Configurare ADFS

Si applica a: Windows Azure Pack

Come primo passaggio dell'abilitazione di Windows Azure Active Directory Federation Services (AD FS) per Windows Azure Pack per Windows Server, è necessario configurare AD FS come illustrato nei passaggi seguenti.

Per configurare ADFS

1. Se si utilizza un'istanza di ADFS esistente, effettuare le operazioni seguenti:

   1. In AD FS usare l'indirizzo seguente per aggiungere il portale di gestione per amministratori e portale di gestione per i tenant come relying party:

      <URI> del portale/federationMetadata/2007-06/Federationmetadata.xml

      Sostituire <l'URI> del portale con gli indirizzi del portale di gestione per gli amministratori e il portale di gestione per i tenant.

      Ad esempio: https://www.contosotenant.com/federationMetadata/2007-06/Federationmetadata.xml

   2. Applicare le regole di trasformazione seguenti al portale di gestione per i tenant:

      • Trasforma gruppi Active Directory in attestazioni basate su gruppo

      • Trasforma indirizzo di posta elettronica in attestazioni UPN

   3. Ignorare i passaggi rimanenti e continuare con Configure the management portals to trust AD FS.

2. Se si configura una nuova istanza di ADFS, abilitare il ruolo ADFS nel computer che si desidera utilizzare per ADFS.

3. Accedere al computer come amministratore di dominio. Sono disponibili due opzioni per configurare AD FS: eseguire il cmdlet Install-AdfsFarm o eseguire uno script.

   • Eseguire il cmdlet Install-AdfsFarm per configurare AD FS.

     Install-AdfsFarm –CertificateThumbprint <String> -FederationServiceName <String> -ServiceAccountCredential <PSCredential> -SQLConnectionString <String>
     

     Per eseguire il cmdlet Install-AdfsFarm, è necessario specificare le informazioni seguenti.

     Parametro del cmdlet	Informazioni necessarie
     –CertificateThumbprint	Identificazione digitale del certificato SSL. Il certificato deve essere installato nel <local_machine>\Archivio personale.
     -FederationServiceName	Nome di dominio completo (FQDN) del servizio ADFS.
     -ServiceAccountCredential	Account di servizio del dominio per eseguire ADFS.
     -SQLConnectionString	Stringa di connessione SQL a un istanza di Microsoft SQL Server per ospitare i database ADFS.

   • In alternativa, per configurare ADFS eseguire lo script seguente.

     Nota

     È necessario installare makecert.exe prima di eseguire lo script. In alternativa, è possibile utilizzare IIS per creare un certificato autofirmato e superare l'identificazione digitale nello script.

     # Set these values:
     $domainName = 'contoso.com'
     $adfsPrefix = 'AzurePack-adfs'
     $username = 'username' 
     $password = 'password'
     $dnsName = ($adfsPrefix + "." + $domainName)
     
     # Generate Self Signed Certificate
     Import-Module -Name 'PKI','WebAdministration'
     # You must install makecert.exe before running this script. Alternatively use the IIS UI to create a self-signed certificate and pass the thumbprint in this script
     
     $item = Get-Item -Path 'IIS:\SslBindings\0.0.0.0!443' -ErrorAction SilentlyContinue
     if (!$item)
     {
     MakeCert.exe -n "CN=$dnsName" -r -pe -sky exchange -ss My -sr LocalMachine -eku 1.3.6.1.5.5.7.3.1
     cert = ,(Get-ChildItem 'Cert:\LocalMachine\My' | Where-Object { $_.Subject -eq "CN=$dnsName" })[0]
     }
     $thumbprint = $cert.Thumbprint
     $securePassword = ConvertTo-SecureString -String $password -Force -AsPlainText
     $adfsServiceCredential = New-Object -TypeName System.Management.Automation.PSCredential -ArgumentList ($domainname + '\' + $username), $securePassword
     
     # If you want to install AD FS with a database, provide this data. Otherwise it will install with the Windows Internal Database (which should be enabled 
     # prior to configuring AD fS)
     $dbServer = 'AzurePack-SQl'
     $dbUsername = 'sa'
     $dbPassword = '<SQL_password>'
     $adfsSqlConnectionString = [string]::Format('Data Source={0};Initial Catalog=master;User ID={1};Password={2}', $dbServer, $dbUsername, $dbPassword)
     
     # Configure AD FS
     Install-AdfsFarm `
         -CertificateThumbprint $thumbprint `
         -FederationServiceName $dnsName `
         -ServiceAccountCredential $adfsServiceCredential `
         -SQLConnectionString $adfsSqlConnectionString `
         -OverwriteConfiguration
     

   Suggerimento

   Se vengono visualizzati messaggi di errore relativi a nomi dell'entità servizio (SPN) duplicati, usare lo strumento Setspn per rimuovere l'SPN e quindi per aggiungerlo di nuovo come segue:

   1. Da un prompt dei comandi del computer ADFS, eseguire lo strumento Setspn per rimuovere l'SPN duplicato:

      setspn -u -d http/$dnsname $username

   2. Da un prompt dei comandi del computer ADFS, eseguire lo strumento Setspn per aggiungere un nuovo SPN:

      setspn -u -s http/$dnsname $username

   Per altre informazioni su SPN, vedere la pagina MSDN relativa ai nomi dell'entità servizio.

Passaggi successivi

• Configurare i portali di gestione perché considerino attendibile ADFS