Abilitare l'autenticazione di Windows per Microsoft Azure Pack: Siti Web
Si applica a: Windows Azure Pack
Windows Azure Pack: Siti Web supporta l'integrazione del sito Web con Active Directory per l'autenticazione. Il supporto del pool di applicazioni consente inoltre l'esecuzione di un sito Web con un'identità specificata usata per connettersi alle risorse del database.
Nota
La funzionalità di identità del pool di applicazioni non supporta attualmente tutti gli scenari pass-through e funziona solo con i database.
Per potere abilitare l'autenticazione di Active Directory, devono verificarsi le condizioni seguenti:
Tutti i ruoli Worker del sito Web devono far parte dello stesso dominio di Active Directory.
Dopo che un cloud di siti Web viene aggiunto a un dominio di Active Directory, è possibile aggiungere al cloud solo i ruoli Worker che fanno parte dello stesso dominio.
È possibile abilitare l'autenticazione di Active Directory tramite il portale di gestione o i comandi di PowerShell.
Portale di gestione
Abilitare a livello amministrativo l'integrazione dell'autenticazione di Active Directory con i siti Web
Per abilitare Active Directory tramite il portale di amministrazione
Aprire la scheda Configurazione cloud sito Web.
Nella sezione Generale Impostazioni scegliere tra le tre opzioni seguenti per l'autenticazione del sito Web Windows:
Impostazione
Descrizione
Disattivato
Disabilita l'autenticazione di Windows per i siti Web nel cloud
Consentito
Abilita l'autenticazione di Windows in modo che i tenant possano abilitarla nei propri siti Web
Richiedi
Richiede a tutti i siti Web nel cloud di usare l'autenticazione di Windows
Quando autenticazione di Windows è impostato su Richiedi, tutti i siti Web tenant nel cloud del sito Web avranno l'integrazione di Active Directory nei siti Web. Ciò significa che un tenant del sito Web non può impostare un'esperienza non autenticata. L'impostazione Richiedi fornisce garanzie all'amministratore siti Web che tutti i siti Web sono stati protetti.
Quando autenticazione di Windows è impostato in modo amministrativo su Consenti, i tenant possono decidere se vogliono che i siti vengano integrati con Active Directory per l'autenticazione. Quando Consenti è abilitato, i tenant possono modificare singole pagine nel sito Web per non richiedere l'autenticazione.
Abilitazione dell'autenticazione di Active Directory per un sito Web da parte dei tenant
I tenant possono abilitare l'integrazione di Active Directory nella scheda Configura del portale di gestione per il sito Web. L'opzione per configurare l'integrazione di Active Directory viene abilitata solo se l'amministratore l'ha abilitata per il cloud di siti Web a cui appartiene il sito Web. A seconda delle impostazioni configurate dall'amministratore del cloud, i tenant possono disabilitare l'integrazione di Active Directory, abilitarla o renderla necessaria.
Per configurare Active Directory per un sito Web tenant nel portale di gestione del tenant
Aprire la scheda Configura del sito Web.
Nella sezione Generale scegliere tra le tre opzioni seguenti per Windows Autenticazione:
Impostazione
Descrizione
Disattivato
Disabilita l'autenticazione di Windows per il sito Web
Consentito
Abilita l'autenticazione di Windows da usare nel sito Web
Richiedi
Richiede a tutto il sito Web di usare l'autenticazione di Windows
Quando Windows l'autenticazione è impostata su Richiedi, tutte le pagine del sito sono protette dall'autenticazione di Active Directory. L'impostazione Richiedi garantisce che il proprietario del sito Web che l'autenticazione non possa essere disabilitata, anche se più sviluppatori aggiornano lo stesso sito Web.
Quando Windows Autenticazione è impostata su Consenti, il sito Web è protetto da Active Directory per l'autenticazione. Gli sviluppatori del sito Web tuttavia possono disabilitarla per singole pagine del sito.
Se l'amministratore del sistema cloud ha impostato l'autenticazione di Active Directory su Richiedi, il tenant non può disabilitarlo per il sito Web.
Abilitare a livello amministrativo l'identità del pool di applicazioni per siti Web
Le identità del pool di applicazioni possono essere abilitate solo se tutti i ruoli Worker nel cloud di siti Web fanno parte dello stesso dominio di Active Directory. Gli amministratori possono gestire la funzionalità di identità del pool di applicazioni dalla scheda Configurazione cloud sito Web.
Per abilitare l'identità del pool di applicazioni tramite il portale di amministrazione del cloud
Aprire la scheda Configurazione cloud sito Web.
Nella sezione Generale Impostazioni impostare Identità pool di applicazioni personalizzate su Consenti.
Abilitazione dell'identità del pool di applicazioni da parte dei tenant
È possibile abilitare le identità del pool di applicazioni per un sito Web solo se l'amministratore del cloud di siti Web ha abilitato l'uso delle identità del pool di applicazioni personalizzate per il cloud di siti Web a cui appartiene il sito Web. I tenant possono abilitare l'identità del pool di applicazioni nella scheda Configura del portale di gestione del sito Web.
Per abilitare le identità del pool di applicazioni personalizzate nel portale di gestione del sito Web tenant
Aprire la scheda Configurazione cloud sito Web.
Nella sezione Generale Impostazioni impostare Identità pool di applicazioni personalizzate su Consenti.
Fornire il nome utente e la password con cui deve essere eseguito il sito Web.
Al termine di questa impostazione, il sito Web può usare l'identità fornita per connettersi ai database che si trovano nello stesso dominio dell'utente o a cui sono federati.
PowerShell
Importare il modulo WebSites di PowerShell
In primo luogo, per abilitare i comandi di PowerShell necessari, eseguire il comando seguente per importare il modulo WebSites di PowerShell:
Import-Module Siti Web
Creare un sito Web
Se non si dispone già di un sito Web, è possibile crearne uno usando il Windows Azure Pack: Portale di gestione siti Web oppure usare il cmdlet di PowerShell seguente. Nell'esempio sostituire contoso, adatum e contoso.fabrikam.com con il nome del sito Web, l'ID sottoscrizione e il nome host che verrà usato.
New-WebSitesSite -Name contoso -SubscriptionId adatum -HostNames contoso.fabrikam.com
Abilitare l'autenticazione di Windows NTLM per un sito Web di Microsoft Azure Pack
Per abilitare autenticazione di Windows per il sito Web, eseguire il cmdlet seguente nel controller usando l'opzione Consenti. L'opzione Obbligatoria può essere usata quando si desidera bloccare le sezioni di configurazione di autenticazione nel file di applicationhost.config del sito e impedire qualsiasi file web.config nel sito o qualsiasi applicazione nel sito, dall'override. Nell'esempio seguente sostituire adatum con l'ID sottoscrizione e contoso con il nome del sito Web.
Set-WebSitesSiteConfig -SubscriptionId adatum -Name contoso –WindowsAuthEnabled {Allow | Obbligatorio}
Abilitare l'autenticazione di Windows Kerberos per un sito Web di Microsoft Azure Pack
L'abilitazione di Kerberos per un sito Web di Microsoft Azure Pack prevede i passaggi seguenti:
Eseguire gli stessi comandi per abilitare l'autenticazione di Windows usati per l'abilitazione dell'autenticazione di Windows basata su NTLM.
Creare un utente di dominio nel server di dominio.
Aggiungere un nome dell'entità servizio (SPN) per ogni nome host nel sito che supporterà Kerberos.
Assegnare l'utente di dominio all'identità appPool per la sottoscrizione.
Questi passaggi sono illustrati in dettaglio come segue.
1. Abilitare autenticazione di Windows
Eseguire il cmdlet seguente nel controller usando l'opzione Consenti. Nell'esempio sostituire adatum con l'ID sottoscrizione e contoso con il nome del sito Web.
Set-WebSitesSiteConfig -SubscriptionId adatum -Name contoso –WindowsAuthEnabled {Allow | Obbligatorio}
2. Nel server di dominio creare un utente di dominio
Per creare un utente di dominio, eseguire il seguente comando nel server di dominio. Sostituire lowprivilegeduser e password con valori appropriati per l'ambiente.
net users /add lowprivilegeduserpassword
3. Aggiungere un nome dell'entità servizio (SPN) per ogni nome host nel sito che supporterà Kerberos
Per aggiungere un nome dell'entità servizio (SPN) per ogni nome host nel sito che supporterà Kerberos, eseguire il seguente comando nel server di dominio. Sostituire contoso.fabrikam.com, nome dominio e lowprivilegeduser con i valori corrispondenti all'ambiente.
Setpn -S http/contoso.fabrikam.comdomainname\lowprivilegeduser
4. Nel Windows Controller siti Web di Azure Pack assegnare l'utente di dominio al pool di applicazioni
Per assegnare l'utente di dominio creato al pool di applicazioni, eseguire la procedura seguente nel Controller di Siti Web di Microsoft Azure Pack. In una nuova finestra di PowerShell eseguire i seguenti comandi. Sostituire adatum, contoso, domainname, lowprivilegeduser e password con i valori corrispondenti all'ambiente.
Add-PSSnapin WebHostingSnapin
Set-WebSitesSiteConfig -SubscriptionId adatum -Name contoso -CustomAppPoolIdentity $true -SiteRuntimeUser domainname\lowprivilegeduser -SiteRuntimeUserPassword password
Disabilitare l'autenticazione di Windows per un sito Web di Microsoft Azure Pack
Se è necessario disabilitare l'autenticazione di Windows, eseguire il seguente comando di PowerShell. Nell'esempio sostituire adatum con l'ID sottoscrizione e contoso con il nome del sito Web.
Set-WebSitesSiteConfig -SubscriptionId adatum -Name contoso –WindowsAuthEnabled Off
Abilitare l'autenticazione integrata SQL per un sito Web di Microsoft Azure Pack
L'abilitazione dell'autenticazione integrata SQL per un sito Web di Microsoft Azure Pack prevede i passaggi seguenti:
Creare un utente di dominio nel server di dominio.
Concedere all'utente di dominio le autorizzazioni per il database.
Assegnare l'utente di dominio all'identità appPool per la sottoscrizione.
Questi passaggi sono illustrati in dettaglio come segue.
1. Nel server di dominio creare un utente di dominio
Per creare un utente di dominio, eseguire il seguente comando nel server di dominio. Sostituire lowprivilegeduser e password con i valori corrispondenti all'ambiente.
net users /add lowprivilegeduserpassword
2. In SQL Server concedere le autorizzazioni del database utente di dominio
Per concedere all'utente di dominio creato le autorizzazioni per il database, eseguire i seguenti comandi in SQL Server. Sostituire usersdatabasename, domainname\lowprivilegeduser e lowPrivilegedDBUser con i valori corrispondenti all'ambiente.
usare usersdatabasename;
CREATE LOGIN [domainname\lowprivilegeduser] FROM WINDOWS;
CREATE USER lowPrivilegedDBUser FOR LOGIN [domainname\lowprivilegeduser];
EXEC sp_addrolemember 'db_datareader', lowPrivilegedDBUser;
3. Nel Windows Controller siti Web di Azure Pack assegnare l'utente di dominio al pool di applicazioni
Per assegnare l'utente di dominio creato al pool di applicazioni, eseguire la procedura seguente nel Controller di Siti Web di Microsoft Azure Pack. In una nuova finestra di PowerShell eseguire i seguenti comandi. Sostituire adatum, contoso, domainname, lowprivilegeduser e password con i valori corrispondenti all'ambiente.
Add-PSSnapin WebHostingSnapin Set-WebSitesSiteConfig -SubscriptionId adatum -Name contoso -CustomAppPoolIdentity $true -SiteRuntimeUser domainname\lowprivilegeduser -SiteRuntimeUserPassword password