none
SharePoint 2010 and ADFS Authentication is not working for Security Groups RRS feed

  • Frage

  • Hi together,

    I installed and configured SharePoint 2010 using ADFS 2.0 successfully. I can use AD users using Claim Based Authentication through a MS TMG. Fine ;-).

    But I have 2000 Users in my AD and do not want to add all of them to my SharePoint manually. So I added the group domain-users@domain to my SharePoint Site (it has been verified successfully as ADFS Account!).
    But logon for none of the users is working.

    What do I have to do to use AD Groups in my SharePoint environment?

    I found a lot of infos inthe web that it should work but nothing what to do to be able to do so.

    Regards and thanks for hints

    Gernot


    Greetings/Grüße Gernot
    Dienstag, 17. Januar 2012 14:30

Alle Antworten

  • Hallo,

    hast du für den Relying Party Trust und auch für den Claims Provider, wenn dieser abweicht, entsprechende Claim Rules für den Claim vom Typ "Role" definiert? Im Claim "Role" werden u. a. Windows Security gekapselt, wenn man denn will. Oder ist dieser Beitrag inzwischen veraltet? Ich habe soetwas gerade gemacht und könnte genauere Informationen liefern.

    Grüße

    Michael

    Freitag, 10. Februar 2012 13:06
  • Hallo Michael,

    nein. Das ist nicht veraltet. Ich kann Detailinfos dringend gebrauchen.

    Gruß

    Gernot


    Greetings/Grüße Gernot

    Montag, 13. Februar 2012 09:29
  • Wie sieht deine Umgebung denn genauer aus? Hast du einen ADFS-Service, der Resource Provider und Claims Provider gleichzeitig ist? Unter Trust Relationships > Relying Party Trusts wirst du beim Resource Provider ja deine Sharepoint-Webanwendung eingerichtet haben. Gehst du hier auf "Edit Claim Rules", brauchst du eine Regel "Send LDAP Attributes as Claims", wenn eben der Resource Provider auch Claims Provider ist. Du selektierst dann "Token Groups <...>" als LDAP-Attribute und "Role" als "Outgoing Claim Type". Ich persönlich nehme als LDAP-Attribut "Token Groups - Qualified by Domain Name". Die Gruppen eines Users werden dann im Format DOMAIN\Gruppenname in das ADFS-Token gepackt.

    Im Sharepoint musst du natürlich für den ADFS-Provider ein weiteres Mapping auf den Claim Type Role vornehmen. Wenn du einen anderen Claims Provider als Resource Provider hast, musst du für die Sharepoint-Ressource auch noch "Pass Through"-Regeln für den Claim Type "Role" definieren und bei den Claims Providern natürlich entsprechend die LDAP-Attribute wie im Schritt oben in den Role-Claim packen.

    Hier ist das "so ähnlich" beschrieben.

    http://technet.microsoft.com/en-us/library/adfs2-sharepoint-federated-collaboration-step-by-step-guide-08(WS.10).aspx

    Montag, 13. Februar 2012 09:48
  • Danke! Bin morgen vor Ort und werde das dann ausprobieren!

    Greetings/Grüße Gernot

    Montag, 13. Februar 2012 10:14