Como usar o locatário do Azure AD como provedor de identidade para farm local

sharepoint.stackexchange https://sharepoint.stackexchange.com//questions/78732

Pergunta

Configurei com êxito o Serviço de Controle de Acesso do Azure para usar o Facebook, o Google e o Live como provedores de identidade para um aplicativo Web SharePoint com reconhecimento de declarações local.

Em seguida, gostaria de tentar usar o locatário do Active Directory do Windows Azure também como um provedor de identidade e criei um AD de teste como [myad].onmicrosoft.com, adicionando alguns usuários.

Seguindo as instruções aqui

http://www.cloudidentity.com/blog/2012/11/07/provisioning-a-directory-tenant-as-an-identity-provider-in-an-acs-namespace/

Configurei um provedor de identidade WS-Federation, incluído junto com os demais (Facebook et al)

No entanto, recebo um erro "ACS50000:Ocorreu um erro ao emitir um token." ao tentar fazer logon usando a conta do AD.

Existem bons guias sobre como conseguir isso?A maior parte do que encontrei tem como alvo os desenvolvedores de aplicativos que trabalham com o Azure.Eu só quero usar o AD como provedor de identidade e vinculá-lo ao meu conjunto de sites/aplicativo da web do Sharepoint.

Atualizar:

Fiz funcionar adicionando um aplicativo ao Azure AD, usando a URL ACS

https://[meunamespace].accesscontrol.windows.net/v2/wsfederation.

Isso me deu um URL para o XML de metadados do WS-Federation (que era diferente do link que tentei construir com base no artigo referenciado acima)

Usei essa URL para criar o provedor de identidade WS-Federation no Azure ACS.

Por último, tive que usar o PowerShell e o New-MsolServicePrincipal para recriar/modificar o aplicativo que foi configurado anteriormente no Azure AD.Não tenho certeza se isso é necessário, mas parecia não funcionar antes de executar algumas etapas manuais.

Excluí o ServicePrincipal configurado ao adicionar o aplicativo Azure AD e criei um novo com 

$replyUrl = New-MsolServicePrincipalAddresses -Address "https://[mynamespace].accesscontrol.windows.net/v2/wsfederation"

New-MsolServicePrincipal -ServicePrincipalNames @("https://[mynamespace].accesscontrol.windows.net/") -DisplayName "MYLOGIN" -Addresses $replyUrl

$replyUrl é o terminal ACS

Por enquanto, estou mapeando a declaração de nome para a declaração de identidade configurada no Sharepoint.Acho que pode haver maneiras melhores de configurar isso, mas parece funcionar.

Foi útil?

Solução

Pode valer a pena tentar adicionar o ACS como um aplicativo no Azure AD, configurá-lo para logon único e, em seguida, usar o ponto final da WS-Federation para o aplicativo adicionar o provedor de identidade.A primeira parte deste post traz um passo a passo mais detalhado: http://blog.helloitsliam.com/Lists/Posts/Post.aspx?List=e10cb685-6b5c-4b6c-aaf4-e1d122d57174&ID=120

Licenciado em: CC-BY-SA com atribuição
Não afiliado a sharepoint.stackexchange
scroll top