I- GIỚI THIỆU
Active Directory Federation Service (ADFS) là dịch vụ cung cấp khả năng chứng thực claims-based đối với các ứng dụng Web từ tổ chức nội bộ hoặc bên ngoài. Khi triển khai hệ thống SharePoint, nếu muốn cho phép người dùng từ các tổ chức đối tác truy cập vào Web Application trong môi trường SharePoint nội bộ, người quản trị cần cấu hình một phương pháp chứng thực phù hợp, trong bài viết này, tôi sẽ trình bày thao tác sử dụng Active Directory Federation Service (ADFS) để chứng thực nhằm mục đích cho phép người dùng bên ngoài tổ chức truy cập vào các Web Application trong hệ thống SharePoint.
II- TRIỂN KHAI CHI TIẾT
Bài LAB sử dụng 4 server:
- DC2012 (IP Address 172.16.1.10): Domain Controller (domain mcthub.local) chạy Windows Serrer 2012
- SQLSERVER (IP Address 172.16.1.20):: Domain member chạy Windows Server 2012 đóng vai trò SQL Server
- SPSERVER (IP Address 172.16.1.21):: Domain member chạy Windows Server 2012 đóng vai trò SharePoint Server
(Bạn có thể tích hợp 3 máy này trên một server vật lý)
- ITAHUBDC (IP Address 172.16.1.30): Domain Controller (domain itahub.local) chạy Windows Serrer 2012
Bài LAB gồm các bước chính sau đây
1- Chuẩn bị
2- Cài đặt ADFS
3- Cấu hình Relying Party Trust và Claim Rule trên ADFS
4- Export Token Certificate
5- Cấu hình SharePoint Trust ADFS
6- Cấu hình Web Application sử dụng ADFS
Mục đích của bài LAB này là cấu hình ADFS và SharePoint 2013 sao cho người dùng thuộc domain itahub.local có thể truy cập vào Web Application sharepoint.mcthub.local thuộc domain mcthub.local
1- Chuẩn bị
Trước khi thực hiện bài LAB này, bạn cần phải đã triển khai các bội dung sau đây
- Cài đặt SharePoint 2013 - Xem bài viết này
- Tạo Web Application và Site Collection sharepoint.mcthub.local - Xem phần 2 của bài viết này
- Bảo mật Web Application với SSL (SSL là yêu cầu bắt buộc đối với ADFS) - Xem bài viết này
Sau đó bạn tiếp tục thực hiện các thao tác chuẩn bị sau đây
Trên máy SPSERVER, tạo thư mục C:\Share (thư mục này sẽ được sử dụng trong bước 4)
Sau đó bạn share thư mục này và cấp quyền cho Everyone Full Control
Tiếp theo bạn cần cấu hình DNS Conditional Forwarder sao cho 2 domain có thể phân giải tên lẫn nhau. Trên máy DC2012, mở DNS Console. Bấm phải chuột Conditional Forwarder - chọn New Conditional Forwarder
Trong khung DNS Domain: Nhập itahub.local
Trong khung IP address of the master servers: Nhập 172.16.0.30 (IP của máy ITAHUBDC)
Nhấn OK
Trên máy ITAHUBDC, mở DNS Console. Bấm phải chuột Conditional Forwarder - chọn New Conditional Forwarder
Trong khung DNS Domain: Nhập mcthub.local
Trong khung IP address of the master servers: Nhập 172.16.0.10 (IP của máy DC2012)
Nhấn OK
2- Cài đặt ADFS
Tiếp theo bạn cần cài đặt ADFS để chứng thực cho người dùng thuộc Domain itahub.local truy cập Web Application của domain mcthub.local. Trên máy ITAHUBDC, Mở Server Manager - ChọnManage - Add Roles and Features
Nhấn Next
Nhấn Next
Chọn server cần đặt đặt là ITAHUBDC.itahub.local - Nhấn Next
Đánh dấu chọn Active Directory Federation Services - Nhấn Next
Nhấn Add Features để chấp nhận cài đặt thêm các dịch vụ cần thiết
Nhấn Next
Nhấn Next
Đánh dấu chọn role services AD FS 1.1 Web Agent và AD FS 1.1 Claims-aware Agent - Nhấn Next
Nhấn Next
Chấp nhận cài đặt các thành phần cần thiết cho ADFS - Nhấn Next
Nhấn Install
Sau khi quá trình cài đặt hoàn tất, bạn cần cấu hình các thông số chung lần đầu cho ADFS - Nhấn Run the AD FS Management snap-in
Chọn AD FS Federation Server Configuration Wizards để cấu hình các thông số chung lần đầu cho ADFS
Do đây là ADFS Server đầu tiên, bạn chọn Create a new Federation Service - Nhấn Next
Do mục địch của tôi chỉ cài đặt một ADFS Server, chọn Stand-alone federation server - Nhấn Next
Bạn quan sát hộp thoại này yêu cầu SSL Certificate dùng cho ADFS, nhưng do máy này chưa có Certificate nên bạn không thể chọn Certificate và không thể nhấn Next để thực hiện bước tiếp theo. Nhấn Cancel
Tiếp theo tôi sẽ tạo một Self-Signed Certificate để sử dụng cho ADFS. Mở Internet Information Service (IIS) Manager bằng lệnh INETMGR
Chọn server ITAHUBDC - Double click vào mục Server Certificates
Chọn Create Self-Signed Certificate
Nhập tên cho Certificate là itahubdc.itahub.local - Nhấn Next
Kiểm tra Certificate đã được tạo - Nhấn View
Kiểm tra thông tin Certificate và nhấn OK
Sau khi có Certificate cần thiết, tôi sẽ cấu hình lại ADFS. Mở ADFS - Chọn AD FS Federation Server Configuration Wizards
Chọn Create a new Federation Service - Nhấn Next
Chọn Stand-alone federation server - Nhấn Next
Bạn quan sát đã có Certificate cần thiết cho ADFS - Nhấn Next
Nhấn Next
Sau khi quá trình cấu hình hoàn tất - Nhấn Close
Đến đây bạn đã có thể sử dụng ADFS
3- Cấu hình Relying Party Trust và Claim Rule trên ADFS
Trên máy ITAHUBDC, mở ADFS, bấm phải chuột Relying Party Trust - Chọn Add Relying Party Trust
Nhấn Start
Chọn Enter data about the relying party manually - Nhấn Next
Khung Display Name: Nhấn MCTHUB SharePoint - Nhấn Next
Chọn AD FS profile - Nhấn Next
Nhấn Next
Chọn Enter data about the relying party m="http://mcthub.com/images/ContentLab/sharepointADFS_files/image040.jpg" style="border-width:0px;border-style:solid;" />
Đánh dấu chọn Enable support for the WS-Federation Passive protocol. Nhập URL của SharePoint Web Application cần chứng thực để truy cập là https://sharepoint.mcthub.local/_trust/ - Nhấn Next
Trong khung Relying party trust identifier: Nhập một định danh tùy ý cho Web Application, tôi nhập là urn:mcthub:sharepoint.mcthub.local - Nhấn Add
Nhấn Next
Chọn Permit all users to access this relying party - Nhấn Next
Nhấn Next
Nhấn Close
Tiếp theo bạn cần tạo Claim Rule cho phép người dùng chứng thực bằng các thuộc tính trong Active Directory. Nhấn nút Add Rule
Trong khung Claim rule template: Chọn Send LDAP Attributes as Claims - Nhấn Next
Trong khung Claim rule name: Nhập tên tùy ý cho rule, tôi nhập là MCTHUB SharePoint Claim Rule
Trong khung Attribute store: Chọn Active Directory
Trong khung Mapping of LDAP attributes to outgoing claim type lần lượt quy định các thuộc tính như hình dưới - Nhấn Finish
Nhấn OK
Kiểm tra Reying Party Trust đã được tạo
4- Export Token Certificate
Trên máy ITAHUBDC - Chọn AD FS - Service - Certificate - bấm phải chuột lên certificate bên dưới mục Token Certificate - Chọn View Certificate
Sang tab Details - Nhấn Copy to File
Nhấn Next
Chọn định dạng mặc định cho file là DER encode binary X.509 (.CER) - Nhấn Next
Lưu File này vào gốc C:\ với tên là ITAHUB-Token-Signing.CER - Nhấn Next
Nhấn Finish
Nhấn OK
Nhấn OK
Sau đó bạn copy file này sang máy SPSERVER
Truy cập sang thư mục Share trên máy SPSERVER
Paste file này vào thư mục Share trên máy SPSERVER
Nhấn OK
Sau đó bạn copy file này sang máy SPSERVER
Kiểm tra
5- Cấu hình SharePoint Trust ADFS
Trên máy SPSERVER tạo trust Certificate bằng cách lần lượt nhập 2 lệnh sau:
$cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("C:\Share\ITAHUB-Token-Signing.cer")
New-SPTrustedRootAuthority -Name "ITAHUB ADFS Token Signing" -Certificate $cert
Kiểm tra bằng cách mở SharePoint 2013 Central Administration - Chọn Security - Manage trust
Kiểm tra kết quả
Tiếp theo bạn cần map các thuộc tính của ADFS vào SharePoint bằng cách lần lượt nhập các lệnh sau
$emailClaimMapping = New-SPClaimTypeMapping -IncomingClaimType
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -
IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming
$upnClaimMapping = New-SPClaimTypeMapping -IncomingClaimType
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn" -
IncomingClaimTypeDisplayName "UPN" -SameAsIncoming
Sau đó bạn cần đăng ký ADFS server với SharePoint server bằng cách lần lượt thực hiện các lệnh sau:
$realm = "urn:mcthub:sharepoint.mcthub.local"
$signInURL = "https://itahubdc.itahub.local/adfs/ls"
New-SPTrustedIdentityTokenIssuer -Name "ITAHUB AD FS" -Description "AD FS
at ITAHUB" -realm $realm -ImportTrustCertificate $cert -
ClaimsMappings $emailClaimMapping,$upnClaimMapping -SignInUrl $signInURL -
IdentifierClaim $emailClaimMapping.InputClaimType
6- Cấu hình Web Application sử dụng ADFS
Trên máy SPSERVER, mở SharePoint 2013 Central Administration - Chọn Application Management - Manage web applications
Chọn Web Application sharepoint.mcthub.local80 - Nhấn Authentication Providers
Chọn Default
Đánh dấu chọn Trusted Identity provider - Chọn ITAHUB AD FS - Nhấn nút Save, sau đó đóng hộp thoại Edit Authentication
Tiếp tục phân quyền cho người dùng truy cập bằng cách nhấn User Policy
Nhấn Add Users
Chọn All zones - Nhấn Next
Trong khung Users - Nhấn nút Browse
Chọn All Users - All Users (ITAHUB AD FS) - Nhấn nút Add
Nhấn OK
Trong khung Permission, phân quyền Full Read - Nhấn Finish
Nhấn OK
Kiểm tra: Truy cập https://sharepoint.mcthub.local - Ở mục Sign In - Chọn ITAHUB AD FS
Nhập ITAHUB\Administrator và password - OK
Kiểm tra user của domain ITAHUB.local đã có thể truy cập Web Application trong hệ thống SharePoint của domain MCTHUB.local
Bài viết liên quan
Tích hợp Office Web Apps Server 2103 với SharePoint 2013
Quản lý User, Group và phân quyền trên SharePoint 2013 - Phần 1
Quản lý User, Group và phân quyền trên SharePoint 2013 - Phần 2
Bảo mật SharePoint 2013 bằng Secure Sockey Layer (SSL)
By Đồng Phương Nammcthub.com