Configurare i portali di gestione perché considerino attendibile ADFS
Si applica a: Windows Azure Pack
Dopo aver configurato Active Directory Federations Services (AD FS), è necessario configurare il portale di gestione per gli amministratori e il portale di gestione per i tenant per considerare attendibile AD FS. È possibile eseguire il cmdlet Set-MgmtSvcRelyingPartySettings o eseguire uno script di Windows PowerShell.
Opzione 1: eseguire il cmdlet Set-MgmtSvcRelyingPartySettings
Eseguire il cmdlet Set-MgmtSvcRelyingPartySettings in ogni computer in cui è installato l'amministratore o il portale tenant.
Prima di eseguire il cmdlet Set-MgmtSvcRelyingPartySettings, assicurarsi che il computer configurato possa accedere all'endpoint dei metadati del servizio Web AD FS. Per verificare l'accesso, aprire un browser e passare allo stesso URI che si intende utilizzare per il parametro - MetadataEndpoint. Se è possibile visualizzare il file con estensione xml, è possibile accedere all'endpoint di metadati della federazione.
Eseguire ora il cmdlet Set-MgmtSvcRelyingPartySettings.
Set-MgmtSvcRelyingPartySettings -Target Tenant -MetadataEndpoint https://<fqdn>/FederationMetadata/2007-06/FederationMetadata.xml -DisableCertificateValidation -ConnectionString 'Server=<some server>;User Id=<user with write permissions to all config databases>;Password=<password>;'La tabella seguente mostra le informazioni necessarie per eseguire il cmdlet Set-MgmtSvcRelyingPartySettings.
Parametro del cmdlet
Informazioni necessarie
-Target
Questo parametro viene utilizzato per indicare il portale da configurare. Valori possibili: Amministrazione, Tenant.
-MetadataEndpoint
Endpoint di metadati del servizio Web ADFS. Usare un URI valido, accessibile e completo, nel formato seguente: https:// AD FS>/FederationMetadata/2007-06/FederationMetadata.xml<. Nei cmdlet seguenti sostituire $fqdn con un nome di dominio completo (FQDN) di ADFS accessibile.
-ConnectionString
Stringa di connessione all'istanza di Microsoft SQL Server che ospita il database di configurazione dei portali di gestione.
Opzione 2: eseguire uno script di Windows PowerShell
Anziché utilizzare il cmdlet, è possibile eseguire lo script di Windows PowerShell seguente in ogni computer in cui è installato il portale per amministratori o il portale per tenant.
$domainName = 'mydomain.com' $adfsPrefix = 'AzurePack-adfs' $dnsName = ($adfsPrefix + "." + $domainName) # Enter Sql Server details here $dbServer = 'AzurePack-sql' $dbUsername = 'sa' $dbPassword = '<SQL_password>' $connectionString = [string]::Format('Data Source={0};User ID={1};Password={2}', $dbServer, $dbUsername, $dbPassword) # Note: Use the \"DisableCertificateValidation\" switch only in test environments. In production environments, # all SSL certificates should be valid. Set-MgmtSvcRelyingPartySettings -Target Tenant ` -MetadataEndpoint https://$dnsName/FederationMetadata/2007-06/FederationMetadata.xml ` -DisableCertificateValidation -ConnectionString $connectionString
Aggiungere utenti per avere accesso al portale di gestione per gli amministratori
Se si vuole aggiungere utenti per avere accesso al portale di gestione per gli amministratori, è necessario eseguire il cmdlet Add-MgmtSvcAdminUser nel computer che ospita l'API di Amministrazione. La stringa di connessione deve puntare al database di configurazione dei portali di gestione.
Nell'esempio di codice seguente viene illustrata l'aggiunta di utenti cui consentire l'accesso.
$adminuser = 'domainuser1@mydomain.com' $dbServer = 'AzurePack-sql' $dbUsername = 'sa' $dbPassword = 'SQL_Password' $connectionString = [string]::Format('Server= {0} ;Initial Catalog=Microsoft.MgmtSvc.Store;User Id={1};Password={2};',$dbServer, $dbUsername, $dbPassword) Add-MgmtSvcAdminUser -Principal $adminuser -ConnectionString $connectionstringNota
-
Il formato di $dbuser deve corrispondere al nome dell'entità utente (UPN) inviato da ADFS.
-
Gli utenti amministratore devono essere singoli utenti. Non è possibile aggiungere gruppi Active Directory come utenti amministratore.
-