Aktivieren der Windows-Authentifizierung für Microsoft Azure Pack: Websites

Gilt für: Windows Azure Pack

Windows Azure Pack: Websites unterstützen die Websiteintegration mit Active Directory für die Authentifizierung. Mithilfe der Anwendungspoolunterstützung kann eine Website auch mit einer bestimmten Identität ausgeführt werden, die zum Herstellen einer Verbindung mit Datenbankressourcen verwendet wird.

Damit die Active Directory-Authentifizierung aktiviert werden kann, müssen die folgenden Bedingungen zutreffen:

• Alle Website-Workerrollen müssen mit derselben Active Directory-Domäne verknüpft werden.

• Nachdem eine Websitecloud mit einer Active Directory-Domäne verknüpft ist, können nur Worker, die Teil der gleichen Domäne sind, der Cloud hinzugefügt werden.

Sie können die Active Directory-Authentifizierung mithilfe des Verwaltungsportals oder über PowerShell-Befehle aktivieren.

Verwaltungsportal

Aktivieren der Integration der Active Directory-Authentifizierung in Websites durch den Administrator

So aktivieren Sie Active Directory über das Admin-Portal

1. Öffnen Sie die Registerkarte " Websitewebsite-Konfigurieren" .

2. Wählen Sie im Abschnitt "Allgemeine Einstellungen" unter den folgenden drei Optionen für die Website-Windows Authentifizierung aus:

   Einstellung	Beschreibung
   Deaktiviert	Deaktiviert die Windows-Authentifizierung für die Websites in der Cloud.
   Zulassen	Aktiviert die Windows-Authentifizierung, sodass Mandanten diese auf ihren Websites aktivieren können.
   Anfordern	Erfordert, dass alle Websites in der Cloud die Windows-Authentifizierung nutzen.

Wenn Windows-Authentifizierung auf "Erforderlich" festgelegt ist, verfügen alle Mandantenwebsites in der Website cloud über die Active Directory-Integration in ihre Websites. Dies bedeutet, dass ein Website-Mandant keine nicht authentifizierte Erfahrung festlegen kann. Die Einstellung "Erforderlich " stellt Sicherheiten für den Administrator der Websites bereit, dass alle Websites gesichert wurden.

Wenn Windows-Authentifizierung auf "Zulassen" festgelegt ist, können Mandanten entscheiden, ob ihre Websites in Active Directory für die Authentifizierung integriert werden sollen. Wenn "Zulassen " aktiviert ist, können Mandanten einzelne Seiten auf ihrer Website bearbeiten, um keine Authentifizierung erforderlich zu machen.

Mandantenaktivierung der Active Directory-Authentifizierung für eine Website

Mandanten können die Active Directory-Integration auf der Registerkarte "Konfigurieren " des Verwaltungsportals für ihre Website aktivieren. Die Option zum Konfigurieren der Active Directory-Integration ist nur aktiviert, wenn der Administrator diese für die Website-Cloud aktiviert hat, zu der die Website gehört. Mandanten können abhängig von den Einstellungen, die vom Cloudadministrator vorgenommen werden, die Active Directory-Integration deaktivieren, aktivieren oder erforderlich machen.

So konfigurieren Sie Active Directory für eine Mandantenwebsite im Mandantenverwaltungsportal

1. Öffnen Sie die Registerkarte "Konfigurieren " der Website.

2. Wählen Sie im Abschnitt "Allgemein" die folgenden drei Optionen für die Windows Authentifizierung aus:

   Einstellung	Beschreibung
   Deaktiviert	Deaktiviert die Windows-Authentifizierung für die Website.
   Zulassen	Ermöglicht die Nutzung der Windows-Authentifizierung auf der Website.
   Anfordern	Für die gesamte Website muss die Windows-Authentifizierung verwendet werden.

Wenn Windows Authentifizierung auf "Erforderlich" festgelegt ist, werden alle Seiten der Website durch die Active Directory-Authentifizierung geschützt. Die Einstellung "Erforderlich " stellt sicher, dass der Websitebesitzer nicht deaktiviert werden kann, auch wenn mehrere Entwickler dieselbe Website aktualisieren.

Wenn Windows Authentifizierung auf "Zulassen" festgelegt ist, wird die Website durch Active Directory für die Authentifizierung geschützt. Allerdings können Entwickler von Websites diese weiterhin für einzelne Seiten der Website deaktivieren.

Wenn der Cloudsystemadministrator die Active Directory-Authentifizierung auf "Erforderlich" festgelegt hat, kann der Mandant sie für ihre Website nicht deaktivieren.

Aktivieren der Anwendungspoolidentität für Websites durch den Administrator

Die Anwendungspoolidentitäten können nur aktiviert werden, wenn alle Worker in der Website-Cloud mit derselben Active Directory-Domäne verknüpft sind. Administratoren können das Feature "Anwendungspoolidentität" auf der Registerkarte "Cloud Konfigurieren " der Website verwalten.

So aktivieren Sie die Anwendungspoolidentität mithilfe des Cloud-Admin-Portals

1. Öffnen Sie die Registerkarte " Websitewebsite-Konfigurieren" .

2. Legen Sie im Abschnitt "Allgemeine Einstellungen" benutzerdefinierte Anwendungspoolidentität auf "Zulassen" fest.

Aktivierung der Anwendungspoolidentität durch Mandanten

Die Anwendungspoolidentitäten können für eine Website nur aktiviert werden, wenn der Website-Cloudadministrator die Verwendung von benutzerdefinierten Anwendungspoolidentitäten für die Website-Cloud aktiviert hat, zu der die Website gehört. Mandanten können die Anwendungspoolidentität auf der Registerkarte "Konfigurieren " des Verwaltungsportals ihrer Website aktivieren.

So aktivieren Sie die benutzerdefinierten Anwendungspoolidentitäten im Verwaltungsportal der Mandantenwebsite

1. Öffnen Sie die Registerkarte " Websitewebsite-Konfigurieren" .

2. Legen Sie im Abschnitt "Allgemeine Einstellungen" benutzerdefinierte Anwendungspoolidentität auf "Zulassen" fest.

3. Geben Sie den Benutzernamen und das Kennwort ein, mit denen die Website ausgeführt wird.

Nach Abschluss dieser Einstellung kann für die Website die bereitgestellte Identität verwendet werden, um eine Verbindung mit Datenbanken herzustellen, die in derselben Domäne wie der Benutzer vorhanden sind, oder einen Verbund für diese erstellen.

PowerShell

Importieren des PowerShell-Websitemoduls

Um die erforderlichen PowerShell-Befehle zu aktivieren, führen Sie zunächst den folgenden Befehl aus, um das PowerShell-Websitemodul zu importieren:

Import-Module WebSites

Erstellen einer Website

Wenn Sie noch keine Website haben, können Sie eine erstellen, indem Sie das Azure Pack Windows Azure Pack: Web Sites Management Portal verwenden oder das folgende PowerShell-Cmdlet verwenden. Ersetzen Sie im Beispiel contoso, adatum und contoso.fabrikam.com durch den Namen Ihrer Website, Ihre Abonnement-ID und den Hostnamen, den Sie verwenden.

New-WebSitesSite -Name contoso -SubscriptionId adatum -HostNames contoso.fabrikam.com

Aktivieren der NTLM Windows-Authentifizierung für eine Microsoft Azure Pack-Website

Um Windows-Authentifizierung für Ihre Website zu aktivieren, führen Sie das folgende Cmdlet auf dem Controller mithilfe der Option "Zulassen" aus. Die Option "Erforderlich" kann verwendet werden, wenn Sie die Authentifizierungskonfigurationsabschnitte in der applicationhost.config Datei der Website sperren möchten und verhindern, dass web.config Datei auf der Website oder jede Anwendung auf der Website außer Kraft gesetzt wird. Ersetzen Sie im folgenden Beispiel einDatum durch Ihre Abonnement-ID und contoso durch den Namen Ihrer Website.

Set-WebSitesSiteConfig -SubscriptionId adatum -Name contoso –WindowsAuthEnabled {Allow | Erforderlich}

Aktivieren der Kerberos Windows-Authentifizierung für eine Microsoft Azure Pack-Website

Zum Aktivieren von Kerberos für eine Microsoft Azure Pack-Website gehört Folgendes:

1. Führen Sie die gleichen Befehle zum Aktivieren der Windows-Authentifizierung aus, die Sie auch für die Aktivierung der NTLM-basierten Windows-Authentifizierung verwenden.

2. Erstellen Sie einen Domänenbenutzer auf dem Domänenserver.

3. Fügen Sie einen Dienstprinzipalnamen (SPN) für jeden Hostnamen in der Website hinzu, der Kerberos unterstützt.

4. Weisen Sie den Domänenbenutzer zur AppPool-Identität für Ihr Abonnement zu.

Diese Schritte werden im Detail wie folgt erläutert.

1. Aktivieren sie Windows-Authentifizierung

Führen Sie das folgende Cmdlet im Controller mithilfe der Option "Zulassen" aus. Ersetzen Sie im Beispiel einDatum durch Ihre Abonnement-ID und contoso durch den Namen Ihrer Website.

Set-WebSitesSiteConfig -SubscriptionId adatum -Name contoso –WindowsAuthEnabled {Allow | Erforderlich}

2. Erstellen Eines Domänenbenutzers auf dem Domänenserver

Um einen Domänenbenutzer zu erstellen, führen Sie den folgenden Befehl auf dem Domänenserver aus. Ersetzen Sie lowprivilegeduser und kennwort durch Werte, die für Ihre Umgebung geeignet sind.

net users /add lowprivilegeduserpassword

3. Fügen Sie einen Dienstprinzipalnamen (SPN) für jeden Hostnamen auf der Website hinzu, der Kerberos unterstützt.

Führen Sie den folgenden Befehl auf dem Domänenserver aus, um einen Dienstprinzipalnamen (SPN) für jeden Hostnamen auf der Website hinzuzufügen, der Kerberos unterstützt. Ersetzen Sie contoso.fabrikam.com, Domänenname und lowprivilegeduser durch die Werte, die Ihrer Umgebung entsprechen.

Setspn -S http/contoso.fabrikam.comdomainname\lowprivilegeduser

4. Weisen Sie dem Domänenbenutzer auf dem Windows Azure Pack Web Sites Controller den Domänenbenutzer dem Anwendungspool zu.

Führen Sie die folgenden Schritte auf dem Microsoft Azure Pack-Website-Controller durch, um dem Anwendungspool den von Ihnen erstellten Domänenbenutzer zuzuweisen. Führen Sie die folgenden Befehle in einem neuen PowerShell-Fenster aus. Ersetzen Sie adatum, contoso, domainname, lowprivilegeduser und kennwort durch die Werte, die Ihrer Umgebung entsprechen.

Add-PSSnapin WebHostingSnapin
Set-WebSitesSiteConfig -SubscriptionId adatum -Name contoso -CustomAppPoolIdentity $true -SiteRuntimeUser domainname\lowprivilegeduser -SiteRuntimeUserPassword password

Deaktivieren der Windows-Authentifizierung für eine Microsoft Azure Pack-Website

Wenn Sie Windows-Authentifizierung deaktivieren möchten, führen Sie den folgenden PowerShell-Befehl aus. Ersetzen Sie im Beispiel adatum durch Ihre Abonnement-ID und contoso durch den Namen Ihrer Website.

Set-WebSitesSiteConfig -SubscriptionId adatum -Name contoso –WindowsAuthEnabled Off

Aktivieren der integrierten SQL-Authentifizierung für eine Microsoft Azure Pack-Website

Zum Aktivieren der integrierten SQL-Authentifizierung für eine Microsoft Azure Pack-Website gehören die folgenden Schritte:

1. Erstellen Sie einen Domänenbenutzer auf dem Domänenserver.

2. Gewähren Sie dem Domänenbenutzer Berechtigungen für die Datenbank.

3. Weisen Sie den Domänenbenutzer zur AppPool-Identität für Ihr Abonnement zu.

Diese Schritte werden im Detail wie folgt erläutert.

1. Erstellen Eines Domänenbenutzers auf dem Domänenserver

Um einen Domänenbenutzer zu erstellen, führen Sie den folgenden Befehl auf dem Domänenserver aus. Ersetzen Sie lowprivilegeduser und password durch die Werte, die Ihrer Umgebung entsprechen.

net users /add lowprivilegeduserpassword

2. Erteilen Sie auf SQL Server den Domänenbenutzerdatenbankberechtigungen

Um dem von Ihnen erstellten Domänenbenutzer Berechtigungen für die Datenbank zu gewähren, führen Sie die folgenden Befehle in SQL Server aus. Ersetzen Sie "usersdatabasename", "domainname\lowprivilegeduser" und "lowPrivilegedDBUser" durch die Werte, die Ihrer Umgebung entsprechen.

benutzerdatabasename verwenden;

CREATE LOGIN [domainname\lowprivilegeduser] FROM WINDOWS;

CREATE USER lowPrivilegedDBUser FOR LOGIN [domainname\lowprivilegeduser];

EXEC sp_addrolemember 'db_datareader', lowPrivilegedDBUser;

3. Weisen Sie dem Anwendungspool den Domänenbenutzer auf dem Windows Azure Pack-Website-Controller zu.

Führen Sie die folgenden Schritte auf dem Microsoft Azure Pack-Website-Controller durch, um dem Anwendungspool den von Ihnen erstellten Domänenbenutzer zuzuweisen. Führen Sie die folgenden Befehle in einem neuen PowerShell-Fenster aus. Ersetzen Sie adatum, contoso, domänenname, lowprivilegeduser und kennwort durch die Werte, die Ihrer Umgebung entsprechen.

Add-PSSnapin WebHostingSnapin Set-WebSitesSiteConfig -SubscriptionId adatum -Name contoso -CustomAppPoolIdentity $true -SiteRuntimeUser domainname\lowprivilegeduser -SiteRuntimeUserPassword password