SHAREPOINT : ADFS Provider Groupe AD

Aujourd'hui, un post concernant le provider d'authentification ADFS sur un environnement SharePoint. Cette technique est souvent utilisée dans le cadre d'extranet afin de fédérer l'authentification (Google, Facebook, AD externe,...).

Classiquement, certains clients mappent uniquement le champs LDAP sur le claim type "Email" afin que les utilisateurs puissent se connecter.

Seulement, avec du recul, cette configuration n'est pas suffisante car vous vous rendrez compte que les groupes AD ne pourront pas être ajoutés dans SharePoint :

 

Afin de pouvoir ajouter les groupes AD, il vous faudra modifier la partie de confiance ADFS et le trusted issuer associé à SharePoint de la façon suivante:

 

Modification règles sur la partie de confiance ADFS :

 

- Se positionner sur l’interface mappant le champ « Email » au claimtype « Email ».

- Ajouter et mapper le champ LDAP « Token groups unqualified names » sur le claimtype « Role »,

- Ajouter et mapper le champ LDAP « User-Principal-Name » sur le claimtype « UPN ».

 

Le résultat doit être le suivant:

 

 

 

Côté SharePoint 2010– Modification de l’issuer :

Il faudra se connecter sur un des serveurs et lancer la commande PowerShell pour SharePoint suivante :

$issuer = Get-SPTrustedIdentityTokenIssuer
$issuer.ClaimTypes.Add("http://schemas.microsoft.com/ws/2008/06/identity/claims/role")
$map=New-SPClaimTypeMapping "http://schemas.microsoft.com/ws/2008/06/identity/claims/role" -IncomingClaimTypeDisplayName "Role" –SameAsIncoming
$issuer.AddClaimTypeInformation($map)
$issuer.Update()

Get-SPTrustedIdentityTokenIssuer

 

 

Le résultat sera le suivant:

 

 

 

 

 

A présent, suite à ces modifications, vous aurez accès au "Rôle" dans l'interface de sélection "ADFS Provider" de SharePoint :

 

 

 

Il faudra sélectionner la section rôle pour ajouter le groupe. Vous pourrez ainsi constater que le claims associé aux groupes AD se présente de la façon suivante "c :0-.t|Provider name":