On-Premise FarmのアイデンティティプロバイダとしてAzure ADテナントの使用方法
-
10-12-2019 - |
質問
azure access Control Serviceを正常に設定して、Facebook、Google、およびLiveが身分証明書を認識しているSharePoint Webアプリケーションの識別プロバイダとして使用します。
次に、IDプロバイダとしてのWindows Azure Active Directoryテナントを試してみて、[Myad] .onmicrosoft.comとしてテストADを作成しておくと、1人のユーザーを追加しました。
ここでの指示に従って
私は他のものと共に含まれているWSフェデレーションのアイデンティティプロバイダを設定しました(Facebook et al)
しかし、私はエラー "ACS50000:トークンの発行エラーがありました。" ADアカウントを使用してサインオンしようとしているとき。
AZURE ADにアプリを追加して、ACS URL を使用して作業するようになった
https:// [myNamespace] .AccessControl.Windows.Net / v2 / W予約
これは私にWSフェデレーションメタデータXMLへのURLを得た(上記の参照された記事に基づいて構築しようとしたリンクとは異なっていました)
このURLを使用して、Azure ACSでWS-Federation Identityプロバイダを作成しました。
最後に、私はPowerShellとNew-MsolServicePrincipalを使用して、以前はAzure ADで設定されたアプリを再作成/変更しなければなりませんでした。これが必要かどうかわかりませんが、手作業の手順を実行した前に機能していないようでした。
Azure ADアプリを追加するServicePrincipal設定whanを削除し、で新しいものを作成しました
.$replyUrl = New-MsolServicePrincipalAddresses -Address "https://[mynamespace].accesscontrol.windows.net/v2/wsfederation" New-MsolServicePrincipal -ServicePrincipalNames @("https://[mynamespace].accesscontrol.windows.net/") -DisplayName "MYLOGIN" -Addresses $replyUrl
$ REPEEURLはACSエンドポイントです。
今のところ私はSharePointでセットアップされたNameIdentityクレームへの名前の主張をマッピングしています。これを構成する方法がより良いかもしれないと思いますが、うまくいくようです。
解決
It might be worth a shot to try adding ACS as an App in Azure AD, configure it for Single Sign-On and then using the WS-Federation end point for the app to add the Identity Provider. The first part of this post has a more detailed walkthrough: http://blog.helloitsliam.com/Lists/Posts/Post.aspx?List=e10cb685-6b5c-4b6c-aaf4-e1d122d57174&ID=120