Konfigurieren von Active Directory-Verbunddiensten für das Windows Azure-Paket

  • Artikel

 

Gilt für: Windows Azure Pack

Standardmäßig verwendet Windows Azure Pack für Windows Server die folgende Authentifizierung.

Dienst

Standardauthentifizierung

Verwaltungsportal für Administratoren

Windows-Authentifizierung

Verwaltungsportal für Mandanten

ASP.Net-Mitgliedschaftsanbieter

Anstatt diese Standardauthentifizierungstypen zu verwenden, haben Sie auch die Möglichkeit, Windows Azure Pack so zu konfigurieren, dass Windows Azure Active Directory Verbunddienste (AD FS) für die Authentifizierung verwendet werden, wie in den folgenden Schritten beschrieben. Diese Option erfordert Windows Server 2012 R2.

Wenn Sie zur Standardauthentifizierung zurückkehren möchten, lesen Sie "Zurück zur Standardauthentifizierung" Windows Azure Pack-Authentifizierungswebsites wechseln

Hinweis

Es wird vorausgesetzt, dass noch keine AD FS in Ihrer Umgebung konfiguriert sind. Wenn Sie AD FS konfiguriert haben, können Sie den ersten Schritt überspringen und direkt mit Configure AD FS to trust the management portalsfortfahren.

  1. Konfigurieren von AD FS

  2. Konfigurieren der Verwaltungsportale, um AD FS zu vertrauen

  3. Konfigurieren der Mandantenauthentifizierungswebsite, um AD FS zu vertrauen

  4. Konfigurieren von AD FS, um den Verwaltungsportalen zu vertrauen

Bewährte Methoden

Berücksichtigen Sie die folgenden empfohlenen Methoden, bevor Sie AD FS konfigurieren.

  • Das Format der Benutzergruppen, die von der AD FS-Installation bereitgestellt werden, sollte dem in der UI eingegebenen Format entsprechen. Das vorgeschriebene Format für das Hinzufügen von AD-Gruppen als Co-Administratoren ist Domäne\Alias.

  • Der Abonnementbesitzer sollte ein einzelner Benutzer und keine Gruppe sein.

  • Es wird im Allgemeinen empfohlen, eine E-Mail-Adresse als eindeutigen Bezeichner zu verwenden. Generatoren von benutzerdefinierten Forderungen lassen eine GUID oder andere eindeutige Bezeichner zu. Ihre Verwendung macht das Hinzufügen von Co-Administratoren oder einzelner Benutzer jedoch komplizierter und sollte im Allgemeinen vermieden werden.

  • Standardmäßig legt AD FS ein Cookie auf Clientseite fest, um die Auswahl des Benutzers im Hinblick auf Authentifizierungsmethoden nachzuverfolgen. Sie können diese Aktion deaktivieren, indem Sie folgendes AD FS Windows PowerShell-Cmdlet ausführen:

    Set-ADFSWebConfig –HRDCookieEnabled $false

Weitere Informationen zur Bereitstellung und Wartung einer AD FS-Farm finden Sie unter Active Directory-Verbunddienste: Übersicht.