Windows Azure Pack の FQDN およびポートの再構成

[アーティクル]
09/07/2016

適用対象: Azure Pack Windows

Windows Azure Pack for Windows Server では、クレームベースの認証システムを使用してユーザーを認証および承認します。この認証は、外部の IdP-STS (Identity Provider Security Token Service) によって実行されます。システムでは、IdP-STS を信頼して、ユーザーの ID を確認し、各ユーザーに関する一連の信頼された要求を提供します。エンドポイントの変更が影響を受けるコンポーネントに適切に伝達されるように、Azure Pack 構成Windows中に IdP-STS との双方向の信頼関係を確立する必要があります。

この信頼関係を確立するために、次のWindows Azure Pack コンポーネントはメタデータ情報を公開します。

テナント用の管理ポータル
管理者用の管理ポータル
テナント認証サイト
管理者認証サイト

公開されたデータには、別のコンポーネントのエンドポイント情報を含むすべての必要な信頼情報が含まれます。エンドポイント情報は、ユーザーを IdP-STS にリダイレクトし、Azure Pack Windowsに戻すために使用されます。

したがって、コンポーネントのエンドポイント構成が変更されるたびに、メタデータ情報を更新し、更新されたメタデータを使用して信頼関係を再構築する必要があります。

Azure Pack のインストールと構成Windows、公開されているメタデータとエンドポイント情報の既定値が提供されます。既定では、Windows Azure Pack では、各コンポーネントの完全修飾ドメイン名 (FQDN) としてマシンとドメイン名が使用されます。また、各コンポーネントの定義済みポート番号を設定します。

たとえば、テナントのコンピューターのホスト名が "mytenantmachine" で、ドメインが "contoso.com" の場合、テナントポータルの既定の設定は https://mytenantmachine.contoso.com:30081 です。

場合によっては、既定のエンドポイントの値を変更する必要があります。次に例を示します。

コンポーネントの既定の自己署名 SSL 証明書を実際の証明書に更新する場合、コンポーネントの FQDN は証明書の FQDN と一致している必要があります。
コンポーネントの複数インスタンスでロードバランサーを使用する場合、各コンポーネントインスタンスのエンドポイントはなく、ロードバランサーのエンドポイントを使用する必要があります。
定義済みのポートを変更する場合は、Windows Azure Pack ポート設定を更新する必要があります。たとえば、既定の HTTPS ポート 443 に変更するには、Windows Azure Pack ポート設定を更新する必要があります。

このような場合、次の手順で説明しているように、メタデータ情報を更新し、信頼関係を再確立する必要があります。

FQDN およびポート設定を更新するには

更新するコンピューターで Set-MgmtSvcFqdn コマンドレットを実行します。

Set-MgmtSvcFqdn –Namespace <Namsepace Token> -ConnectionString <Connection String> [-FQDN <FQDN>] [-Port <port>] [-Verbose]

パラメーター	必須/省略可能	説明
-ConnectionString	必須	このパラメーターは、Windows Azure Pack 構成ストアをホストするSQL Serverへの接続文字列を定義します。データベース名 (Initial Catalog) は必須ではありません。文字列に含まれる資格情報には、構成ストアに対する書き込みアクセス許可が必要です。次に例を示します。 `$connectionString = “Data Source=$server;User ID=$userId;Password=$password”` $server – 管理ポータル構成データベースをホストするSQL Serverのアドレス。 $userId – 管理ポータル構成データベースへの書き込みアクセス許可を持つSQLユーザー。 $password – $userId アカウントのパスワード。
-FQDN	省略可能	このパラメーターは、コンピューターの新しい FQDN を指定するために使用します。 $fqdn を新しい FQDN (プロトコルプレフィックスを含まない) に置き換えます。たとえば、mynewfqdn.contoso.com のように指定します。 FQDN を変更しない場合は、このパラメーターを省略できます。
-Namespace	必須	このパラメーターは、構成するコンポーネントを指定するために使用します。有効値: "AdminSite"、"TenantSite"、"AuthSite"、"WindowsAuthSite"。
-Port	オプション	このパラメーターは、新しいポートを定義するために使用します。 $port を新しいポートに置き換えます。たとえば、443 のように指定します。既定の HTTPS ポート 443 を使用する場合、エンドポイントからのポートセクションが削除されます。ポートを変更しない場合は、このパラメーターを省略できます。

インターネットインフォメーションサービスマネージャーで、FQDN とポートの値が更新されていることを確認します。また、FQDN が SSL 証明書と一致していることを確認します。
更新された FQDN とポートの値は、最終的にはターゲットのコンポーネントに反映されます。この処理がすぐに行われるようにするには、Web サイトを再起動します。
コンポーネントをホストするすべてのコンピューターで、手順 2. と 3. を繰り返します。
必要に応じて、適切な場所に要求を転送するための DNS を設定します。
次のセクションの手順に従って影響を受けるすべてのコンポーネント間の信頼関係を再び確立します。

信頼を再確立する

Windows Azure Pack は、トークンとクレームを使用してエンドユーザーを認証および承認するクレーム対応アプリケーションです。このようなアプリケーションでは、トークンが一定の条件に準拠している (信頼されたキーで署名されているなど) 限り、トークン発行者の ID は使用されません。詳細については、「クレーム対応アプリケーション」を参照してください。

要求ベースの認証によって、システムは STS がトークンを発行していると見なします。ただし、必ずしもこの STS が実際にユーザー認証を実行することを意味しているわけではありません。 STS が信頼している他の STS にユーザー認証要求を委任 (つまりフェデレーション) する場合があります。相互に信頼し、要求を委任できるこのような STS のチェーンは一般的であり、柔軟です。信頼関係のトポロジは無限に可能です。システム管理者は、ビジネス要件を満たすために最適なトポロジを選択する必要があります。

たとえば、AD FS を信頼してユーザーを認証するように Azure Pack 管理ポータルWindows構成できます。 AD FS の構成に応じて、AD FS では次のいずれかを実行できます。

管理ポータルの Active Directory の資格情報を使用して、AD FS で直接ユーザーを認証できます。
AD FS で別の STS への要求のフェデレーションを実行できます。

2 番目の場合には、たとえば、Windows Azure Active Directory アクセス制御サービス (ACS) を別の STS として使用できます。 ACS は、Windows Live など、さらに別の STS に要求をフェデレーションすることができます。この場合、実際には Windows Live で Windows Live 資格情報を使用してユーザーが認証されます。これは、Azure Pack で Windows Live、Google、または Facebook 認証Windows有効にする方法の 1 つです。

重要

エンドポイントは、信頼チェーン内の次のコンポーネントにユーザーをリダイレクトするために使用されます。このため、フェデレーションが成功するように、すべてのコンポーネントに含まれるすべてのエンドポイントが正しく構成されている必要があります。

管理ポータルのエンドポイントを変更した場合は、そのポータルが直接信頼している STS を更新する必要があります。

証明書利用者のフェデレーションのメタデータ URL について、FQDN とポートの変更を STS 内で更新していることを確認し、メタデータを更新します。

STS エンドポイントを変更する場合は、管理ポータルや他の STS など、エンドポイントが直接信頼するすべてのコンポーネントを更新する必要があります。

システム管理者は、構成を変更した後で、更新する必要があるコンポーネントを識別するために、信頼チェーンについて理解している必要があります。

管理ポータルの信頼の再確立

Windows Azure Pack 管理ポータルによってすぐに信頼された STS エンドポイントが変更された場合は、新しいエンドポイント情報を使用してポータルを更新する必要があります。この作業を行うには、関連するコンピューターで Set-MgmtSvcRelyingPartySettings PowerShell コマンドレットを使用します。

Set-MgmtSvcRelyingPartySettings -Target <Targets> –MetadataEndpoint <Metadata Endpoint Full URL> [-ConnectionString <Connection String>] [-DisableCertificateValidation] [-PortalConnectionString <Portal Configuration Store Connection String>] [-ManagementConnectionString <Management Store Connection String>]

パラメーター	必須/省略可能	詳細
移行先	必須	このパラメーターは、更新する一連のコンポーネントを定義します。ターゲット>の<許容値: Tenant: これを使用して、テナント用の管理ポータル、テナント API 層、および管理 API 層を構成します。 Admin: これを使用して、管理者用の管理ポータルおよび管理 API 層を構成します。単一のターゲットまたはターゲットの配列を指定できます。
MetadataEndpoint	必須	このパラメーターは、信頼されている IdP-STS のメタデータエンドポイントの完全な URL を定義します。メタデータエンドポイントの完全 URL> の<許容値: 次のような有効な URL。 http://mysts.contoso.com:1234/FederationMetadata/2007-06/FederationMetadata.xml
ConnectionString	PortalConnectionString と ManagementConnectionString を使用しない場合、必須。	このパラメーターは、Windows Azure Pack ポータル構成ストアと管理ストアをホストするSQL Serverへの接続文字列を定義します。データベース名 (Initial Catalog) は必須ではありません。ポータル構成ストアまたは管理ストアが別の SQL Server のインスタンスでホストされている場合や、既定以外のデータベース名を使用している場合は、代わりに PortalConnectionString パラメーターと ManagementConnectionString パラメーターを使用します。
DisableCertificateValidation	オプション運用環境での使用はお勧めしません。	このパラメーターは、SSL 証明書の検証を無効にします。このパラメーターを使用しない場合、メタデータエンドポイントで自己署名 SSL 証明書が使用されているときに、コマンドレットでメタデータ情報を取得できません。
PortalConnectionString	ConnectionString が指定されていない場合を除き、省略可能	このパラメーターは、構成ストアについてのみ、既定の接続文字列をオーバーライドするために使用します。次のような場合に、この操作を実行します。 - ポータル構成ストアは、別のSQL インスタンスにあります。 - ポータル構成ストアでは、さまざまな資格情報が使用されます。 - 既定の接続文字列は使用しません。
ManagementConnectionString	ConnectionString が指定されていない場合を除き、省略可能	このパラメーターは、管理ストアについてのみ、既定の接続文字列をオーバーライドするために使用します。次のような場合に、この操作を実行します。 - WAP 管理ストアは、別のSQL インスタンスにあります。 - 管理ストアは異なる資格情報を使用します。 - 既定の接続文字列は使用しません。

コマンドレットの例:

Set-MgmtSvcRelyingPartySettings –Target Tenant –MetadataEndpoint ‘https://mysts.contoso.com:12345/FederationMetadata/2007-06/FederationMetadata.xml’ -ConnectionString “Data Source=mysqlserver.contoso.com;User ID=myprivilegeduser;Password=mypassword”

ヒント

このコマンドレットは、Windows Azure Pack のWindows Azure PowerShell更新プログラムがインストールされている任意のコンピューターで使用できます。
更新された設定は、最終的には影響を受けるすべてのコンポーネントに反映されます。短時間で更新を反映させるには、影響を受けるコンポーネントを手動で再起動して、新しい構成値を直ちにフェッチします。ターゲットが "Tenant" の場合、テナントの管理ポータル、テナント API、管理 API のコンポーネントをすべて再起動する必要があります。ターゲットが "Admin" の場合、管理者の管理ポータルおよび管理 API のコンポーネントをすべて再起動する必要があります。

認証サイトの信頼の再確立

Windows Azure Pack 認証サイトによってすぐに信頼された STS エンドポイントが変更された場合は、新しいエンドポイント情報を使用して認証サイトを更新する必要があります。これを行うには、関連するマシンで PowerShell コマンドレットSet-MgmtSvcIdentityProviderSettings PowerShell コマンドレットを使用します。

Set-MgmtSvcIdentityProviderSettings -Target <Targets> –MetadataEndpoint <Metadata Endpoint Full URL> [-ConfigureSecondary] [-ConnectionString <Connection String>] [-DisableCertificateValidation] [-PortalConnectionString <Portal Configuration Store Connection String>]

パラメーター	必須/省略可能	詳細
移行先	必須	このパラメーターは、更新する一連のコンポーネントを定義します。ターゲット>の<許容値: Membership: テナント (Membership) 認証サイトを構成するにはこの値を使用します。 Windows: 管理者 (Windows) 認証サイトを構成するにはこの値を使用します。単一のターゲットまたはターゲットの配列を指定できます。
MetadataEndpoint	必須	このパラメーターは、信頼されているコンポーネントのメタデータエンドポイントの完全な URL を定義します。メタデータエンドポイントの完全 URL> の<許容値: 次のような有効な URL。 http://mysts.contoso.com:1234/FederationMetadata/2007-06/FederationMetadata.xml
ConfigureSecondary	オプション	各認証サイトは最大 2 つの信頼された証明書利用者をサポートします。既定の証明書利用者を上書きする代わりに、2 番目の証明書利用者を構成するために、このパラメーターを含めます。
ConnectionString	PortalConnectionString を使用しない場合、必須	このパラメーターは、Windows Azure Pack ポータル構成ストアをホストするSQL Serverへの接続文字列を定義します。データベース名 (Initial Catalog) は必須ではありません。ポータル構成ストアで既定以外のデータベース名を使用する場合は、代わりに PortalConnectionString パラメーターを使用します。
DisableCertificateValidation	オプション運用環境での使用はお勧めしません。	このパラメーターは、SSL 証明書の検証を無効にします。このパラメーターを使用しない場合、メタデータエンドポイントで自己署名 SSL 証明書が使用されているときに、コマンドレットでメタデータ情報を取得できません。
PortalConnectionString	ConnectionString が指定されていない場合を除き、省略可能	このパラメーターは、構成ストアについてのみ、既定の接続文字列をオーバーライドするために使用します。次のような場合に、この操作を実行します。 - ポータル構成ストアでは、さまざまな資格情報が使用されます。 - 既定の接続文字列は使用しません。