I- GIỚI THIỆU

Active Directory Federation Service (ADFS) là dịch vụ cung cấp khả năng chứng thực claims-based đối với các ứng dụng Web từ tổ chức nội bộ hoặc bên ngoài. Khi triển khai hệ thống SharePoint, nếu muốn cho phép người dùng từ các tổ chức đối tác truy cập vào Web Application trong môi trường SharePoint nội bộ, người quản trị cần cấu hình một phương pháp chứng thực phù hợp, trong bài viết này, tôi sẽ trình bày thao tác sử dụng Active Directory Federation Service (ADFS) để chứng thực nhằm mục đích cho phép người dùng bên ngoài tổ chức truy cập vào các Web Application trong hệ thống SharePoint.

II- TRIỂN KHAI CHI TIẾT

Bài LAB sử dụng 4 server:

- DC2012 (IP Address 172.16.1.10): Domain Controller (domain mcthub.local) chạy Windows Serrer 2012

- SQLSERVER (IP Address 172.16.1.20):: Domain member chạy Windows Server 2012 đóng vai trò SQL Server

- SPSERVER (IP Address 172.16.1.21):: Domain member chạy Windows Server 2012 đóng vai trò SharePoint Server

(Bạn có thể tích hợp 3 máy này trên một server vật lý)

- ITAHUBDC (IP Address 172.16.1.30): Domain Controller (domain itahub.local) chạy Windows Serrer 2012

Bài LAB gồm các bước chính sau đây

1- Chuẩn bị

2- Cài đặt ADFS

3- Cấu hình Relying Party Trust và Claim Rule trên ADFS

4- Export Token Certificate

5- Cấu hình SharePoint Trust ADFS

6- Cấu hình Web Application sử dụng ADFS

Mục đích của bài LAB này là cấu hình ADFS và SharePoint 2013 sao cho người dùng thuộc domain itahub.local có thể truy cập vào Web Application sharepoint.mcthub.local thuộc domain mcthub.local

1- Chuẩn bị

Trước khi thực hiện bài LAB này, bạn cần phải đã triển khai các bội dung sau đây

- Cài đặt SharePoint 2013 - Xem bài viết này

- Tạo Web Application và Site Collection sharepoint.mcthub.local - Xem phần 2 của bài viết này

- Bảo mật Web Application với SSL (SSL là yêu cầu bắt buộc đối với ADFS) - Xem bài viết này

Sau đó bạn tiếp tục thực hiện các thao tác chuẩn bị sau đây

Trên máy SPSERVER, tạo thư mục C:\Share (thư mục này sẽ được sử dụng trong bước 4)

Sau đó bạn share thư mục này và cấp quyền cho Everyone Full Control

Tiếp theo bạn cần cấu hình DNS Conditional Forwarder sao cho 2 domain có thể phân giải tên lẫn nhau. Trên máy DC2012, mở DNS Console. Bấm phải chuột Conditional Forwarder - chọn New Conditional Forwarder

Trong khung DNS Domain: Nhập itahub.local

Trong khung IP address of the master servers: Nhập 172.16.0.30 (IP của máy ITAHUBDC)

Nhấn OK

Trên máy ITAHUBDC, mở DNS Console. Bấm phải chuột Conditional Forwarder - chọn New Conditional Forwarder

Trong khung DNS Domain: Nhập mcthub.local

Trong khung IP address of the master servers: Nhập 172.16.0.10 (IP của máy DC2012)

Nhấn OK

2- Cài đặt ADFS

Tiếp theo bạn cần cài đặt ADFS để chứng thực cho người dùng thuộc Domain itahub.local truy cập Web Application của domain mcthub.local. Trên máy ITAHUBDC, Mở Server Manager - ChọnManage - Add Roles and Features

Nhấn Next

Nhấn Next

Chọn server cần đặt đặt là ITAHUBDC.itahub.local - Nhấn Next

Đánh dấu chọn Active Directory Federation Services - Nhấn Next

Nhấn Add Features để chấp nhận cài đặt thêm các dịch vụ cần thiết

Nhấn Next

Nhấn Next

Đánh dấu chọn role services AD FS 1.1 Web Agent AD FS 1.1 Claims-aware Agent - Nhấn Next

Nhấn Next

Chấp nhận cài đặt các thành phần cần thiết cho ADFS - Nhấn Next

Nhấn Install

Sau khi quá trình cài đặt hoàn tất, bạn cần cấu hình các thông số chung lần đầu cho ADFS - Nhấn Run the AD FS Management snap-in

Chọn AD FS Federation Server Configuration Wizards để cấu hình các thông số chung lần đầu cho ADFS

Do đây là ADFS Server đầu tiên, bạn chọn Create a new Federation Service - Nhấn Next

Do mục địch của tôi chỉ cài đặt một ADFS Server, chọn Stand-alone federation server - Nhấn Next

Bạn quan sát hộp thoại này yêu cầu SSL Certificate dùng cho ADFS, nhưng do máy này chưa có Certificate nên bạn không thể chọn Certificate và không thể nhấn Next để thực hiện bước tiếp theo. Nhấn Cancel

Tiếp theo tôi sẽ tạo một Self-Signed Certificate để sử dụng cho ADFS. Mở Internet Information Service (IIS) Manager bằng lệnh INETMGR

Chọn server ITAHUBDC - Double click vào mục Server Certificates

Chọn Create Self-Signed Certificate

Nhập tên cho Certificate là itahubdc.itahub.local - Nhấn Next

Kiểm tra Certificate đã được tạo - Nhấn View

Kiểm tra thông tin Certificate và nhấn OK

Sau khi có Certificate cần thiết, tôi sẽ cấu hình lại ADFS. Mở ADFS - Chọn AD FS Federation Server Configuration Wizards

Chọn Create a new Federation Service - Nhấn Next

Chọn Stand-alone federation server - Nhấn Next

Bạn quan sát đã có Certificate cần thiết cho ADFS - Nhấn Next

Nhấn Next

Sau khi quá trình cấu hình hoàn tất - Nhấn Close

Đến đây bạn đã có thể sử dụng ADFS

3- Cấu hình Relying Party Trust và Claim Rule trên ADFS

Trên máy ITAHUBDC, mở ADFS, bấm phải chuột Relying Party Trust - Chọn Add Relying Party Trust

Nhấn Start

Chọn Enter data about the relying party manually - Nhấn Next

Khung Display Name: Nhấn MCTHUB SharePoint - Nhấn Next

Chọn AD FS profile - Nhấn Next

Nhấn Next

Chọn Enter data about the relying party m="http://mcthub.com/images/ContentLab/sharepointADFS_files/image040.jpg" style="border-width:0px;border-style:solid;" />

Đánh dấu chọn Enable support for the WS-Federation Passive protocol. Nhập URL của SharePoint Web Application cần chứng thực để truy cập là https://sharepoint.mcthub.local/_trust/ - Nhấn Next

Trong khung Relying party trust identifier: Nhập một định danh tùy ý cho Web Application, tôi nhập là urn:mcthub:sharepoint.mcthub.local - Nhấn Add

Nhấn Next

Chọn Permit all users to access this relying party - Nhấn Next

Nhấn Next

Nhấn Close

Tiếp theo bạn cần tạo Claim Rule cho phép người dùng chứng thực bằng các thuộc tính trong Active Directory. Nhấn nút Add Rule

Trong khung Claim rule template: Chọn Send LDAP Attributes as Claims - Nhấn Next

Trong khung Claim rule name: Nhập tên tùy ý cho rule, tôi nhập là MCTHUB SharePoint Claim Rule

Trong khung Attribute store: Chọn Active Directory

Trong khung Mapping of LDAP attributes to outgoing claim type lần lượt quy định các thuộc tính như hình dưới - Nhấn Finish

Nhấn OK

Kiểm tra Reying Party Trust đã được tạo

4- Export Token Certificate

Trên máy ITAHUBDC - Chọn AD FS - Service - Certificate - bấm phải chuột lên certificate bên dưới mục Token Certificate - Chọn View Certificate

Sang tab Details - Nhấn Copy to File

Nhấn Next

Chọn định dạng mặc định cho file là DER encode binary X.509 (.CER) - Nhấn Next

Lưu File này vào gốc C:\ với tên là ITAHUB-Token-Signing.CER - Nhấn Next

Nhấn Finish

Nhấn OK

Nhấn OK

Sau đó bạn copy file này sang máy SPSERVER

Truy cập sang thư mục Share trên máy SPSERVER

Paste file này vào thư mục Share trên máy SPSERVER

Nhấn OK

Sau đó bạn copy file này sang máy SPSERVER

Kiểm tra

5- Cấu hình SharePoint Trust ADFS

Trên máy SPSERVER tạo trust Certificate bằng cách lần lượt nhập 2 lệnh sau:

$cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("C:\Share\ITAHUB-Token-Signing.cer")

New-SPTrustedRootAuthority -Name "ITAHUB ADFS Token Signing" -Certificate $cert

Kiểm tra bằng cách mở SharePoint 2013 Central Administration - Chọn Security - Manage trust

Kiểm tra kết quả

Tiếp theo bạn cần map các thuộc tính của ADFS vào SharePoint bằng cách lần lượt nhập các lệnh sau

$emailClaimMapping = New-SPClaimTypeMapping -IncomingClaimType

"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -

IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming

$upnClaimMapping = New-SPClaimTypeMapping -IncomingClaimType

"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn" -

IncomingClaimTypeDisplayName "UPN" -SameAsIncoming

Sau đó bạn cần đăng ký ADFS server với SharePoint server bằng cách lần lượt thực hiện các lệnh sau:

$realm = "urn:mcthub:sharepoint.mcthub.local"

$signInURL = "https://itahubdc.itahub.local/adfs/ls"

New-SPTrustedIdentityTokenIssuer -Name "ITAHUB AD FS" -Description "AD FS

at ITAHUB" -realm $realm -ImportTrustCertificate $cert -

ClaimsMappings $emailClaimMapping,$upnClaimMapping -SignInUrl $signInURL -

IdentifierClaim $emailClaimMapping.InputClaimType

6- Cấu hình Web Application sử dụng ADFS

Trên máy SPSERVER, mở SharePoint 2013 Central Administration - Chọn  Application Management - Manage web applications

Chọn Web Application sharepoint.mcthub.local80 - Nhấn Authentication Providers

Chọn Default

Đánh dấu chọn Trusted Identity provider - Chọn ITAHUB AD FS - Nhấn nút Save, sau đó đóng hộp thoại Edit Authentication

Tiếp tục phân quyền cho người dùng truy cập bằng cách nhấn User Policy

Nhấn Add Users

Chọn All zones - Nhấn Next

Trong khung Users - Nhấn nút Browse

Chọn All Users - All Users (ITAHUB AD FS) - Nhấn nút Add

Nhấn OK

Trong khung Permission, phân quyền Full Read - Nhấn Finish

Nhấn OK

Kiểm tra: Truy cập https://sharepoint.mcthub.local - Ở mục Sign In - Chọn ITAHUB AD FS

Nhập ITAHUB\Administrator và password - OK

Kiểm tra user của domain ITAHUB.local đã có thể truy cập Web Application trong hệ thống SharePoint của domain MCTHUB.local

Bài viết liên quan

Cài đặt SharePoint 2013

Tích hợp Office Web Apps Server 2103 với SharePoint 2013

Quản lý User, Group và phân quyền trên SharePoint 2013 - Phần 1

Quản lý User, Group và phân quyền trên SharePoint 2013 - Phần 2

Bảo mật SharePoint 2013 bằng Secure Sockey Layer (SSL)

By Đồng Phương Nam
mcthub.com