Configurar AD FS

Se aplica a: Windows Azure Pack

Como primer paso para habilitar Windows Azure Active Directory Servicios de federación (AD FS) para Windows Azure Pack para Windows Server, debe configurar AD FS como se explica en los pasos siguientes.

Para configurar AD FS

1. Si utiliza un AD FS existente, haga lo siguiente:

   1. En AD FS, use la siguiente dirección para agregar el portal de administración para administradores y portal de administración para inquilinos como usuarios de confianza:

      <URI> del portal/federationMetadata/2007-06/Federationmetadata.xml

      Reemplace <el URI> del portal por las direcciones del portal de administración para los administradores y el portal de administración para los inquilinos.

      Por ejemplo: https://www.contosotenant.com/federationMetadata/2007-06/Federationmetadata.xml

   2. Aplique las siguientes reglas de transformación al portal de administración para los inquilinos:

      • Transformar grupos de AD en notificaciones de 'Grupos'

      • Transformar dirección de correo electrónico en notificaciones de UPN

   3. Omita los pasos restantes y vaya a Configure the management portals to trust AD FS.

2. Si está configurando un nuevo AD FS, en el equipo que desea utilizar para AD FS, habilite el rol AD FS.

3. Inicie sesión en el equipo como controlador de dominio. Tiene dos opciones para configurar AD FS: ejecute el cmdlet Install-AdfsFarm o ejecute un script.

   • Ejecute el cmdlet Install-AdfsFarm para configurar AD FS.

     Install-AdfsFarm –CertificateThumbprint <String> -FederationServiceName <String> -ServiceAccountCredential <PSCredential> -SQLConnectionString <String>
     

     Debe proporcionar la siguiente información para ejecutar el cmdlet Install-AdfsFarm.

     Parámetro del cmdlet	Información necesaria
     –CertificateThumbprint	Huella digital de certificado de Capa de sockets seguros (SSL). El certificado debe instalarse en la <local_machine>\Mi almacén.
     -FederationServiceName	Nombre de dominio completo (FQDN) del servicio AD FS.
     -ServiceAccountCredential	Cuenta de servicio de dominio para ejecutar AD FS.
     -SQLConnectionString	Cadena de conexión SQL a una instancia de Microsoft SQL Server para hospedar las bases de datos de AD FS.

   • O bien, ejecute el siguiente script para configurar AD FS.

     Nota:

     Debe instalar makecert.exe antes de ejecutar este script. O bien, puede utilizar IIS para crear un certificado autofirmado y pasar la huella digital en este script.

     # Set these values:
     $domainName = 'contoso.com'
     $adfsPrefix = 'AzurePack-adfs'
     $username = 'username' 
     $password = 'password'
     $dnsName = ($adfsPrefix + "." + $domainName)
     
     # Generate Self Signed Certificate
     Import-Module -Name 'PKI','WebAdministration'
     # You must install makecert.exe before running this script. Alternatively use the IIS UI to create a self-signed certificate and pass the thumbprint in this script
     
     $item = Get-Item -Path 'IIS:\SslBindings\0.0.0.0!443' -ErrorAction SilentlyContinue
     if (!$item)
     {
     MakeCert.exe -n "CN=$dnsName" -r -pe -sky exchange -ss My -sr LocalMachine -eku 1.3.6.1.5.5.7.3.1
     cert = ,(Get-ChildItem 'Cert:\LocalMachine\My' | Where-Object { $_.Subject -eq "CN=$dnsName" })[0]
     }
     $thumbprint = $cert.Thumbprint
     $securePassword = ConvertTo-SecureString -String $password -Force -AsPlainText
     $adfsServiceCredential = New-Object -TypeName System.Management.Automation.PSCredential -ArgumentList ($domainname + '\' + $username), $securePassword
     
     # If you want to install AD FS with a database, provide this data. Otherwise it will install with the Windows Internal Database (which should be enabled 
     # prior to configuring AD fS)
     $dbServer = 'AzurePack-SQl'
     $dbUsername = 'sa'
     $dbPassword = '<SQL_password>'
     $adfsSqlConnectionString = [string]::Format('Data Source={0};Initial Catalog=master;User ID={1};Password={2}', $dbServer, $dbUsername, $dbPassword)
     
     # Configure AD FS
     Install-AdfsFarm `
         -CertificateThumbprint $thumbprint `
         -FederationServiceName $dnsName `
         -ServiceAccountCredential $adfsServiceCredential `
         -SQLConnectionString $adfsSqlConnectionString `
         -OverwriteConfiguration
     

   Sugerencia

   Si aparece un mensaje de error sobre el duplicado de nombres de entidad de seguridad de servicios (SPN), use la herramienta Setspn para eliminar y volver a agregar el SPN de la siguiente manera:

   1. Desde el símbolo del sistema en la máquina AD FS, ejecute la herramienta Setspn para eliminar el SPN duplicado:

      setspn -u -d http/$dnsname $username

   2. Desde el símbolo del sistema en la máquina AD FS, ejecute la herramienta Setspn para agregar un nuevo SPN:

      setspn -u -s http/$dnsname $username

   Para más información sobre SPN, visite la página de MSDN sobre Service Principal Names.

Pasos siguientes

• Configurar los portales de administración para confiar en AD FS