zettelkasten/OneNoteExport/Kommunikationstechnologie/Sharepoint/Alt Installationen/26_ADFS.md

ADFS

Freitag, 21. September 2018

10:27

Auf dem Server BKKADFS001 im AD FS Management Tool folgende Einstellungen vornehmen.

 

{width="6.375in" height="5.510416666666667in"}

 

 

{width="3.5625in" height="4.489583333333333in"}

 

Erfasster Bildschirmausschnitt: 21.09.2018 10:27

 

 

{width="3.53125in" height="4.479166666666667in"}

 

 

Erfasster Bildschirmausschnitt: 21.09.2018 10:28

 

 

{width="3.5104166666666665in" height="4.489583333333333in"}

 

Erfasster Bildschirmausschnitt: 21.09.2018 10:28

 

 

{width="3.4895833333333335in" height="4.479166666666667in"}

 

Erfasster Bildschirmausschnitt: 21.09.2018 10:28

 

 

{width="3.53125in" height="4.479166666666667in"}

 

Erfasster Bildschirmausschnitt: 21.09.2018 10:29

 

 

{width="3.4895833333333335in" height="4.4375in"}

 

Erfasster Bildschirmausschnitt: 21.09.2018 10:29

 

 

{width="3.53125in" height="4.479166666666667in"}

 

Erfasster Bildschirmausschnitt: 21.09.2018 10:29

 

 

{width="3.5in" height="4.489583333333333in"}

 

Erfasster Bildschirmausschnitt: 21.09.2018 10:29

 

 

{width="3.5104166666666665in" height="4.4375in"}

 

Erfasster Bildschirmausschnitt: 21.09.2018 10:30

 

 

{width="3.53125in" height="4.447916666666667in"}

 

Erfasster Bildschirmausschnitt: 21.09.2018 10:30

 

 

{width="9.291666666666666in" height="5.614583333333333in"}

 

Erfasster Bildschirmausschnitt: 21.09.2018 10:31

 

 

{width="9.614583333333334in" height="1.0in"}

 

Erfasster Bildschirmausschnitt: 21.09.2018 10:31

 

Auf dem Server bkkspqapp001 folgende Befehle in der SharePoint 2016 Management Shell ausführen, als Administrator. (ACHTUNG! Korrigierte Befehle unten!!!)

 

$adfscertPath = "d:\ADFS-fs-bkk-mobil-oil-de.cer"

$realm = "urn:spq-portal:sp2016"

$signInURL = "https://fs.bkk-mobil-oil.de/adfs/ls"

 

$adfscert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2($adfsCertPath)

New-SPTrustedRootAuthority -Name "ADFS Token Signing Cert" -Certificate $adfscert

 

$emailClaimMap = New-SPClaimTypeMapping -IncomingClaimType "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming

$upnClaimMap = New-SPClaimTypeMapping -IncomingClaimType "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn" -IncomingClaimTypeDisplayName "UPN" -SameAsIncoming

$roleClaimMap = New-SPClaimTypeMapping -IncomingClaimType "http://schemas.microsoft.com/ws/2008/06/identity/claims/role" -IncomingClaimTypeDisplayName "Role" -SameAsIncoming

$sidClaimMap = New-SPClaimTypeMapping -IncomingClaimType "http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid" -IncomingClaimTypeDisplayName "SID" -SameAsIncoming

$ap = New-SPTrustedIdentityTokenIssuer -Name "ADFS" -Description "ADFS provider" -realm $realm -ImportTrustCertificate $adfscert -ClaimsMappings $emailClaimMap,$upnClaimMap,$roleClaimMap,$sidClaimMap -SignInUrl $signInURL -IdentifierClaim $emailClaimmap.InputClaimType

 

 

User Profil Service - Configure Synchronisation Connections - Create New Connection

 

 

 

 

{width="4.114583333333333in" height="4.25in"}

 

Unter Containers noch die entsprechenden OU auswählen:

 

Erfasster Bildschirmausschnitt: 21.09.2018 11:11

{width="4.864583333333333in" height="2.3541666666666665in"}

Erfasster Bildschirmausschnitt: 21.09.2018 11:20

 

Unter dieUser Profile Service Application - "Manage User Properties"

die Property "Claim User Identifier" von "SAMAccountName" auf "mail" ändern.

 

{width="7.25in" height="0.59375in"}

 

Erfasster Bildschirmausschnitt: 21.09.2018 12:23

 

SPQ_Profilsyncuser	8jqaDX8i6;xB	bkk-mobiloil\svc-spqProfilsyncU

 

 

Informationen zum ADFS:

get-SPTrustedIdentitytokenissuer "ADFS"

 

Delete the Trusted Identity Provider per Powershell:

Remove-SPClaimProvider "ADFS"

Remove-SPTrustedIdentityTokenIssuer "ADFS"

 

Aus <https://blogs.technet.microsoft.com/adamsorenson/2018/06/22/remove-sptrustedidentityissuer-the-trusted-login-provider-is-in-use-and-cannot-be-deleted/>

 

 

 

 

 

 

 

LDAPCP Erweiterung in der Farm installieren (https://github.com/Yvand/LDAPCP/releases)

*Add-SPSolution -LiteralPath "A:\Sources\SPS\LDAPCP\LDAPCP.wsp" NEUER PFAD "*A:\Sources\SPS\NewSPServer-CopyToD\Tools\Solutions"

Install-SPSolution -Identity "LDAPCP.wsp" -GACDeployment

 

$ap = Get-SPTrustedIdentityTokenIssuer "adfs"
$ap.ClaimProviderName = "LDAPCP"
$ap.Update()

 

[System.Reflection.Assembly]::Load("System.EnterpriseServices, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a")
$publish = New-Object System.EnterpriseServices.Internal.Publish

$publish.GacInstall("A:\Sources\SPS\LDAPCP\Extract\ldapcp.dll")

 

 

 

LDAPCP Erweiterung in der Farm installieren (https://github.com/Yvand/LDAPCP/releases)

 

Add-SPSolution -LiteralPath "D:\SP\06_Solutions\LDAPCP-master\LDAPCP.wsp"

Install-SPSolution -Identity "LDAPCP.wsp" -GACDeployment

 

Diese Befehle können nach ca. 10 Minuten durchgeführt werden, nachdem die Solution installiert wurde.

 

$ap = Get-SPTrustedIdentityTokenIssuer "adfs"

$ap.ClaimProviderName = "LDAPCP"
$ap.Update()

{width="5.885416666666667in" height="3.2604166666666665in"}

 

Erfasster Bildschirmausschnitt: 26.09.2018 11:57

 

[System.Reflection.Assembly]::Load("System.EnterpriseServices, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a")
$publish = New-Object System.EnterpriseServices.Internal.Publish

$publish.GacInstall("A:\Sources\SPS\LDAPCP\Extract\ldapcp.dll")

 

l

{width="6.229166666666667in" height="6.46875in"}

 

Erfasster Bildschirmausschnitt: 26.09.2018 13:09

 

 

{width="5.78125in" height="4.020833333333333in"}

 

Erfasster Bildschirmausschnitt: 26.09.2018 13:09

 

Zu testen, ob dies den Fehler beseitigt.

 

https://nikpatel.net/2013/09/05/sharepoint-and-adfs-configuration-error-id4220-the-saml-assertion-is-either-not-signed-or-the-signatures-keyidentifier-cannot-be-resolved-to-a-securitytoken/

 

https://albandrodsmemory.wordpress.com/2015/06/19/sharepoint-2013-the-saml-assertion-is-either-not-signed-or-the-signature/

 

--- Löschen und erstellen

 

Umstellung der WebApplications zurück auf Windows NTLM

 

Remove-SPTrustedIdentityTokenIssuer "ADFS"

 

Neu erstellen per PS:

 

$adfscertPath = "d:\ADFS-Signing-fs-bkk-mobil-oil-de.cer"

$realm = "urn:sharepoint:portal-spq"

$signInURL = "https://fs.bkk-mobil-oil.de/adfs/ls"

 

$adfscert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2($adfsCertPath)

 

$emailClaimMap = New-SPClaimTypeMapping -IncomingClaimType "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming

$roleClaimMap = New-SPClaimTypeMapping -IncomingClaimType "http://schemas.microsoft.com/ws/2008/06/identity/claims/role" -IncomingClaimTypeDisplayName "Role" -SameAsIncoming

$ap = New-SPTrustedIdentityTokenIssuer -Name "ADFS" -Description "ADFS" -realm $realm -ImportTrustCertificate $adfscert -ClaimsMappings $emailClaimMap,$roleClaimMap -SignInUrl $signInURL -IdentifierClaim $emailClaimmap.InputClaimType

 

 

LDAPCP erneuern:

$ap = Get-SPTrustedIdentityTokenIssuer "adfs"

$ap.ClaimProviderName = "LDAPCP"
$ap.Update()

 

 

LDAPCP angepasst :

 

{width="14.75in" height="2.8854166666666665in"}

 

Erfasster Bildschirmausschnitt: 04.10.2018 09:27

 

 

 

Temporär geändert :

 

Token Dauer von 1 Tag auf 1 Minute

 

{width="10.083333333333334in" height="8.604166666666666in"}

 

Erfasster Bildschirmausschnitt: 04.10.2018 09:55

 

 

set-SPLogLevel -Identity "LDAP Lookup" -TraceSeverity verbose

 

 

 

 

 

 

 

 

{width="17.375in" height="1.34375in"}

 

Erfasster Bildschirmausschnitt: 04.10.2018 14:10

 

Aktiviert

{width="2.375in" height="1.125in"}

 

sAMAccountname geändert in Mail