Konfigurieren von AD FS

Gilt für: Windows Azure Pack

Als erster Schritt zum Aktivieren von Windows Azure Active Directory Verbunddiensten (AD FS) für Windows Azure Pack für Windows Server müssen Sie AD FS konfigurieren, wie in den folgenden Schritten beschrieben.

So konfigurieren Sie AD FS

1. Wenn Sie vorhandene AD FS verwenden, gehen Sie wie folgt vor:

   1. Verwenden Sie in AD FS die folgende Adresse, um das Verwaltungsportal für Administratoren und Verwaltungsportale für Mandanten als vertrauende Parteien hinzuzufügen:

      <Portal-URI>/federationMetadata/2007-06/Federationmetadata.xml

      Ersetzen Sie <den Portal-URI> durch die Adressen des Verwaltungsportals für Administratoren und das Verwaltungsportal für Mandanten.

      Zum Beispiel, https://www.contosotenant.com/federationMetadata/2007-06/Federationmetadata.xml

   2. Wenden Sie die folgenden Transformationsregeln auf das Verwaltungsportal für Mandanten an:

      • AD-Gruppen in Gruppenforderungen transformieren

      • E-Mail-Adressen in UPN-Forderungen transformieren

   3. Überspringen Sie die übrigen Schritte, und wechseln Sie zu Configure the management portals to trust AD FS.

2. Wenn Sie neue AD FS einrichten, aktivieren Sie auf dem Computer, den Sie für AD FS verwenden möchten, die AD FS-Rolle.

3. Melden Sie sich als Domänenadministrator beim Computer an. Sie haben zwei Optionen zum Konfigurieren von AD FS: Führen Sie das Cmdlet Install-AdfsFarm aus, oder führen Sie ein Skript aus.

   • Führen Sie das Cmdlet Install-AdfsFarm aus, um AD FS zu konfigurieren.

     Install-AdfsFarm –CertificateThumbprint <String> -FederationServiceName <String> -ServiceAccountCredential <PSCredential> -SQLConnectionString <String>
     

     Sie müssen die folgenden Informationen angeben, um das Cmdlet Install-AdfsFarm auszuführen.

     Cmdlet-Parameter	Benötigte Informationen
     –CertificateThumbprint	Secure Sockets Layer (SSL)-Zertifikatfingerabdruck. Das Zertifikat sollte im <local_machine>\Mein Speicher installiert werden.
     -FederationServiceName	Vollqualifizierter Domänenname (FQDN) des AD FS-Service.
     -ServiceAccountCredential	Das Domänendienstkonto, um AD FS auszuführen.
     -SQLConnectionString	SQL-Verbindungszeichenfolge für eine Instanz von Microsoft SQL Server, um die AD FS-Datenbanken zu hosten.

   • Oder führen Sie das folgende Skript aus, um AD FS zu konfigurieren.

     Hinweis

     Sie müssen makecert.exe installieren, bevor Sie dieses Skript ausführen. Alternativ können Sie IIS verwenden, um ein selbstsigniertes Zertifikat zu erstellen und den Fingerabdruck in diesem Skript zu übergeben.

     # Set these values:
     $domainName = 'contoso.com'
     $adfsPrefix = 'AzurePack-adfs'
     $username = 'username' 
     $password = 'password'
     $dnsName = ($adfsPrefix + "." + $domainName)
     
     # Generate Self Signed Certificate
     Import-Module -Name 'PKI','WebAdministration'
     # You must install makecert.exe before running this script. Alternatively use the IIS UI to create a self-signed certificate and pass the thumbprint in this script
     
     $item = Get-Item -Path 'IIS:\SslBindings\0.0.0.0!443' -ErrorAction SilentlyContinue
     if (!$item)
     {
     MakeCert.exe -n "CN=$dnsName" -r -pe -sky exchange -ss My -sr LocalMachine -eku 1.3.6.1.5.5.7.3.1
     cert = ,(Get-ChildItem 'Cert:\LocalMachine\My' | Where-Object { $_.Subject -eq "CN=$dnsName" })[0]
     }
     $thumbprint = $cert.Thumbprint
     $securePassword = ConvertTo-SecureString -String $password -Force -AsPlainText
     $adfsServiceCredential = New-Object -TypeName System.Management.Automation.PSCredential -ArgumentList ($domainname + '\' + $username), $securePassword
     
     # If you want to install AD FS with a database, provide this data. Otherwise it will install with the Windows Internal Database (which should be enabled 
     # prior to configuring AD fS)
     $dbServer = 'AzurePack-SQl'
     $dbUsername = 'sa'
     $dbPassword = '<SQL_password>'
     $adfsSqlConnectionString = [string]::Format('Data Source={0};Initial Catalog=master;User ID={1};Password={2}', $dbServer, $dbUsername, $dbPassword)
     
     # Configure AD FS
     Install-AdfsFarm `
         -CertificateThumbprint $thumbprint `
         -FederationServiceName $dnsName `
         -ServiceAccountCredential $adfsServiceCredential `
         -SQLConnectionString $adfsSqlConnectionString `
         -OverwriteConfiguration
     

   Tipp

   Wenn Sie Fehlermeldungen über doppelte Dienstprinzipalnamen (SPN) erhalten, verwenden Sie das Setspn-Tool, um den SPN zu entfernen und dann wie folgt erneut hinzuzufügen:

   1. Führen Sie das Setspn-Tool über eine Eingabeaufforderung auf dem AD FS-Computer aus, um den doppelten SPN zu entfernen:

      setspn -u -d http/$dnsname $username

   2. Führen Sie das Setspn-Tool über eine Eingabeaufforderung auf dem AD FS-Computer aus, um einen neuen SPN hinzuzufügen:

      setspn -u -s http/$dnsname $username

   Weitere Informationen zum SPN finden Sie auf der MSDN-Seite zu Dienstprinzipalnamen.

Nächste Schritte

• Konfigurieren der Verwaltungsportale, um AD FS zu vertrauen