Configurar los portales de administración para confiar en AD FS
Se aplica a: Windows Azure Pack
Después de configurar Los Servicios de federación de Active Directory (AD FS), debe configurar el portal de administración para que los administradores y el portal de administración de los inquilinos confíen en AD FS. Puede ejecutar el cmdlet Set-MgmtSvcRelyingPartySettings o ejecutar un script de Windows PowerShell.
Opción 1: ejecutar el cmdlet Set-MgmtSvcRelyingPartySettings
Ejecute el cmdlet Set-MgmtSvcRelyingPartySettings en cada máquina donde esté instalado el portal de administrador o inquilino.
Antes de ejecutar el cmdlet Set-MgmtSvcRelyingPartySettings, asegúrese de que la máquina que configure puede acceder al punto de conexión de metadatos del servicio web de AD FS. Para comprobar el acceso, abra un explorador y vaya al mismo URI que piensa usar para el parámetro –MetadataEndpoint. Si puede ver el archivo .xml, puede tener acceso al extremo de metadatos de federación.
Ahora, ejecute el cmdlet Set-MgmtSvcRelyingPartySettings.
Set-MgmtSvcRelyingPartySettings -Target Tenant -MetadataEndpoint https://<fqdn>/FederationMetadata/2007-06/FederationMetadata.xml -DisableCertificateValidation -ConnectionString 'Server=<some server>;User Id=<user with write permissions to all config databases>;Password=<password>;'
En la tabla siguiente se muestra la información necesaria para ejecutar el cmdlet Set-MgmtSvcRelyingPartySettings.
Parámetro del cmdlet
Información necesaria
-Target
Este parámetro se usa para indicar qué portal se va a configurar. Valores posibles: Administración, Tenant.
-MetadataEndpoint
Extremo de metadatos del servicio Web AD FS. Use un URI válido, accesible y completo, en el siguiente formato: https://< AD FS>/FederationMetadata/2007-06/FederationMetadata.xml. En los cmdlets siguientes, reemplace $fqdn con un nombre de dominio completo (FQDN) accesible de AD FS.
-ConnectionString
Cadena de conexión a la instancia de Microsoft SQL Server que hospeda la base de datos de configuración del portal de administración.
Opción 2: ejecutar un script de Windows PowerShell
En lugar de utilizar el cmdlet, puede ejecutar el siguiente script de Windows PowerShell en todos los equipos en los que esté instalado el portal de administrador o de inquilino.
$domainName = 'mydomain.com' $adfsPrefix = 'AzurePack-adfs' $dnsName = ($adfsPrefix + "." + $domainName) # Enter Sql Server details here $dbServer = 'AzurePack-sql' $dbUsername = 'sa' $dbPassword = '<SQL_password>' $connectionString = [string]::Format('Data Source={0};User ID={1};Password={2}', $dbServer, $dbUsername, $dbPassword) # Note: Use the \"DisableCertificateValidation\" switch only in test environments. In production environments, # all SSL certificates should be valid. Set-MgmtSvcRelyingPartySettings -Target Tenant ` -MetadataEndpoint https://$dnsName/FederationMetadata/2007-06/FederationMetadata.xml ` -DisableCertificateValidation -ConnectionString $connectionString
Agregar usuarios para que tengan acceso al portal de administración para administradores
Si desea agregar usuarios para que tengan acceso al portal de administración para los administradores, debe ejecutar el cmdlet Add-MgmtSvcAdminUser en el equipo que hospeda la API de Administración. La cadena de conexión debe apuntar a la base de datos de configuración del Portal de administración.
En el ejemplo de código siguiente se muestra cómo se agregan usuarios para que tengan acceso.
$adminuser = 'domainuser1@mydomain.com' $dbServer = 'AzurePack-sql' $dbUsername = 'sa' $dbPassword = 'SQL_Password' $connectionString = [string]::Format('Server= {0} ;Initial Catalog=Microsoft.MgmtSvc.Store;User Id={1};Password={2};',$dbServer, $dbUsername, $dbPassword) Add-MgmtSvcAdminUser -Principal $adminuser -ConnectionString $connectionstring
Nota:
-
El formato de $dbuser debe coincidir con el nombre principal de usuario (UPN) enviado por AD FS.
-
Los usuarios administradores deben ser usuarios individuales. No puede agregar grupos de AD como usuarios administradores.
-