Windows Azure Pack 用の Active Directory フェデレーション サービスの構成

  • [アーティクル]

 

適用対象: Azure Pack Windows

既定では、azure Pack for Windows Server Windowsでは、次の認証が使用されます。

サービス

既定の認証

管理者用の管理ポータル

Windows 認証

テナント用の管理ポータル

ASP.Net メンバーシップ プロバイダー

これらの既定の認証の種類を使用する代わりに、次の手順で説明するように、認証に Windows Azure Active Directory フェデレーション サービス (AD FS) を使用するように Azure Pack Windows構成することもできます。 このオプションは R2 Windows Server 2012必要です。

既定の認証に切り替える場合は、「Azure Pack 認証サイトを既定のWindowsに切り替える」を参照してください

注意

以下の情報は、使用する環境で AD FS をまだ構成していないことを前提としています。 AD FS を構成済みの場合は、最初の手順を省略して直接「 Configure AD FS to trust the management portals」に進んでください。

  1. AD FS の構成

  2. AD FS を信頼するように管理ポータルを構成する

  3. AD FS を信頼するようにテナント認証サイトを構成する

  4. 管理ポータルを信頼するように AD FS を構成する

ベスト プラクティス

AD FS を構成する前に、次のベスト プラクティスを検討します。

  • AD FS のインストールによって指定されたユーザー グループの形式が UI に入力した形式と一致している必要があります。 共同管理者として AD グループを追加するための指定された形式は domain\alias です。

  • サブスクリプション所有者は、グループではなく、個々のユーザーである必要があります。

  • 一般的には、一意識別子として電子メール アドレスを使用することをお勧めします。 カスタム要求ジェネレーターによって、GUID またはその他の一意識別子を割り当てることができますが、これらを使用すると共同管理者の追加や個々のユーザーの追加が複雑になるため、通常は使用しないでください。

  • 既定では、ユーザーが選択した認証方式を追跡するために、AD FS によってクライアント エンドでクッキーが設定されます。 次の AD FS Windows PowerShell コマンドレットを実行して、このアクションを無効にすることができます。

    Set-ADFSWebConfig –HRDCookieEnabled $false

AD FS ファームのデプロイとメンテナンスの詳細については、「 Active Directory フェデレーション サービスの概要」を参照してください。