Configurare ADFS
Si applica a: Windows Azure Pack
Come primo passaggio dell'abilitazione di Windows Azure Active Directory Federation Services (AD FS) per Windows Azure Pack per Windows Server, è necessario configurare AD FS come illustrato nei passaggi seguenti.
Per configurare ADFS
Se si utilizza un'istanza di ADFS esistente, effettuare le operazioni seguenti:
In AD FS usare l'indirizzo seguente per aggiungere il portale di gestione per amministratori e portale di gestione per i tenant come relying party:
<URI> del portale/federationMetadata/2007-06/Federationmetadata.xml
Sostituire <l'URI> del portale con gli indirizzi del portale di gestione per gli amministratori e il portale di gestione per i tenant.
Ad esempio: https://www.contosotenant.com/federationMetadata/2007-06/Federationmetadata.xml
Applicare le regole di trasformazione seguenti al portale di gestione per i tenant:
Trasforma gruppi Active Directory in attestazioni basate su gruppo
Trasforma indirizzo di posta elettronica in attestazioni UPN
Ignorare i passaggi rimanenti e continuare con Configure the management portals to trust AD FS.
Se si configura una nuova istanza di ADFS, abilitare il ruolo ADFS nel computer che si desidera utilizzare per ADFS.
Accedere al computer come amministratore di dominio. Sono disponibili due opzioni per configurare AD FS: eseguire il cmdlet Install-AdfsFarm o eseguire uno script.
Eseguire il cmdlet Install-AdfsFarm per configurare AD FS.
Install-AdfsFarm –CertificateThumbprint <String> -FederationServiceName <String> -ServiceAccountCredential <PSCredential> -SQLConnectionString <String>
Per eseguire il cmdlet Install-AdfsFarm, è necessario specificare le informazioni seguenti.
Parametro del cmdlet
Informazioni necessarie
–CertificateThumbprint
Identificazione digitale del certificato SSL. Il certificato deve essere installato nel <local_machine>\Archivio personale.
-FederationServiceName
Nome di dominio completo (FQDN) del servizio ADFS.
-ServiceAccountCredential
Account di servizio del dominio per eseguire ADFS.
-SQLConnectionString
Stringa di connessione SQL a un istanza di Microsoft SQL Server per ospitare i database ADFS.
In alternativa, per configurare ADFS eseguire lo script seguente.
Nota
È necessario installare makecert.exe prima di eseguire lo script. In alternativa, è possibile utilizzare IIS per creare un certificato autofirmato e superare l'identificazione digitale nello script.
# Set these values: $domainName = 'contoso.com' $adfsPrefix = 'AzurePack-adfs' $username = 'username' $password = 'password' $dnsName = ($adfsPrefix + "." + $domainName) # Generate Self Signed Certificate Import-Module -Name 'PKI','WebAdministration' # You must install makecert.exe before running this script. Alternatively use the IIS UI to create a self-signed certificate and pass the thumbprint in this script $item = Get-Item -Path 'IIS:\SslBindings\0.0.0.0!443' -ErrorAction SilentlyContinue if (!$item) { MakeCert.exe -n "CN=$dnsName" -r -pe -sky exchange -ss My -sr LocalMachine -eku 1.3.6.1.5.5.7.3.1 cert = ,(Get-ChildItem 'Cert:\LocalMachine\My' | Where-Object { $_.Subject -eq "CN=$dnsName" })[0] } $thumbprint = $cert.Thumbprint $securePassword = ConvertTo-SecureString -String $password -Force -AsPlainText $adfsServiceCredential = New-Object -TypeName System.Management.Automation.PSCredential -ArgumentList ($domainname + '\' + $username), $securePassword # If you want to install AD FS with a database, provide this data. Otherwise it will install with the Windows Internal Database (which should be enabled # prior to configuring AD fS) $dbServer = 'AzurePack-SQl' $dbUsername = 'sa' $dbPassword = '<SQL_password>' $adfsSqlConnectionString = [string]::Format('Data Source={0};Initial Catalog=master;User ID={1};Password={2}', $dbServer, $dbUsername, $dbPassword) # Configure AD FS Install-AdfsFarm ` -CertificateThumbprint $thumbprint ` -FederationServiceName $dnsName ` -ServiceAccountCredential $adfsServiceCredential ` -SQLConnectionString $adfsSqlConnectionString ` -OverwriteConfiguration
Suggerimento
Se vengono visualizzati messaggi di errore relativi a nomi dell'entità servizio (SPN) duplicati, usare lo strumento Setspn per rimuovere l'SPN e quindi per aggiungerlo di nuovo come segue:
-
Da un prompt dei comandi del computer ADFS, eseguire lo strumento Setspn per rimuovere l'SPN duplicato:
setspn -u -d http/$dnsname $username
-
Da un prompt dei comandi del computer ADFS, eseguire lo strumento Setspn per aggiungere un nuovo SPN:
setspn -u -s http/$dnsname $username
Per altre informazioni su SPN, vedere la pagina MSDN relativa ai nomi dell'entità servizio.