此分步指南介绍如何将本地 SharePoint 场与 Microsoft Entra 应用程序代理进行集成。
先决条件
若要执行配置,需要以下资源:
- 一个 SharePoint 2013 场或更高版本的场。 SharePoint 场必须与 Microsoft Entra ID 集成。
- 包含应用程序代理的计划的Microsoft Entra 租户。 详细了解Microsoft Entra ID计划和定价。
- Microsoft Office Web Apps Server 场,用于从本地 SharePoint 场正确启动 Office 文件。
- Microsoft Entra 租户中的自定义已验证域。
- 本地 Active Directory 部署与 Microsoft Entra Connect 同步,用户可以通过该部署 登录到 Azure。
- 在位于企业域内的计算机上安装并运行私有网络连接器。
使用应用程序代理配置 SharePoint 需要两个 URL:
- 一个外部 URL,对最终用户可见并在 Microsoft Entra ID 中确定。 此 URL 可使用自定义域。 详细了解如何在 Microsoft Entra 应用程序代理中使用自定义域。
- 内部 URL,仅在企业域中是已知的,并且不能直接使用。
重要
若要确保这些链接正确映射,请按以下建议配置内部 URL:
- “使用 HTTPS”。
- 不使用自定义端口。
- 在公司域名系统(DNS)中创建一个主机(
A记录),该主机指向 SharePoint Web 前端(WFE)(或负载均衡器),而不是别名(CName记录)。
本文使用以下值:
- 内部 URL:
https://sharepoint. - 外部 URL:
https://spsites-demo1984.msappproxy.net/. - SharePoint Web 应用程序的应用程序池帐户:
Contoso\spapppool。
步骤 1:在使用应用程序代理的 Microsoft Entra ID 中配置应用程序
在此步骤中,将在使用应用程序代理的 Microsoft Entra 租户中创建应用程序。 可设置外部 URL,并指定内部 URL,以便稍后用于 SharePoint。
根据说明,按以下设置创建应用程序。 有关分步说明,请参阅使用 Microsoft Entra 应用程序代理发布应用程序。
-
内部 URL:稍后在 SharePoint 中设置的 SharePoint 内部 URL,例如
https://sharepoint。 -
预身份验证:
Microsoft Entra ID. -
翻译标头中的 URL:
No。 -
在应用程序正文中翻译 URL:
No。
-
内部 URL:稍后在 SharePoint 中设置的 SharePoint 内部 URL,例如
发布应用后,请按照以下步骤配置单一登录设置。
- 在门户中的应用程序页上,选择“单一登录”。
- 对于 单一登录模式,请选择 集成 Windows 身份验证。
- 将 内部应用程序服务主体名称(SPN) 设置为前面设置的值。 在此示例中,该值为
HTTP/sharepoint。 - 在“委派的登录标识”下,为 Active Directory 林配置选择最适合的选项。 例如,如果林中只有一个 Active Directory 域,则选择“本地 SAM 帐户名称”(如以下屏幕截图所示)。 但是,如果你的用户与 SharePoint 和专用网络连接器服务器不在同一域中,请选择 “本地用户主体名称 ”(屏幕截图中未显示)。
完成应用程序设置,转到 “用户和组” 部分,并分配用户访问此应用程序。
步骤 2:配置 SharePoint Web 应用
SharePoint Web 应用程序必须使用 Kerberos 和相应的备用访问映射进行配置,才能正常与 Microsoft Entra 应用程序代理配合工作。 下面是两种可能的选项:
- 创建新的 Web 应用程序,并仅使用 默认 区域。 使用默认区域是首选选项,它提供了 SharePoint 的最佳体验。 例如,SharePoint 生成的电子邮件警报中的链接指向 默认 区域。
- 扩展现有 Web 应用程序以在非默认区域中配置 Kerberos。
重要
无论使用的区域如何,SharePoint Web 应用程序的应用程序池帐户都必须是 Kerberos 正常工作的域帐户。
创建 SharePoint Web 应用程序
该脚本演示了使用 默认 区域创建新的 Web 应用程序的示例。 使用默认区域是首选选项。
启动 SharePoint 命令行管理程序 并运行脚本。
# This script creates a web application and configures the Default zone with the internal/external URL needed to work with Azure AD application proxy # Edit variables below to fit your environment. Note that the managed account must exist and it must be a ___domain account $internalUrl = "https://sharepoint" $externalUrl = "https://spsites-demo1984.msappproxy.net/" $applicationPoolManagedAccount = "Contoso\spapppool" $winAp = New-SPAuthenticationProvider -UseWindowsIntegratedAuthentication -DisableKerberos:$false $wa = New-SPWebApplication -Name "SharePoint - AAD Proxy" -Port 443 -SecureSocketsLayer -URL $externalUrl -ApplicationPool "SharePoint - AAD Proxy" -ApplicationPoolAccount (Get-SPManagedAccount $applicationPoolManagedAccount) -AuthenticationProvider $winAp New-SPAlternateURL -Url $internalUrl -WebApplication $wa -Zone Default -Internal打开 SharePoint 管理中心 网站。
在“系统设置”下,选择“配置备用访问映射”。 此时将打开“备用访问映射集合”框。
使用新的 Web 应用程序筛选显示。
如果将现有 Web 应用程序扩展到新区域。
启动 SharePoint 命令行管理程序并运行以下脚本。
# This script extends an existing web application to Internet zone with the internal/external URL needed to work with Azure AD application proxy # Edit variables below to fit your environment $webAppUrl = "http://spsites/" $internalUrl = "https://sharepoint" $externalUrl = "https://spsites-demo1984.msappproxy.net/" $winAp = New-SPAuthenticationProvider -UseWindowsIntegratedAuthentication -DisableKerberos:$false $wa = Get-SPWebApplication $webAppUrl New-SPWebApplicationExtension -Name "SharePoint - AAD Proxy" -Identity $wa -SecureSocketsLayer -Zone Extranet -Url $externalUrl -AuthenticationProvider $winAp New-SPAlternateURL -Url $internalUrl -WebApplication $wa -Zone Extranet -Internal
`. 打开 SharePoint 管理中心 网站。
在“系统设置”下,选择“配置备用访问映射”。 此时将打开“备用访问映射集合”框。
使用经过扩展的 Web 应用程序过滤显示。
确保 SharePoint Web 应用在域帐户下运行
若要确定运行 SharePoint Web 应用的应用程序池的帐户,并确保该帐户是域帐户,请按照以下步骤操作:
打开 SharePoint 管理中心 网站。
转到“安全”并选择“配置服务帐户”。
选择“Web 应用程序池 - YourWebApplicationName”。
确认为此 组件选择帐户 会返回一个域帐户,并记住该帐户,因为在下一步中使用它。
确保为 Extranet 区域的 IIS 站点配置了 HTTPS 证书
由于内部 URL 使用 HTTPS 协议 (https://SharePoint/),因此必须在 Internet Information Services (IIS) 站点上设置证书。
打开 Windows PowerShell 控制台。
运行以下脚本以生成自签名证书,并将其添加到计算机的
MY store内。# Replace "SharePoint" with the actual hostname of the Internal URL of your Azure AD proxy application New-SelfSignedCertificate -DnsName "SharePoint" -CertStoreLocation "cert:\LocalMachine\My"重要
自签名证书仅适用于测试目的。 在生产环境中,我们强烈建议改用由证书颁发机构颁发的证书。
打开 Internet Information Services Manager 控制台。
在树视图中展开服务器,展开“站点”,选择站点“SharePoint - Microsoft Entra ID 代理”,然后选择“绑定”。
依次选择“HTTPS 绑定”、“编辑” 。
在传输层安全性(TLS)证书字段中,选择 SharePoint 证书,然后选择“ 确定”。
现在可以通过 Microsoft Entra 应用程序代理从外部访问 SharePoint 站点。
步骤 3:配置 Kerberos 约束委派
用户最初在 Microsoft Entra ID 中进行身份验证,然后使用 Kerberos 通过 Microsoft Entra 专用网络连接器访问 SharePoint。 若要让连接器代表 Microsoft Entra 用户获取 Kerberos 令牌,必须使用协议转换配置 Kerberos 约束委派 (KCD)。 若要了解有关 KCD 的详细信息,请参阅 Kerberos 约束委派概述。
为 SharePoint 服务帐户设置服务主体名称(SPN)
在本文中,内部 URL 是 https://sharepoint,因此服务主体名称 (SPN) 是 HTTP/sharepoint。 用户必须将这些值替换为与其环境相对应的值。
若要为 SharePoint 应用程序池帐户 HTTP/sharepoint 注册 SPN Contoso\spapppool,请以域管理员身份在命令提示符下运行以下命令:
setspn -S HTTP/sharepoint Contoso\spapppool
Setspn 命令会先搜索 SPN,然后再进行添加。 如果此 SPN 已经存在,则用户会看到“SPN 值重复”错误。 删除现有的 SPN。 通过使用 -L 选项运行 Setspn 命令,验证 SPN 是否已成功添加。 若要了解有关命令的详细信息,请参阅 Setspn。
确保连接器受信任,可委派给添加到 SharePoint 应用程序池帐户的 SPN
配置 KCD,使 Microsoft Entra 应用程序代理服务能够向 SharePoint 应用程序池帐户委托用户标识。 通过启用专用网络连接器来为在 Microsoft Entra ID 中进行身份验证的用户检索 Kerberos 票证,从而配置 KCD。 然后,该服务器会将上下文传递给目标应用程序(在本例中为 SharePoint)。
若要配置 KCD,请对每个连接器计算机执行以下步骤:
以域管理员身份登录域控制器,然后打开“Active Directory 用户和计算机”。
查找运行 Microsoft Entra 专用网络连接器的计算机。 在本例中,是运行 SharePoint Server 的计算机。
双击此计算机,然后选择“委派”选项卡。
确保将委派选项设置为“仅信任此计算机来委派指定的服务”。 然后,选择“使用任意身份验证协议”。
选择“添加”按钮,选择“用户或计算机”,然后找到 SharePoint 应用程序池帐户。 例如:
Contoso\spapppool。在 SPN 列表中,选择之前为服务帐户创建的帐户。
选择“确定”,然后再次选择“确定”以保存更改内容。
现在,可以使用外部 URL 登录 SharePoint,并使用 Azure 进行身份验证。
排查登录错误
如果登录到站点不起作用,可以在连接器日志中获取有关问题的详细信息:从运行连接器的计算机打开事件查看器,转到 应用程序和服务日志>Microsoft>Microsoft Entra 专用网络>连接器,并检查 管理员 日志。