Сопоставление пользовательских профилей для пользователей SAML при помощи импорта AD в SharePoint 2013

  • Article

Исходная статья была опубликована в среду, 8 августа 2012 года

Это вопрос, который становится очень важным в SharePoint 2013, а именно — обеспечение наличия полностью укомплектованных пользовательских профилей в приложении. В SharePoint 2013 система пользовательских профилей имеет решающее значение для инфраструктуры OAuth, которая позволяет выполнять сценарии определенных проверенных приложений, разрешая другим приложениям действовать от имени пользователя. Однако чтобы приложение "знало", что может делать пользователь, необходимо предоставить ему список атрибутов для этого пользователя, чтобы обеспечить правильную фильтрацию по ролям безопасности. Так эта проблема выглядит в первом приближении. В другой статье я напишу подробнее о пользовательских профилях, синхронизации и факторах, обуславливающих выбор различных видов проверки подлинности.

Но сейчас достаточно знать, что это очень важно и должно быть сделано. Принимая во внимание эту важность, а также тот факт, что основополагающая статья Брайана Портера на эту тему на примере SharePoint 2010 исчезла с тех пор, как он переместил свой блог, я решил, что стоит снова написать об этом. Хорошие новости заключаются в том, что это не так уж сложно, если выполнять импорт из Active Directory, чему и будет посвящена эта статья. 

Первое, что нужно сделать, это создать SPTrustedIdentityTokenIssuer. Это требуется для того, чтобы приступить к настройке импорта профилей. После этого запустите браузер и перейдите на страницу управления приложением профилей пользователей (UPA). Нажмите ссылку "Настроить подключения для синхронизации", а затем нажмите "Создать новое подключение". Единственное, что отличает этот случай от любых других подключений профиля к AD, это раскрывающийся список "Тип поставщика проверки подлинности". В этом списке нужно выбрать "Проверка подлинности от доверенного поставщика утверждений". После этого раскрывающийся список ниже "Экземпляр поставщика проверки подлинности" заполнит список всех поставщиков SPTrustedIdentityTokenProviders, который вы создали. Просто выберите поставщика, который должен использоваться для этого подключения профиля, заполните все остальные свойства подключения, как обычно при импорте из AD, и сохраните его. Вот снимок экрана, на котором видно, что получилось у меня:

 

Когда это сделано, необходимо обновить сопоставления свойств, чтобы гарантировать, что при импорте поля в SharePoint оно содержало значение, которое пользователи будут использовать в качестве утверждения удостоверения. Для этого следует вернуться на страницу управления UPA и нажать ссылку "Управление пользовательскими свойствами". Прокрутите вниз до свойства "Идентификатор пользователя утверждения" и нажмите "Редактировать". Если для значения "Синхронизация" уже имеется сопоставление свойства, удалите его. Добавьте новое сопоставление для свойства, которое вы импортируете из AD в качестве значения для утверждения удостоверения. В моем случае в качестве утверждения удостоверения я использовал адрес электронной почты, а в AD почтовый адрес пользователя хранится в атрибуте AD под названием “mail”. Итак, я просто выбираю подключения профиля, созданное мной раньше, набираю “mail” в поле редактирования атрибута и нажимаю кнопку "Добавить". Это выглядит следующим образом:

Вот так выглядит экран, когда все готово:

Предполагается, что параметры "Идентификатор поставщика утверждений" и "Тип поставщика утверждений" настраиваются автоматически во время конфигурации подключения для импорта профилей.

Вот и все – теперь я могу импортировать профили, и значения утверждения удостоверения будут автоматически сопоставляться со свойством данного имени учетной записи в системе профилей. Вот пример того, как все выглядит после выполнения импорта профилей. Обратите внимание, что вместо использования шаблона домен\пользователь для имени учетной записи, приложение показывает формат утверждений SAML с адресом электронной почты в качестве имени учетной записи:

Это локализованная запись блога. Оригинал находится на странице Mapping User Profiles for SAML Users with an AD Import in SharePoint 2013