Konfigurieren der Web-SSO-Authentifizierung mithilfe von ADFS (Windows SharePoint Services)

Aktualisiert: 2008-04-10
Inhalt dieses Artikels:

Informationen zu Verbundauthentifizierungssystemen

In Windows SharePoint Services 3.0 werden Verbundauthentifizierungsszenarien unterstützt, wenn das Authentifizierungssystem sich nicht lokal auf dem Computer befindet, der Windows SharePoint Services 3.0 hostet. Verbundauthentifizierungssysteme sind auch als Web-SSO-Authentifizierungssysteme (Single Sign-On, einmaliges Anmelden) bekannt. Mit den Active Directory-Verbunddiensten (Active Directory Federation Services, ADFS) können Personen in einem Unternehmen mit ihren vorhandenen Active Directory-Konten auf Server zugreifen, die von einem anderen Unternehmen gehostet werden. ADFS stellt außerdem eine Vertrauensstellung zwischen den zwei Unternehmen her und ermöglicht das nahtlose Arbeiten der Endbenutzer mit nur einer Anmeldung. ADFS basiert auf 302 Umleitungen zu authentifizierten Endbenutzern. Benutzern wird nach der Authentifizierung ein Authentifizierungstoken (Cookie) ausgestellt.

Bevor Sie beginnen

Bevor Sie mit ADFS die Web-SSO-Authentifizierung für Ihre Extranetwebanwendung konfigurieren, sollten Sie sich mit den folgenden Ressourcen vertraut machen:

Eintrag im Microsoft SharePoint Products and Technologies Team Blog (Teamblog zu Microsoft SharePoint-Produkte und -Technologien) zum Konfigurieren von mehreren Authentifizierungsanbietern (http://blogs.msdn.com/sharepoint/archive/2006/08/16/configuring-multiple-authentication-providers-for-sharepoint-2007.aspx).
Schrittweise Anleitung für ADFS (http://go.microsoft.com/fwlink/?linkid=145396&clcid=0x407). Die in diesem Artikel verwendeten Servernamen und Beispiele basieren auf dieser Schritt-für-Schritt-Anleitung, in der das Einrichten von ADFS in einer kleinen Testlaborumgebung beschrieben wird. In dieser Umgebung wird der Struktur Trey Research ein neuer Server mit dem Namen Trey-SharePoint hinzugefügt. Befolgen Sie die Schritte in dieser Schritt-für-Schritt-Anleitung, um Ihre ADFS-Infrastruktur zu konfigurieren. Da in diesem Artikel jedoch das Konfigurieren von Windows SharePoint Services 3.0 in einem Ansprüche unterstützenden Anwendungsmodus beschrieben wird, müssen Sie nicht alle Schritte zum Erstellen der Windows NT-Tokenagentanwendungen implementieren, die in der Schritt-für-Schritt-Anleitung beschrieben sind.

Hinweis:
Wenn Sie Windows SharePoint Services 3.0 mithilfe der Personenauswahl Benutzer hinzufügen, werden die Benutzer in Windows SharePoint Services 3.0 anhand des Anbieters überprüft, in diesem Beispiel ADFS. Daher sollten Sie den Verbundserver vor dem Konfigurieren von Windows SharePoint Services 3.0 konfigurieren.

Wichtig:
Der Setupvorgang wurde in einer VBScript-Datei erfasst, mit der Sie für Windows SharePoint Services 3.0 die Verwendung von ADFS für die Authentifizierung konfigurieren können. Diese Skriptdatei ist in der Datei enthalten (SetupSharePointADFS.zip) und im Microsoft SharePoint-Produkte und -Technologien-Blog verfügbar, der im Abschnitt Attachments (Anlagen) aufgelistet ist. Weitere Informationen finden Sie auf der Blogseite Ein Skript zum Konfigurieren der Verwendung von ADFS für die Authentifizierung für SharePoint.

Wichtig:

Der Setupvorgang wurde in einer VBScript-Datei erfasst, mit der Sie für Windows SharePoint Services 3.0 die Verwendung von ADFS für die Authentifizierung konfigurieren können. Diese Skriptdatei ist in der Datei enthalten (SetupSharePointADFS.zip) und im Microsoft SharePoint-Produkte und -Technologien-Blog verfügbar, der im Abschnitt Attachments (Anlagen) aufgelistet ist. Weitere Informationen finden Sie auf der Blogseite Ein Skript zum Konfigurieren der Verwendung von ADFS für die Authentifizierung für SharePoint.

Konfigurieren von Extranetwebanwendungen zum Verwenden der Web-SSO-Authentifizierung

Installieren Sie den Web-Agent für Ansprüche unterstützende Anwendungen.
Laden Sie den Hotfix für ADFS herunter, der unter Der Rolle-Anbieter und der Mitgliedschaft-Anbieter können von Windows SharePoint Services 3.0 auf einem Windows Server 2003 R2-based Computer, auf dem ADFS und Microsoft Windows SharePoint Services 3.0 ausgeführt werden, nicht aufgerufen werden (http://go.microsoft.com/fwlink/?linkid=145397&clcid=0x407) beschrieben ist, und installieren Sie ihn. Dieser Hotfix ist in Windows Server 2003 Service Pack 2 (SP2) enthalten.
Installieren Sie Windows SharePoint Services 3.0, konfigurieren Sie alle Dienste und Server in der Serverfarm, und erstellen Sie anschließend eine neue Webanwendung. Standardmäßig wird diese Webanwendung so konfiguriert, dass sie die Windows-Authentifizierung verwendet. Außerdem stellt sie den Einstiegspunkt dar, über den Ihre Intranetbenutzer auf die Website zugreifen. In dem in diesem Artikel verwendeten Beispiel heißt diese Website http://trey-moss.
Erweitern Sie die in Schritt 2 erstellte Anwendung in eine weitere Zone. Klicken Sie dazu auf der Website für die SharePoint-Zentraladministration auf der Seite Anwendungsverwaltung auf Webanwendung erstellen oder erweitern und anschließend auf Vorhandene Webanwendung erweitern. Gehen Sie anschließend wie folgt vor:
1. Erstellen Sie einen Hostheader. Dies ist der DNS-Name, unter dem die Website den Benutzern im Extranet bekannt sein wird. In diesem Beispiel lautet der Name extranet.treyresearch.net.
2. Ändern Sie die Zone in Extranet.
3. Geben Sie der Website einen Hostheadernamen, den Sie in DNS konfigurieren, damit er von den Extranetbenutzern aufgelöst werden kann.
4. Klicken Sie auf Secure Sockets Layer (SSL) verwenden, und ändern Sie die Portnummer in 443. Für ADFS müssen Websites so konfiguriert sein, dass sie SSL verwenden.
5. Löschen Sie im Feld Lastenausgleich-URL die Textzeichenfolge :443. Internetinformationsdienste (Internet Information Services, IIS) verwendet automatisch Port 443, da Sie diese Portnummer im vorherigen Schritt angegeben haben.
6. Führen Sie die restlichen Schritte auf der Seite aus, um die Erweiterung der Webanwendung fertig zu stellen.
Vergewissern Sie sich auf der Seite Alternative Zugriffszuordnungen, dass die URLs denen in der folgenden Tabelle ähneln.

Interne URL Zone Öffentliche URL für Zone

http://trey-moss Standard http://trey-moss

https://extranet.treyresearch.net Extranet https://extranet.treyresearch.net
Fügen Sie der Extranetwebsite in IIS ein SSL-Zertifikat hinzu. Stellen Sie sicher, dass dieses SSL-Zertifikat für extranet.treyresearch.net ausgestellt ist, da Clients diesen Namen für den Zugriff auf die Websites verwenden werden.
Führen Sie die folgenden Schritte aus, um für den Authentifizierungsanbieter für die Extranetzone in Ihrer Webanwendung die Verwendung von Web-SSO zu konfigurieren:
1. Klicken Sie auf der Website für die Zentraladministration auf der Seite Anwendungsverwaltung auf Authentifizierungsanbieter.
2. Klicken Sie in der rechten oberen Ecke der Seite auf Ändern, und wählen Sie anschließend die Webanwendung aus, für die Sie Web-SSO aktivieren möchten.
3. Klicken Sie in der Liste der beiden Zonen, die dieser Webanwendung zugeordnet sind (beide sollten Windows verwenden) auf den Link Windows für die Extranetzone.
4. Klicken Sie im Abschnitt Authentifizierungstyp auf Einmalige Webanmeldung.
5. Geben Sie in das Feld Name des Mitgliedschaftsanbieters Folgendes ein:
  SingleSignOnMembershipProvider2
  Notieren Sie sich diesen Wert. Sie fügen ihn dem Name-Element des Abschnitts <membership> in den Dateien web.config hinzu, die Sie im Rahmen dieses Verfahrens später bearbeiten werden.
6. Geben Sie in das Feld Rollen-Managername Folgendes ein:
  SingleSignOnRoleProvider2
  Notieren Sie sich diesen Wert. Sie fügen ihn dem Name-Element des Abschnitts <roleManager> in den Dateien web.config hinzu, die Sie im Rahmen dieses Verfahrens später bearbeiten werden.
7. Stellen Sie sicher, dass die Option Clientintegration aktivieren? auf Nein festgelegt ist.
8. Klicken Sie auf Speichern.

Interne URL	Zone	Öffentliche URL für Zone
http://trey-moss	Standard	http://trey-moss
https://extranet.treyresearch.net	Extranet	https://extranet.treyresearch.net

Für Ihre Extranetwebanwendung ist damit die Verwendung von Web-SSO konfiguriert. Zu diesem Zeitpunkt kann jedoch nicht auf die Website zugegriffen werden, da kein Benutzer Berechtigungen für diese Website hat. Im nächsten Schritt werden daher den Benutzern Berechtigungen zugewiesen, damit sie auf die Website zugreifen können.

Hinweis:
Nachdem Sie Web-SSO als Authentifizierungsanbieter ausgewählt haben, wird für die SharePoint-Website in IIS automatisch die anonyme Authentifizierung aktiviert (keine Benutzeraktion erforderlich). Diese Einstellung ist erforderlich, damit diese Website Zugriff nur mit Ansprüchen zulässt.

Gewähren von Benutzerzugriff auf Extranetwebsites

Öffnen Sie mithilfe eines Text-Editors die Datei web.config für die Website in der Standardzone, die die Windows-Authentifizierung verwendet.
Fügen Sie den folgenden Eintrag überall im Knoten <system.web> hinzu.
<membership>
<providers>
<add name="SingleSignOnMembershipProvider2" type="System.Web.Security.SingleSignOn.SingleSignOnMembershipProvider2, System.Web.Security.SingleSignOn.PartialTrust, Version=1.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35" fs="https://fs-server/adfs/fs/federationserverservice.asmx" />
</providers>
</membership>

<roleManager enabled="true" defaultProvider="AspNetWindowsTokenRoleProvider">
<providers>
<remove name="AspNetSqlRoleProvider" />
<add name="SingleSignOnRoleProvider2" type="System.Web.Security.SingleSignOn.SingleSignOnRoleProvider2, System.Web.Security.SingleSignOn.PartialTrust, Version=1.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35" fs="https://fs-server/adfs/fs/federationserverservice.asmx" />
</providers>
</roleManager>
Ändern Sie den Wert für fs-server Ihrem Ressourcenverbundserver (adfsresource.treyresearch.net) entsprechend. Stellen Sie sicher, dass Sie auf der Seite Authentifizierungsanbieter der Zentraladministration den richtigen Mitgliedschaftsanbieter und die richtigen Rollen-Managernamen eingegeben haben. Wenn dieser Eintrag der Datei web.config hinzugefügt wird, erkennt die Personenauswahl auf der Standardzonenwebsite, die die Windows-Authentifizierung verwendet, die ADFS-Anbieter und kann daher die ADFS-Ansprüche auflösen. Auf diese Weise können Sie Berechtigungen für die ADFS-Ansprüche Ihrer Website erteilen.
Erteilen Sie ADFS-Ansprüchen wie folgt Zugriff auf die Website:
1. Wechseln Sie zu der Website in der Standardzone, die die Windows-Authentifizierung verwendet. Sie müssen Administrator der Website sein, um die folgenden Schritte ausführen zu können.
2. Klicken Sie auf das Menü Websiteaktionen, zeigen Sie auf Websiteeinstellungen, und klicken Sie anschließend auf Erweiterte Berechtigungen.
3. Klicken Sie auf Neu, und klicken Sie dann auf Benutzer hinzufügen.
4. Geben Sie zum Hinzufügen eines Benutzeranspruchs im Abschnitt Benutzer/Gruppen die E-Mail-Adresse des Benutzers oder dessen Benutzerprinzipalnamen an. Wenn vom Verbundserver sowohl UPN- als auch E-Mail-Ansprüche gesendet werden, verwendet SharePoint den UPN zum Überprüfen gegen den Mitgliedschaftsanbieter. Bei Verwendung der E-Mail-Adresse müssen Sie daher auf Ihrem Verbundserver den UPN-Anspruch deaktivieren. Weitere Informationen finden Sie unter "Verwenden von E-Mail- und UPN-Ansprüchen".
5. Geben Sie zum Hinzufügen eines Gruppenanspruchs den Namen des Anspruchs ein, der von der SharePoint-Website im Abschnitt Benutzer/Gruppen verwendet werden soll. Erstellen Sie zum Beispiel auf dem Verbundserver einen Organisationsgruppenanspruch mit dem Namen Adatum Teilnehmer. Fügen Sie den Anspruchnamen Adatum Teilnehmer der SharePoint-Website auf dieselbe Weise hinzu, wie Sie einen Windows-Benutzer oder eine Windows-Gruppe hinzufügen würden. Sie können diesen Anspruch Mitglieder von Home [Teilnehmen] zuweisen. Anschließend haben alle Benutzer, die mithilfe dieses Gruppenanspruchs auf die SharePoint-Website zugreifen, Teilnehmerzugriff auf die Website.
6. Wählen Sie die entsprechende Berechtigungsstufe oder die SharePoint-Gruppe aus.
7. Klicken Sie auf OK.
Öffnen Sie mithilfe eines beliebigen Text-Editors die Datei web.config für die Extranetwebsite, und fügen Sie den folgenden Eintrag im Knoten <configSections> hinzu.
<sectionGroup name="system.web">
<section name="websso" type="System.Web.Security.SingleSignOn.WebSsoConfigurationHandler, System.Web.Security.SingleSignOn, Version=1.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35, Custom=null" />
</sectionGroup>

Fügen Sie dem Knoten <httpModules> den folgenden Eintrag hinzu.

<add name="Identity Federation Services Application Authentication Module" type="System.Web.Security.SingleSignOn.WebSsoAuthenticationModule, System.Web.Security.SingleSignOn, Version=1.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35, Custom=null" />

Hinweis:
Das ADFS-Authentifizierungsmodul sollte immer im SharePoint SPRequest-Modul im Knoten <httpModules> der Datei web.config angegeben werden. Es ist am sichersten, dies als letzten Eintrag in diesem Abschnitt hinzuzufügen.

Fügen Sie dem Knoten <system.web> den folgenden Eintrag hinzu.
<membership defaultProvider="SingleSignOnMembershipProvider2">
<providers>
<add name="SingleSignOnMembershipProvider2" type="System.Web.Security.SingleSignOn.SingleSignOnMembershipProvider2, System.Web.Security.SingleSignOn.PartialTrust, Version=1.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35" />
</providers>
</membership>

<roleManager enabled="true" defaultProvider="SingleSignOnRoleProvider2">
<providers>
<add name="SingleSignOnRoleProvider2" type="System.Web.Security.SingleSignOn.SingleSignOnRoleProvider2, System.Web.Security.SingleSignOn.PartialTrust, Version=1.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35" />
</providers>
</roleManager>

<websso>
<authenticationrequired />
<auditlevel>55</auditlevel>
<urls>
<returnurl>https://your_application</returnurl>
</urls>
<fs>https://fs-server/adfs/fs/federationserverservice.asmx</fs>
<isSharePoint />
</websso>

Hinweis:

Ändern Sie den Wert für fs-server in Ihren Verbundservercomputer, und ändern Sie den Wert von eigene_anwendung entsprechend der URL Ihrer Extranetwebanwendung.
Wechseln Sie als ADFS-Benutzer mit Berechtigungen für die Extranetwebsite zur Website https://extranet.treyresearch.net.

Hinweis:
Ändern Sie den Wert für fs-server in Ihren Verbundservercomputer, und ändern Sie den Wert von eigene_anwendung entsprechend der URL Ihrer Extranetwebanwendung.

Informationen zur Verwendung der Zentraladministration

Sie können auch die Richtlinie der Zentraladministration zum Erteilen von Rechten für ADFS-Benutzer verwenden. Aus den folgenden Gründen wird diese Methode jedoch nicht empfohlen:

Das Erteilen von Rechten mithilfe einer Richtlinie ist ein sehr grober Vorgang. Er ermöglicht die Situation, dass Benutzer (oder Gruppen) dieselben Berechtigungssätze in jeder Website, in jeder Websitesammlung der gesamten Webanwendung haben. Sie sollten dies nur nach sehr sorgfältiger Überlegung verwenden. In dem hier beschriebenen Szenario wird ADFS-Benutzern Zugriff erteilt, ohne diese Methode zu verwenden.
Nachdem die Websites in einer Extranetumgebung verwendet wurden, sind die internen Benutzer sehr wahrscheinlich für das Erteilen des Zugriffs auf Websites und Inhalt verantwortlich. Da nur die Farmadministratoren Zugriff auf die Website für die Zentraladministration haben, ist es am sinnvollsten, dass interne Benutzer ADFS-Ansprüche aus der Standardzonenwebsite hinzufügen können, die die Windows-Authentifizierung verwendet.
Wenn Sie Webanwendungen mit anderen Anbietern erweitern, können Sie einen oder mehrere dieser Anbieter so konfigurieren, dass sie Benutzer und Gruppen von verschiedenen Anbietern, die Sie für diese Webanwendung verwenden, suchen können. In diesem Szenario haben wir eine Website konfiguriert, die die Windows-Authentifizierung so verwendet, dass Benutzer dieser Website andere Windows-Benutzer, Windows-Gruppen und ADFS-Ansprüche von einer Website auswählen können.

Verwenden der Personenauswahl

Mit der Personenauswahl kann bei der Suche nach Rollen keine Suche mithilfe von Platzhalterzeichen ausgeführt werden. Wenn Sie eine Anbieterrolle mit dem Namen Leser für den Web-SSO-Rollenanbieter haben und Sie im Suchdialogfeld der Personenauswahl Lese eingeben, wird der Anspruch nicht gefunden. Wenn Sie Leser eingeben, wird er gefunden. Dabei handelt es sich nicht um einen Fehler. Sie können mit dem Rollenanbieter lediglich keine Suche mithilfe von Platzhalterzeichen ausführen.
Ausführbare Befehlszeilendateien wie stsadm.exe können ADFS-Ansprüche standardmäßig nicht auflösen. Wenn Sie beispielsweise der Extranetwebsite mithilfe des Befehls stsadm.exe –o adduser einen neuen Benutzer hinzufügen möchten, müssen Sie eine neue Konfigurationsdatei erstellen und dabei wie folgt vorgehen, um für Stsadm (oder eine andere ausführbare Datei) das Auflösen von Benutzern zu aktivieren:

Erstellen Sie eine neue Datei stsadm.exe.config im selben Verzeichnis wie die Datei stsadm.exe (%programfiles%\Gemeinsame Dateien\Microsoft Shared Debug\Web Server Extensions\12\BIN). Fügen Sie der Datei stsadm.exe.config folgenden Eintrag hinzu:
<configuration>
<system.web>
<membership defaultProvider="SingleSignOnMembershipProvider2">
<providers>
<add name="SingleSignOnMembershipProvider2" type="System.Web.Security.SingleSignOn.SingleSignOnMembershipProvider2, System.Web.Security.SingleSignOn.PartialTrust, Version=1.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35" fs="https://fs-server/adfs/fs/federationserverservice.asmx" />
</providers>
</membership>

<roleManager enabled="true" defaultProvider="SingleSignOnRoleProvider2">
<providers>
<add name="SingleSignOnRoleProvider2" type="System.Web.Security.SingleSignOn.SingleSignOnRoleProvider2, System.Web.Security.SingleSignOn.PartialTrust, Version=1.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35" fs="https://fs-server/adfs/fs/federationserverservice.asmx" />
</providers>
</roleManager>
</system.web>
</configuration>

Hinweis:

Ändern Sie den Wert von fs-server in Ihren Ressourcenverbundserver (adfsresource.treyresearch.net).

Hinweis:
Ändern Sie den Wert von fs-server in Ihren Ressourcenverbundserver (adfsresource.treyresearch.net).

Verwenden von E-Mail- und UPN-Ansprüchen

Führen Sie die im Folgenden beschriebenen Schritte aus, um zu konfigurieren, ob der Verbundserver E-Mail- oder UPN-Ansprüche an Windows SharePoint Services 3.0 senden kann.

Konfigurieren von E-Mail- und UPN Ansprüchen auf einem Verbundserver

Öffnen Sie das ADFS-Snap-In über Verwaltung auf Ihrem Verbundserver.

Hinweis:

Sie können das ADFS-Snap-In auch durch Eingeben von ADFS.MSC im Dialogfeld Ausführen öffnen.
Wählen Sie Ihren Windows SharePoint Services 3.0-Anwendungsknoten aus (Ihre Anwendung sollte bereits der Knotenliste hinzugefügt sein).
Klicken Sie auf der rechten Seite in der Liste der Ansprüche mit der rechten Maustaste auf E-Mail, und wählen Sie Aktivieren oder Deaktivieren aus.

Hinweis:
Sie können das ADFS-Snap-In auch durch Eingeben von ADFS.MSC im Dialogfeld Ausführen öffnen.

Klicken Sie auf der rechten Seite in der Liste der Ansprüche mit der rechten Maustaste auf UPN, und wählen Sie Aktivieren oder Deaktivieren aus.

Hinweis:
Wenn sowohl UPN als auch E-Mail aktiviert sind, wird in Windows SharePoint Services 3.0 UPN zum Überprüfen des Benutzeranspruchs verwendet. Daher sollten Sie beim Konfigurieren von Windows SharePoint Services 3.0 darauf achten, welchen Benutzeranspruch Sie eingeben. Beachten Sie außerdem, dass der UPN-Anspruch nur einheitlich angewendet wird, wenn die vom Verbundserver akzeptierten UPN-Suffixe und E-Mail-Suffixe identisch sind. Dies liegt daran, dass der Mitgliedschaftsanbieter auf E-Mails basiert. Aufgrund dieser Komplexität beim Konfigurieren von UPN-Ansprüchen wird als Benutzeranspruchseinstellung für die Mitgliedschaftsauthentifizierung die E-Mail-Methode empfohlen.

Hinweis:

Wenn sowohl UPN als auch E-Mail aktiviert sind, wird in Windows SharePoint Services 3.0 UPN zum Überprüfen des Benutzeranspruchs verwendet. Daher sollten Sie beim Konfigurieren von Windows SharePoint Services 3.0 darauf achten, welchen Benutzeranspruch Sie eingeben. Beachten Sie außerdem, dass der UPN-Anspruch nur einheitlich angewendet wird, wenn die vom Verbundserver akzeptierten UPN-Suffixe und E-Mail-Suffixe identisch sind. Dies liegt daran, dass der Mitgliedschaftsanbieter auf E-Mails basiert. Aufgrund dieser Komplexität beim Konfigurieren von UPN-Ansprüchen wird als Benutzeranspruchseinstellung für die Mitgliedschaftsauthentifizierung die E-Mail-Methode empfohlen.

Verwenden von Gruppen- und Organisationsgruppenansprüchen

In Windows SharePoint Services 3.0 können Rechte Active Directory-Gruppen zugewiesen werden, indem diese einer SharePoint-Gruppe oder direkt einer Berechtigungsstufe hinzugefügt werden. Die Berechtigungsstufe eines Benutzers für eine Website wird auf Grundlage der Active Directory-Gruppen, bei denen dieser Benutzer Mitglied ist, der SharePoint-Gruppen, zu denen er gehört, und allen Berechtigungsstufen ermittelt, denen der Benutzer direkt hinzugefügt wurde.
Wenn Sie ADFS in Windows SharePoint Services 3.0 als Rollenanbieter verwenden, ist dies anders. Der Web-SSO-Anbieter hat keine Möglichkeit, eine Active Directory-Gruppe direkt aufzulösen. Stattdessen wird die Mitgliedschaft mithilfe von Organisationsgruppenansprüchen aufgelöst. Wenn Sie ADFS mit Windows SharePoint Services 3.0 verwenden, müssen Sie einen Satz von Organisationsgruppenansprüchen in ADFS erstellen. Anschließend können Sie mehreren Active Directory-Gruppen einen ADFS-Organisationsgruppenanspruch zuordnen.
Sie müssen Sie die Datei web.config für die ADFS-Anwendung in IIS auf Ihrem ADFS-Server bearbeiten, damit Gruppenansprüche mit der aktuellsten Version von ADFS verwendet werden können.
Öffnen Sie die Datei web.config, und fügen Sie dem Knoten <FederationServerConfiguration> innerhalb des Knotens <System.Web> den Eintrag <getGroupClaims /> hinzu. Dies wird im folgenden Beispiel veranschaulicht.

Code kopieren

<configuration>
     <system.web>
          <FederationServerConfiguration>
               <getGroupClaims />
          </FederationServerConfiguration>
     </system.web>
</configuration>

Gehen Sie in Adatum (Kontostruktur) wie folgt vor:

Erstellen Sie eine Active Directory-Gruppe mit dem Namen Trey SharePoint Leser.
Erstellen Sie eine Active Directory-Gruppe mit dem Namen Trey SharePoint Teilnehmer.
Fügen Sie Alansh der Gruppe Leser und Adamcar der Gruppe Teilnehmer hinzu.
Erstellen Sie einen Organisationsgruppenanspruch mit dem Namen Trey SharePoint Leser.
Erstellen Sie einen Organisationsgruppenanspruch mit dem Namen Trey SharePoint Teilnehmer.
Klicken Sie mit der rechten Maustaste auf den Active Directory-Kontospeicher, und klicken Sie anschließend auf Neue Gruppenanspruchsextrahierung erstellen.
1. Wählen Sie den Organisationsgruppenanspruch Trey SharePoint Leser aus, und ordnen Sie ihn der Active Directory-Gruppe Trey SharePoint Leser zu.
2. Wiederholen Sie Schritt 6, und ordnen Sie anschließend den Gruppenanspruch Trey SharePoint Teilnehmer der Active Directory-Gruppe Trey SharePoint Teilnehmer zu.
Klicken Sie mit der rechten Maustaste auf Trey Research Account Partner, und erstellen Sie anschließend die ausgehenden Anspruchszuordnungen:
1. Wählen Sie den Anspruch Trey SharePoint Leser aus, und ordnen Sie ihn dem ausgehenden Anspruch adatum-trey-leser zu.
2. Wählen Sie den Anspruch Trey SharePoint Teilnehmer aus, und ordnen Sie ihn dem ausgehenden Anspruch adatum-trey-teilnehmer zu.

Hinweis:
Die Anspruchszuordnungsnamen müssen zwischen den Unternehmen abgesprochen sein und exakt übereinstimmen.

Starten Sie auf der Trey Research-Seite ADFS.MSC, und gehen Sie anschließend wie folgt vor:

Erstellen Sie einen Organisationsgruppenanspruch mit dem Namen Adatum SharePoint Leser.
Erstellen Sie einen Organisationsgruppenanspruch mit dem Namen Adatum SharePoint Teilnehmer.
Erstellen Sie eingehende Gruppenzuordnungen für Ihre Ansprüche:
1. Klicken Sie mit der rechten Maustaste auf den Kontopartner Adatum, und klicken Sie anschließend auf Eingehende Gruppenanspruchszuordnung.
2. Wählen Sie Adatum SharePoint Leser aus, und ordnen Sie es dem eingehenden Anspruchsnamen adatum-trey-leser zu.
3. Wählen Sie Adatum SharePoint Teilnehmer aus, und ordnen Sie es dem eingehenden Anspruchsnamen adatum-trey-teilnehmer zu.
Klicken Sie mit der rechten Maustaste auf die Windows SharePoint Services 3.0-Webanwendung, und klicken Sie anschließend auf den Leser- und Teilnehmer-Ansprüchen auf Aktivieren.

Wechseln Sie als Websiteadministrator zur Website http://trey-moss auf der Trey Research-Seite, und gehen Sie anschließend wie folgt vor:

Klicken Sie auf das Menü Websiteaktionen, zeigen Sie auf Websiteeinstellungen, und klicken Sie anschließend auf Benutzer und Gruppen.
Klicken Sie auf die Gruppe Mitglieder für Ihre Website, sofern diese noch nicht ausgewählt ist.
Klicken Sie auf Neu, und klicken Sie anschließend auf der Symbolleiste auf Benutzer hinzufügen.
Klicken Sie neben dem Feld Benutzer/Gruppen auf das Symbol mit dem Adressbuch.
Geben Sie im Dialogfeld Personenauswahl in das Feld Suchen Folgendes ein:
Adatum SharePoint Leser
Wählen Sie unter Benutzer einer SharePoint-Gruppe hinzufügen den Eintrag Besucher von Homepage [Lesen] aus.
Geben Sie in das Feld Suchen Folgendes ein:
Adatum SharePoint Teilnehmer
Wählen Sie unter Benutzer einer SharePoint-Gruppe hinzufügen den Eintrag Mitglieder von Homepage [Teilnehmen] aus.