Configurare Active Directory Federation Services per Windows Azure Pack

  • Articolo

 

Si applica a: Windows Azure Pack

Per impostazione predefinita, Windows Azure Pack per Windows Server usa l'autenticazione seguente.

Servizio

Autenticazione predefinita

Portale di gestione per amministratori

Autenticazione di Windows

Portale di gestione per tenant

Provider di appartenenze ASP.Net

Invece di usare questi tipi di autenticazione predefiniti, è anche possibile configurare Windows Azure Pack per l'uso di Windows Azure Active Directory Federation Services (AD FS) per l'autenticazione, come descritto nei passaggi seguenti. Questa opzione richiede Windows Server 2012 R2.

Per tornare all'autenticazione predefinita, vedere Tornare ai siti di autenticazione predefiniti Windows Azure Pack

Nota

Nelle informazioni seguenti si presuppone che ADFS non sia già configurato nell'ambiente. Se ADFS è già stato configurato, è possibile ignorare il primo passaggio e continuare direttamente con il passaggio Configure AD FS to trust the management portals.

  1. Configurare ADFS

  2. Configurare i portali di gestione perché considerino attendibile ADFS

  3. Configurare il sito di autenticazione tenant perché consideri attendibile ADFS

  4. Configurare ADFS perché consideri attendibile ogni portale di gestione

Procedure consigliate

Prima di configurare ADFS, esaminare le procedure consigliate seguenti.

  • Il formato dei gruppi di utenti specificati dall'installazione di ADFS deve corrispondere al formato immesso nell'interfaccia utente. Il formato prescritto per l'aggiunta di gruppi Active Directory come coamministratori è dominio\alias.

  • Il proprietario della sottoscrizione deve essere un singolo utente e non un gruppo.

  • È in genere consigliabile utilizzare un indirizzo di posta elettronica come identificatore univoco. I generatori di attestazioni personalizzate consentono un GUID o altri identificatori univoci, ma questi rendono più complessa l'aggiunta di coamministratori o di singoli utenti e il loro utilizzo è in genere sconsigliato.

  • Per impostazione predefinita, tramite ADFS viene impostato un cookie sul lato client per tenere traccia della selezione dell'utente per i metodi di autenticazione. È possibile disabilitare questa operazione eseguendo il cmdlet di Windows PowerShell per ADFS:

    Set-ADFSWebConfig –HRDCookieEnabled $false

Per altre informazioni sulla distribuzione e la manutenzione di una farm ADFS, vedere l'articolo Panoramica di Active Directory Federation Services.