Habilitar la autenticación de Windows del Paquete de Microsoft Azure: Sitios web

  • Artículo

 

Se aplica a: Windows Azure Pack

Windows Azure Pack: Los sitios web admiten la integración de sitios web con Active Directory para la autenticación. La compatibilidad con grupos de aplicaciones también permite que un sitio web se ejecute bajo una identidad especificada que se usa para conectarse a recursos de bases de datos.

Nota:

La característica de identidad del grupo de aplicaciones, actualmente, no admite todos los escenarios de paso a través y solo funciona con bases de datos.

Para habilitar la autenticación de Active Directory, deben cumplirse las condiciones siguientes:

  • Todos los roles de trabajo del sitio web deben estar unidos al mismo dominio de Active Directory.

  • Después de unir una nube de sitios web a un dominio de Active Directory, solo pueden agregarse a la nube los trabajadores que forman parte del mismo dominio.

Puede habilitar la autenticación de Active Directory en el Portal de administración o con comandos de PowerShell.

Portal de administración

Habilitar administrativamente la integración de la autenticación de Active Directory con sitios web

Para habilitar Active Directory en el Portal de administración

  1. Abra la pestaña Configuración de la nube del sitio web.

  2. En la sección General Configuración, elija entre las tres opciones siguientes para La autenticación de sitio web Windows:

    Configuración

    Descripción

    Desactivado

    Deshabilita la autenticación de Windows en los sitios web de la nube.

    Permitir

    Habilita la autenticación de Windows para que los inquilinos puedan habilitarla en sus sitios web.

    Require

    Requiere que todos los sitios web de la nube usen la autenticación de Windows.

Cuando autenticación de Windows se establece administrativamente en Requerir, todos los sitios web de inquilino de la nube del sitio web tendrán integración de Active Directory en sus sitios web. Esto significa que los sitios web de inquilinos no pueden establecer experiencias no autenticadas. La opción Requerir proporciona garantías al administrador de sitios web de que todos los sitios web se han protegido.

Cuando autenticación de Windows se establece administrativamente en Permitir, los inquilinos pueden decidir si quieren que sus sitios se integren con Active Directory para la autenticación. Cuando Permitir está habilitado, los inquilinos pueden manipular páginas individuales en su sitio web para no requerir autenticación.

Habilitación de la autenticación de Active Directory en un sitio web por parte de los inquilinos

Los inquilinos pueden habilitar la integración de Active Directory en la pestaña Configurar del Portal de administración para su sitio web. La opción de configurar la integración de Active Directory solo está habilitada si el administrador la habilitó en la nube de sitios web a la que pertenece el sitio web. Según la configuración que realizara el administrador de la nube, los inquilinos podrán deshabilitar la integración de Active Directory, habilitarla o hacer que sea obligatoria.

Para configurar Active Directory para un sitio web de inquilinos en el Portal de administración de inquilinos

  1. Abra la pestaña Configurar del sitio web.

  2. En la sección General, elija entre las tres opciones siguientes para Windows autenticación:

    Configuración

    Descripción

    Desactivado

    Deshabilita la autenticación de Windows en el sitio web.

    Permitir

    Habilita el uso de la autenticación de Windows en el sitio web.

    Require

    Requiere que todo el sitio web utilice la autenticación de Windows.

Cuando Windows autenticación se establece en Requerir, todas las páginas del sitio están protegidas por la autenticación de Active Directory. La opción Requerir garantiza que el propietario del sitio web no se pueda deshabilitar la autenticación, incluso si varios desarrolladores actualizan el mismo sitio web.

Cuando Windows Autenticación se establece en Permitir, el sitio web está protegido por Active Directory para la autenticación. Sin embargo, los desarrolladores de sitios web pueden deshabilitarla en páginas concretas del sitio.

Si el administrador del sistema en la nube ha establecido la autenticación de Active Directory en Requerir, el inquilino no puede deshabilitarlo para su sitio web.

Habilitar administrativamente la identidad del grupo de aplicaciones de los sitios web

Las identidades del grupo de aplicaciones solo pueden habilitarse si todos los trabajadores de la nube de sitios web están unidos al mismo dominio de Active Directory. Los administradores pueden administrar la característica de identidad del grupo de aplicaciones desde la pestaña Configuración de la nube del sitio web.

Para habilitar la identidad del grupo de aplicaciones en el Portal de administración de nube

  1. Abra la pestaña Configuración de la nube del sitio web.

  2. En la sección General Configuración, establezca Identidad de grupo de aplicaciones personalizada en Permitir.

Habilitación de la identidad del grupo de aplicaciones por parte de los inquilinos

Las identidades del grupo de aplicaciones pueden habilitarse para un solo sitio web si el administrador de la nube de sitios web habilitó el uso de identidades del grupo de aplicaciones personalizadas en la nube de sitios web a la que pertenece el sitio web. Los inquilinos pueden habilitar la identidad del grupo de aplicaciones en la pestaña Configurar del Portal de administración de su sitio web.

Para habilitar identidades del grupo de aplicaciones personalizadas en el Portal de administración del sitio web del inquilino

  1. Abra la pestaña Configuración de la nube del sitio web.

  2. En la sección General Configuración, establezca Identidad de grupo de aplicaciones personalizada en Permitir.

  3. Proporcione el nombre de usuario y la contraseña con los que se ejecutará el sitio web.

Cuando complete esta configuración, el sitio web podrá usar la identidad proporcionada para conectarse a las bases de datos que se encuentren en el mismo dominio que el usuario o para federarse a ellas.

PowerShell

Importar el módulo WebSites de PowerShell

En primer lugar, con el fin de habilitar los comandos de PowerShell necesarios, ejecute el siguiente comando para importar el módulo WebSites de PowerShell:

Import-Module WebSites

Crear un sitio web

Si aún no tiene un sitio web, puede crear uno mediante el Windows Azure Pack: Portal de administración de sitios web o puede usar el siguiente cmdlet de PowerShell. En el ejemplo, reemplace contoso, adatum y contoso.fabrikam.com por el nombre del sitio web, el identificador de suscripción y el nombre de host que va a usar.

New-WebSitesSite -Name contoso -SubscriptionId adatum -HostNames contoso.fabrikam.com

Habilitar la autenticación de Windows NTLM en un sitio web del Paquete de Microsoft Azure

Para habilitar autenticación de Windows para el sitio web, ejecute el siguiente cmdlet en el controlador mediante la opción Permitir. La opción Obligatorio se puede usar cuando quiera bloquear las secciones de configuración de autenticación en el archivo applicationhost.config del sitio e impedir que cualquier archivo web.config del sitio, o cualquier aplicación del sitio, lo invalide. En el ejemplo siguiente, reemplace adatum por el identificador de suscripción y contoso por el nombre del sitio web.

Set-WebSitesSiteConfig -SubscriptionId adatum -Name contoso –WindowsAuthEnabled {Allow | Obligatorio}

Habilitar la autenticación de Windows Kerberos en un sitio web del Paquete de Microsoft Azure

Para habilitar Kerberos en un sitio web del Paquete de Microsoft Azure, es necesario lo siguiente:

  1. Para habilitar la autenticación de Windows, emita los mismos comandos que para habilitar la autenticación de Windows basada en NTLM.

  2. Cree un usuario del dominio en el servidor de dominio.

  3. Agregue un nombre de entidad de seguridad de servicio (SPN) por cada nombre de host del sitio que vaya a admitir Kerberos.

  4. Asigne el usuario del dominio a la identidad appPool de su suscripción.

Estos pasos se explican detalladamente a continuación.

1. Habilitar autenticación de Windows

Ejecute el siguiente cmdlet en el controlador mediante la opción Permitir. En el ejemplo, reemplace adatum por el identificador de suscripción y contoso por el nombre del sitio web.

Set-WebSitesSiteConfig -SubscriptionId adatum -Name contoso –WindowsAuthEnabled {Allow | Obligatorio}

2. En el servidor de dominio, cree un usuario de dominio

Para crear un usuario del dominio, ejecute el siguiente comando en el servidor de dominio. Reemplace lowprivilegeduser y password por los valores adecuados para su entorno.

net users /add lowprivilegeduserpassword

3. Agregar un nombre de entidad de seguridad de servicio (SPN) para cada nombre de host del sitio que admitirá Kerberos

Para agregar un nombre de entidad de seguridad de servicio (SPN) por cada nombre de host del sitio que vaya a admitir Kerberos, ejecute el siguiente comando en el servidor de dominio. Reemplace contoso.fabrikam.com, domainname y lowprivilegeduser por los valores correspondientes a su entorno.

Setspn -S http/contoso.fabrikam.comdomainname\lowprivilegeduser

4. En el Windows controlador de sitios web de Azure Pack, asigne el usuario de dominio al grupo de aplicaciones.

Para asignar el usuario del dominio que creó al grupo de aplicaciones, siga estos pasos en el controlador de sitios web del Paquete de Microsoft Azure. En una nueva ventana de PowerShell, ejecute los siguientes comandos. Reemplace adatum, contoso, domainname, lowprivilegeduser y password por los valores correspondientes a su entorno.

Add-PSSnapin WebHostingSnapin
Set-WebSitesSiteConfig -SubscriptionId adatum -Name contoso -CustomAppPoolIdentity $true -SiteRuntimeUser domainname\lowprivilegeduser -SiteRuntimeUserPassword password

Deshabilitar la autenticación de Windows en un sitio web del Paquete de Microsoft Azure

Si necesita deshabilitar la autenticación de Windows, ejecute el siguiente comando de PowerShell. En el ejemplo, reemplace adatum por el identificador de suscripción y contoso por el nombre del sitio web.

Set-WebSitesSiteConfig -SubscriptionId adatum -Name contoso –WindowsAuthEnabled Off

Habilitar la autenticación integrada de SQL en un sitio web del Paquete de Microsoft Azure

Para habilitar la autenticación integrada de SQL en un sitio web del Paquete de Microsoft Azure, es necesario seguir los pasos siguientes:

  1. Cree un usuario del dominio en el servidor de dominio.

  2. Conceda al usuario del dominio permisos para la base de datos.

  3. Asigne el usuario del dominio a la identidad appPool de su suscripción.

Estos pasos se explican detalladamente a continuación.

1. En el servidor de dominio, cree un usuario de dominio

Para crear un usuario del dominio, ejecute el siguiente comando en el servidor de dominio. Reemplace lowprivilegeduser y password por los valores correspondientes a su entorno.

net users /add lowprivilegeduserpassword

2. En SQL Server, conceda permisos de base de datos de usuario de dominio

Para conceder al usuario del dominio que creó permisos para la base de datos, ejecute los siguientes comandos en SQL Server. Reemplace usersdatabasename, domainname\lowprivilegeduser y lowPrivilegedDBUser por los valores correspondientes a su entorno.

use usersdatabasename;

CREATE LOGIN [domainname\lowprivilegeduser] FROM WINDOWS;

CREATE USER lowPrivilegedDBUser FOR LOGIN [domainname\lowprivilegeduser];

EXEC sp_addrolemember 'db_datareader', lowPrivilegedDBUser;

3. En el Windows controlador de sitios web de Azure Pack, asigne el usuario de dominio al grupo de aplicaciones.

Para asignar el usuario del dominio que creó al grupo de aplicaciones, siga estos pasos en el controlador de sitios web del Paquete de Microsoft Azure. En una nueva ventana de PowerShell, ejecute los siguientes comandos. Reemplace adatum, contoso, domainname, lowprivilegeduser y password por los valores correspondientes a su entorno.

Add-PSSnapin WebHostingSnapin Set-WebSitesSiteConfig -SubscriptionId adatum -Name contoso -CustomAppPoolIdentity $true -SiteRuntimeUser domainname\lowprivilegeduser -SiteRuntimeUserPassword password