Riconfigurare gli FQDN e le porte in Windows Azure Pack

Articolo
09/07/2016

Si applica a: Windows Azure Pack

Windows Azure Pack per Windows Server usa il sistema di autenticazione basato su attestazioni per autenticare e autorizzare gli utenti. Questa autenticazione viene eseguita da un servizio token di sicurezza esterno del provider di identità (IdP-STS, Identity Provider Security Token Service). Il sistema considera attendibile il servizio IdP-STS per verificare l'identità degli utenti e fornire un set di attestazioni attendibile su ogni utente. È necessario stabilire una relazione di trust bidirezionale con IdP-STS durante Windows configurazione di Azure Pack in modo che le modifiche dell'endpoint vengano comunicate correttamente ai componenti interessati.

Per stabilire questa relazione di trust, i componenti di Azure Pack seguenti Windows espongono le informazioni sui metadati.

Portale di gestione per tenant
Portale di gestione per amministratori
Sito di autenticazione tenant
Sito di autenticazione di amministrazione

I dati esposti contengono tutte le informazioni di trust necessarie, incluse le informazioni sull'endpoint dei diversi componenti. Le informazioni sull'endpoint vengono usate per reindirizzare gli utenti al servizio IdP-STS e tornare a Windows Azure Pack.

Di conseguenza, a ogni modifica della configurazione dell'endpoint per un componente, è necessario aggiornare le informazioni sui metadati e ristabilire la relazione di trust utilizzando i metadati aggiornati.

Windows l'installazione e la configurazione di Azure Pack fornisce valori predefiniti per le informazioni sui metadati e sugli endpoint esposti. Per impostazione predefinita, Windows Azure Pack usa il computer e il nome di dominio come nome di dominio completo (FQDN) di ogni componente. Vengono inoltre impostati numeri di porta predefiniti per ogni componente.

Se, ad esempio, il nome host del computer tenant è "mytenantmachine" e il dominio è "contoso.com", la configurazione predefinita del portale tenant sarà https://mytenantmachine.contoso.com:30081.

In alcuni scenari è necessario modificare i valori predefiniti degli endpoint. Ad esempio:

Se si aggiorna il certificato SSL autofirmato predefinito di un componente a un certificato reale, l'FQDN del componente deve corrispondere a quello del certificato.
Se si utilizza un servizio di bilanciamento del carico tra più istanze di un componente, è necessario utilizzare l'endpoint del servizio di bilanciamento del carico anziché quello di ogni istanza del componente.
Se si modificano le porte predefinite, è necessario aggiornare le impostazioni della porta Windows Azure Pack. Ad esempio, la modifica alla porta HTTPS predefinita 443 richiede di aggiornare le impostazioni della porta Windows Azure Pack.

In questi casi, è necessario aggiornare le informazioni sui metadati e ristabilire la relazione di trust come descritto nei passaggi seguenti.

Per aggiornare l'FQDN e le impostazioni delle porte

Eseguire il cmdlet Set-MgmtSvcFqdn nel computer da aggiornare.

Set-MgmtSvcFqdn –Namespace <Namsepace Token> -ConnectionString <Connection String> [-FQDN <FQDN>] [-Port <port>] [-Verbose]

Parametro	Obbligatoria/facoltativa	Dettagli
-ConnectionString	Necessario	Questo parametro definisce la stringa di connessione all'SQL Server che ospita gli archivi di configurazione di Azure Pack Windows. Non è necessario un nome di database (Catalogo iniziale). Le credenziali incluse nella stringa devono disporre di autorizzazioni di scrittura per gli archivi di configurazione. Ad esempio: `$connectionString = “Data Source=$server;User ID=$userId;Password=$password”` $server: indirizzo dell'SQL Server che ospita i database di configurazione del portale di gestione. $userId: un utente SQL con autorizzazioni di scrittura per i database di configurazione del portale di gestione. $password : password per l'account $userId.
-FQDN	Facoltativo	Questo parametro viene utilizzato per specificare il nuovo FQDN per il computer. Sostituire $fqdn con il nuovo FQDN, senza includere il prefisso del protocollo. Ad esempio, mynewfqdn.contoso.com. È possibile omettere questo parametro se non si desidera modificare l'FQDN.
-Namespace	Necessario	Questo parametro viene utilizzato per indicare il componente da configurare. Valori possibili: "AdminSite", "TenantSite", "AuthSite", "WindowsAuthSite".
-Port	Facoltativo	Questo parametro viene utilizzato per definire la nuova porta. Sostituire $port con la nuova porta. ad esempio 443. Nota: l'uso della porta HTTPS 443 predefinita comporta la rimozione della sezione della porta dall'endpoint. È possibile omettere questo parametro se non si desidera modificare la porta.

In Gestione Internet Information Services verificare che i valori di FQDN e porta siano stati aggiornati. Verificare inoltre che l'FQDN corrisponda a quello del certificato SSL.
I valori aggiornati di FQDN e porta verranno propagati ai componenti di destinazione. Per garantire che questa operazione venga effettuata immediatamente, riavviare il sito Web.
Ripetere i passaggi 2 e 3 in tutti i computer che ospitano il componente.
Se necessario, configurare il DNS per l'inoltro delle richieste alla posizione appropriata.
Ristabilire la relazione di trust tra tutti i componenti interessati, come descritto nella sezione seguente.

Ristabilire la relazione di trust

Windows Azure Pack è un'applicazione con riconoscimento delle attestazioni che usa token e attestazioni per autenticare e autorizzare gli utenti finali. Tali applicazioni non utilizzano l'identità dell'autorità emittente di token, a condizione che il token sia conforme ad alcune condizioni, ad esempio se è stato firmato tramite una chiave attendibile. Per altre informazioni, vedere Applicazioni con riconoscimento delle attestazioni.

Con l'autenticazione basata sulle attestazioni, un sistema considera attendibile un servizio token di sicurezza per l'emissione dei relativi token. Tuttavia, ciò non significa necessariamente che il servizio token di sicurezza esegua effettivamente l'autenticazione degli utenti. È possibile che il servizio token di sicurezza deleghi la richiesta di autenticazione degli utenti (o federazione) a un altro servizio token di sicurezza, considerato attendibile dal primo servizio token di sicurezza. Questa catena di servizi token di sicurezza che si considerano reciprocamente attendibili e che delegano le richieste è un sistema comune e flessibile. Le possibili topologie delle relazioni di trust sono innumerevoli. Gli amministratori di sistema devono scegliere la topologia più appropriata per soddisfare i requisiti aziendali.

Ad esempio, è possibile configurare Windows portali di gestione di Azure Pack per considerare attendibile AD FS per autenticare gli utenti. A seconda della configurazione di ADFS, è quindi possibile utilizzare tale componente per effettuare le operazioni seguenti:

Autenticazione diretta degli utenti direttamente gli utenti, utilizzando le credenziali Active Directory dei portali di gestione.
Federazione della richiesta a un altro servizio token di sicurezza.

Nel secondo caso è possibile, ad esempio, utilizzare Access Control di Active Directory di Windows Azure (ACS) come altro servizio token di sicurezza. Il servizio ACS può quindi eseguire nuovamente la federazione della richiesta a un altro servizio token di sicurezza, ad esempio Windows Live. In questo caso, Windows Live autentica effettivamente l'utente utilizzando le credenziali Windows Live. Questo è un modo per abilitare l'autenticazione di Windows Live, Google o Facebook in Windows Azure Pack.

Importante

Poiché gli endpoint vengono utilizzati per reindirizzare gli utenti al componente successivo nella catena di certificati, tutti gli endpoint devono essere configurati correttamente in tutti i componenti per garantire l'esito positivo della federazione.

Se si modifica l'endpoint di un portale di gestione, è necessario aggiornare immediatamente il servizio token di sicurezza considerato attendibile dal portale.

Assicurarsi di aggiornare le modifiche apportate all'FQDN e alla porta nel servizio token di sicurezza per l'URL dei metadati federativi della relying party e quindi di aggiornare i metadati.

Se si modifica un endpoint del servizio token di sicurezza, è necessario aggiornare tutti i componenti che questo considera attendibili, come i portali di gestione e gli altri servizi token di sicurezza.

L'amministratore di sistema deve avere familiarità con la catena di certificati per determinare i componenti da aggiornare in seguito a una modifica della configurazione.

Ristabilire la relazione di trust per i portali di gestione

Se l'endpoint STS è stato immediatamente attendibile da un Windows portale di gestione di Azure Pack è stato modificato, è necessario aggiornare i portali con le nuove informazioni sull'endpoint. A tale scopo, è possibile utilizzare il cmdlet Set-MgmtSvcRelyingPartySettings di PowerShell nei computer interessati.

Set-MgmtSvcRelyingPartySettings -Target <Targets> –MetadataEndpoint <Metadata Endpoint Full URL> [-ConnectionString <Connection String>] [-DisableCertificateValidation] [-PortalConnectionString <Portal Configuration Store Connection String>] [-ManagementConnectionString <Management Store Connection String>]

Parametro	Obbligatoria/facoltativa	Dettagli
Destinazione	Necessario	Questo parametro definisce il set di componenti da aggiornare. Valori consentiti per <Target>: Tenant: utilizzare questo valore per configurare il portale di gestione per tenant, il livello API tenant e quindi il livello API di amministrazione. Admin: utilizzare questo valore per configurare il portale di gestione per amministratori e il livello API di amministrazione. È possibile specificare una singola destinazione o una matrice di destinazioni.
MetadataEndpoint	Necessario	Questo parametro definisce l'URL completo dell'endpoint di metadati del servizio IdP-STS attendibile. Valori consentiti per l'URL completo dell'endpoint<> dei metadati: Un URL valido, ad esempio: http://mysts.contoso.com:1234/FederationMetadata/2007-06/FederationMetadata.xml
ConnectionString	Obbligatorio, a meno che non si utilizzino PortalConnectionString e ManagementConnectionString.	Questo parametro definisce la stringa di connessione al SQL Server che ospita l'archivio di configurazione del portale di Azure Pack Windows. Non è necessario un nome di database (Catalogo iniziale). Se gli archivi di configurazione dei portali o l'archivio di gestione sono ospitati in istanze di SQL Server diverse o utilizzano nomi di database non predefiniti, utilizzare invece i parametri ManagementConnectionString e PortalConnectionString.
DisableCertificateValidation	Facoltativo Non consigliato per gli ambienti di produzione	Questo parametro disabilita la convalida dei certificati SSL. Se non si utilizza questo parametro, il cmdlet non recupererà le informazioni sui metadati se l'endpoint dei metadati utilizza un certificato SSL autofirmato.
PortalConnectionString	Facoltativo, a meno che non si specifichi ConnectionString	Utilizzare questo parametro per sostituire la stringa di connessione predefinita solo per l'archivio di configurazione. Scegliere questa opzione nei casi seguenti: - L'archivio di configurazione del portale si trova in un'istanza di SQL diversa. - L'archivio di configurazione del portale usa credenziali diverse. - Non si vuole usare la stringa di connessione predefinita.
ManagementConnectionString	Facoltativo, a meno che non si specifichi ConnectionString	Utilizzare questo parametro per sostituire la stringa di connessione predefinita solo per l'archivio di gestione. Scegliere questa opzione nei casi seguenti: - L'archivio di gestione WAP si trova in un'istanza di SQL diversa. - L'archivio di gestione usa credenziali diverse. - Non si vuole usare la stringa di connessione predefinita.

Cmdlet di esempio:

Set-MgmtSvcRelyingPartySettings –Target Tenant –MetadataEndpoint ‘https://mysts.contoso.com:12345/FederationMetadata/2007-06/FederationMetadata.xml’ -ConnectionString “Data Source=mysqlserver.contoso.com;User ID=myprivilegeduser;Password=mypassword”

Suggerimento

Questo cmdlet può essere usato in qualsiasi computer in cui vengono installati gli aggiornamenti Windows Azure PowerShell per Windows Azure Pack.
Le impostazioni aggiornate verranno propagate a tutti i componenti interessati. Per una propagazione più veloce, riavviare manualmente i componenti interessati per recuperare immediatamente i nuovi valori di configurazione. Se la destinazione è "Tenant", è necessario riavviare tutti i portali di gestione per tenant, l'API tenant e i componenti API di amministrazione. Se la destinazione è "Admin", è necessario riavviare tutti i portali di gestione per amministratori e i componenti API di amministrazione.

Ristabilire la relazione di trust per i siti di autenticazione

Se l'endpoint STS è stato immediatamente attendibile da un Windows sito di autenticazione di Azure Pack è stato modificato, è necessario aggiornare i siti di autenticazione con le nuove informazioni sull'endpoint. È possibile eseguire questa operazione usando il cmdlet di PowerShell Set-MgmtSvcIdentityProviderSettings cmdlet di PowerShell nei computer pertinenti.

Set-MgmtSvcIdentityProviderSettings -Target <Targets> –MetadataEndpoint <Metadata Endpoint Full URL> [-ConfigureSecondary] [-ConnectionString <Connection String>] [-DisableCertificateValidation] [-PortalConnectionString <Portal Configuration Store Connection String>]

Parametro	Obbligatoria/facoltativa	Dettagli
Destinazione	Necessario	Questo parametro definisce il set di componenti da aggiornare. Valori consentiti per <Target>: Membership: utilizzare questo parametro per configurare il sito di autenticazione tenant (Membership). Windows: utilizzare questo parametro per configurare il sito di autenticazione di amministrazione (Windows). È possibile specificare una singola destinazione o una matrice di destinazioni.
MetadataEndpoint	Necessario	Questo parametro definisce l'URL completo dell'endpoint di metadati del componente attendibile. Valori consentiti per l'URL completo dell'endpoint<> dei metadati: Un URL valido, ad esempio: http://mysts.contoso.com:1234/FederationMetadata/2007-06/FederationMetadata.xml
ConfigureSecondary	Facoltativo	Ogni sito di autenticazione supporta fino a due relying party attendibili. Includere questo parametro per configurare una seconda relying party, anziché sovrascrivere quella predefinita.
ConnectionString	Obbligatorio, a meno che non si utilizzi PortalConnectionString	Questo parametro definisce la stringa di connessione all'SQL Server che ospita gli archivi di configurazione del portale di Azure Pack Windows. Non è necessario un nome di database (Catalogo iniziale). Se l'archivio di configurazione dei portali utilizza un nome di database non predefinito, utilizzare invece il parametro PortalConnectionString.
DisableCertificateValidation	Facoltativo Non consigliato per gli ambienti di produzione	Questo parametro disabilita la convalida dei certificati SSL. Se non si utilizza questo parametro, il cmdlet non recupererà le informazioni sui metadati se l'endpoint dei metadati utilizza un certificato SSL autofirmato.
PortalConnectionString	Facoltativo, a meno che non si specifichi ConnectionString	Utilizzare questo parametro per sostituire la stringa di connessione predefinita solo per l'archivio di configurazione. Scegliere questa opzione nei casi seguenti: - L'archivio di configurazione del portale usa credenziali diverse. - Non si vuole usare la stringa di connessione predefinita.