des revendications SharePoint Foundation 2010, modifié les liaisons et configuré le fichier Web.Config, vous pouvez utiliser la procédure de cette section pour configurer une application Web de service d’émission de jeton de sécurité.
Pour configurer une application Web qui utilise un service STS
Ouvrez la la console de gestion Active Directory Federation Services (AD FS) s2.0.
Dans le volet gauche, développez Stratégie et sélectionnez Parties de confiance.
Dans le volet droit, cliquez sur Ajouter une partie de confiance. Cela ouvre l’Assistant de configuration d’Active Directory Federation Services (AD FS) 2.0.
Sur la première page de l’assistant, cliquez sur Démarrer.
Sélectionnez Entrer la configuration de la partie de confiance manuellement, puis cliquez sur Suivant.
Tapez un nom de partie de confiance, puis cliquez sur Suivant.
Assurez-vous que Active Directory Federation Services (AD FS) 2.0 Server Profile est sélectionné, puis cliquez sur Suivant.
Si vous ne comptez pas utiliser un certificat de chiffrement, cliquez sur Suivant.
Sélectionnez Activer la prise en charge de la fédération d’identité basée sur navigateur Web.
Tapez l’URL de l’application Web et ajoutez-y /_trust/ (par exemple : https://servername/_trust/). Cliquez sur Suivant.
Tapez un identificateur et cliquez sur Ajouter. Cliquez sur Suivant.
Sur la page de synthèse, cliquez sur Suivant, puis cliquez sur Fermer. Cela ouvre la console de gestion d’édition des règles. Utilisez cette console pour configurer le mappage des revendications d’une application Web LDAP vers SharePoint.
Dans le volet gauche, développez Nouvelle règle et sélectionnez Règle prédéfinie.
Sélectionnez Créer les revendications à partir du magasin d’attributs LDAP.
Dans le volet droit, dans la liste déroulante Magasin d’attributs, sélectionnez Magasin de comptes utilisateur Enterprise Active Directory.
Sous Attribut LDAP, sélectionnez sAMAccountName.
Sous Type de revendication sortante, sélectionnez Adresse de messagerie.
Dans le volet de gauche, cliquez sur Enregistrer.