我曾经为了向客户演示SharePoint 2010中的Claims-based Authentication是怎么回事,专门写了一个简单的IP-STS,花了许多功夫配置SharePoint和这个IP-STS,并写了两篇文章。我最初是想用ADFS 2.0的,可是看了它的文档被吓着了,里面概念和名词一大堆,我怕真的用ADFS 2.0配合SharePoint作演示的话,光它的相关概念就得解释半天了。
不过在生产环境中,如果需要做联合认证(federated authentication),典型的比如在两个没有信任关系的域之间作认证,很少有用户会自己开发IP-STS,大部分用户会选择使用现成的产品,当然,ADFS 2.0是无法忽略的首选产品。最近又有客户让我演示配置ADFS 2.0和SharePoint 2010,于是花了些时间在Lab环境里配置了一下,发向也没有想象的复杂。现在在我的Lab环境里,有这样一个Web App,我同时在它上面启用了4种认证方式,Windows认证,Forms认证,基于ADFS 2.0的STS,和自定义的STS。
总结一下配置ADFS 2.0和SharePoint的步骤:
- 在Account Partner域中安装并配置ADFS 2.0。它的联合认证服务需要一个FQDN和相应的证书。
- 在ADFS 2.0中设置RP,这个RP就是Resource Partner域中的SharePoint网站。
- 设置Claims Rule,选择要发给SharePoint的claims。
- 最后在SharePoint设置信任这个ADFS 2.0,并在相应的Web App上启用这个STS。
详细的步骤,可以参考Steve Peschka的这篇文章,图文并茂,非常详细。