Reconfigurar os FQDNs e as portas no Windows Azure Pack

  • Artigo

 

Aplica-se a: Windows Azure Pack

Windows Azure Pack for Windows Server usa o sistema de autenticação baseado em declaração para autenticar e autorizar usuários. Essa autenticação é executada por um Serviço de Token de Segurança de Provedor de Identidade (IdP- STS) externo. O sistema confia no IdP-STS para verificar a identidade dos usuários e fornecer um conjunto confiável de declarações sobre cada usuário. Uma relação de confiança bidirecional com o IdP-STS deve ser estabelecida durante Windows configuração do Azure Pack para que as alterações de ponto de extremidade sejam comunicadas corretamente aos componentes afetados.

Para estabelecer essa relação de confiança, as seguintes Windows componentes do Azure Pack expõem informações de metadados.

  • Portal de gerenciamento para locatários

  • Portal de gerenciamento para administradores

  • Site de autenticação do locatário

  • Site de autenticação do administrador

Os dados expostos incluem todas as informações necessárias de confiança, incluindo as informações de ponto de extremidade de componentes diferentes. As informações do ponto de extremidade são usadas para redirecionar os usuários para o IdP-STS e voltar para Windows Azure Pack.

Assim, sempre que uma configuração de ponto de extremidade for alterada para um componente, as informações de metadados deverão ser atualizadas e a relação de confiança deverá ser restabelecida com o uso de metadados atualizados.

Windows instalação e configuração do Azure Pack fornece valores padrão para as informações de metadados e ponto de extremidade expostos. Por padrão, Windows Pacote do Azure usa o computador e o nome de domínio como o FQDN (Nome de Domínio Totalmente Qualificado) de cada componente. Também predefine os números de porta de cada componente.

Por exemplo, se o nome de host do computador do locatário for “mytenantmachine” e seu domínio for “contoso.com”, a configuração padrão do Portal de Locatário será https://mytenantmachine.contoso.com:30081.

Em alguns cenários, os valores padrão do ponto de extremidade devem ser alterados. Por exemplo:

  • Se você atualizar o certificado SSL autoassinado padrão de um componente para um certificado real, o FQDN do componente deverá corresponder ao FQDN do certificado.

  • Se você usar um balanceador de carga entre várias instâncias de um componente, deverá usar o ponto de extremidade do balanceador de carga, em vez do ponto de extremidade de cada instância do componente.

  • Se você alterar as portas predefinidas, deverá atualizar a Windows configurações da porta do Azure Pack. Por exemplo, alterar para a porta HTTPS padrão 443 exige que você atualize as configurações de porta do Windows Azure Pack.

Nesses casos, as informações de metadados deverão ser atualizadas e a relação de confiança deverá ser restabelecida como explicado nas etapas a seguir.

Para atualizar o FQDN e as configurações de porta

  1. Execute o cmdlet Set-MgmtSvcFqdn no computador que você deseja atualizar.

    Set-MgmtSvcFqdn –Namespace <Namsepace Token> -ConnectionString <Connection String> [-FQDN <FQDN>] [-Port <port>] [-Verbose]

    Parâmetro

    Obrigatório/opcional

    Detalhes

    -ConnectionString

    Obrigatório

    Esse parâmetro define a cadeia de conexão para o SQL Server que hospeda os repositórios de configuração do Windows Azure Pack.

    Um nome de banco de dados (catálogo inicial) não é necessário.

    As credenciais inclusas na cadeia de caracteres devem ter permissões de gravação nos repositórios de configurações.

    Por exemplo:

    $connectionString = “Data Source=$server;User ID=$userId;Password=$password”

    $server – o endereço do SQL Server que hospeda os bancos de dados de configuração do portal de gerenciamento.

    $userId – um usuário SQL com permissões de gravação nos bancos de dados de configuração do portal de gerenciamento.

    $password – a senha da conta $userId.

    -FQDN

    Opcional

    Esse parâmetro é usado para especificar o novo FQDN do computador. Substitua $fqdn pelo novo FQDN, sem incluir o prefixo de protocolo. Por exemplo, mynewfqdn.contoso.com.

    Você poderá omitir esse parâmetro se não estiver alterando o FQDN.

    -Namespace

    Obrigatório

    Esse parâmetro é usado para indicar o componente a ser configurado. Valores possíveis: 'AdminSite', 'TenantSite', 'AuthSite', 'WindowsAuthSite'.

    -Port

    Opcional

    Esse parâmetro é usado para definir a nova porta. Substitua $port pela nova porta. Por exemplo, 443. Observe que o uso da porta HTTPS 443 padrão removerá a seção de porta do ponto de extremidade.

    Você poderá omitir esse parâmetro se não estiver alterando a porta.

  2. No Gerenciador dos Serviços de informações da Internet, verifique se os valores de FQDN e porta foram atualizados. Além disso, verifique se o FQDN corresponde ao certificado SSL.

  3. Os valores atualizados de FQDN e de porta serão propagados para os componentes de destino. Para assegurar que isso aconteça imediatamente, reinicie o site.

  4. Repita as etapas 2 e 3 em todos os computadores que hospedam o componente.

  5. Se necessário, configure o DNS para encaminhar solicitações para o local apropriado.

  6. Restabeleça a confiança entre todos os componentes afetados como indicado na próxima seção.

Restabelecer a confiança

Windows Azure Pack é um aplicativo com reconhecimento de declarações que usa tokens e declarações para autenticar e autorizar usuários finais. Esses aplicativos não usam a identidade do emissor de token, desde que o token esteja em conformidade com algumas condições, como estar assinado por uma chave confiável. Para obter mais informações, consulte aplicativos com reconhecimento de declarações.

Com a autenticação baseada em declarações, um sistema confia em um STS para emitir seus tokens. No entanto, isso não significa necessariamente que esse STS está executando a autenticação do usuário na verdade. É possível que o STS delegue a solicitação de autenticação do usuário (ou federação) a outro STS que seja confiável para o primeiro STS. Essa cadeia de STSs que confiam uns nos outros e que delegam solicitações é comum e flexível. Há uma infinidade de topologias possíveis de relações de confiança. Os administradores do sistema devem escolher a topologia mais apropriada para atender aos requisitos de negócios.

Por exemplo, você pode configurar Windows portais de gerenciamento do Azure Pack para confiar no AD FS para autenticar usuários. Dependendo da configuração do AD FS, ele poderá executar uma destas ações:

  • O AD FS pode autenticar os usuários diretamente, usando as credenciais do Ative Directory do portal de gerenciamento.

  • O AD FS pode federar a solicitação para outro STS.

No segundo caso, você pode usar o Windows Azure Access Active Directory Control Service (ACS) como o outro STS, por exemplo. O ACS pode então federar a solicitação novamente para outro STS, como o Windows Live. Nesse caso, o Windows Live na verdade autentica o usuário utilizando credenciais do Windows Live. Essa é uma maneira de habilitar a autenticação Windows Live, Google ou Facebook no Windows Azure Pack.

Importante

Como os pontos de extremidade são utilizados para redirecionar os usuários para o próximo componente na cadeia de confiança, todos os pontos de extremidade deverão ser configurados corretamente em todos os componentes para assegurar que a federação seja bem-sucedida.

Se alterar um ponto de extremidade de um portal de gerenciamento, você deverá atualizar o STS em que o portal confia imediatamente.

Não se esqueça de atualizar o FQDN e as alterações de porta no STS para a URL dos metadados de federação da parte confiável e depois atualizar os metadados.

Se alterar um ponto de extremidade do STS, você deverá atualizar todos os componentes confiáveis diretamente por ele, como os portais de gerenciamento e outros STSs.

O administrador do sistema deve estar familiarizado com a cadeia de confiança para entender quais componentes devem ser atualizados depois de uma alteração de configuração.

Restabelecer a confiança dos portais de gerenciamento

  1. Se o ponto de extremidade STS imediatamente confiável por um Windows portal de gerenciamento do Azure Pack foi alterado, você deve atualizar os portais com as novas informações de ponto de extremidade. Para isso, use o cmdlet do PowerShell Set-MgmtSvcRelyingPartySettings nos computadores relevantes.

    Set-MgmtSvcRelyingPartySettings -Target <Targets> –MetadataEndpoint <Metadata Endpoint Full URL> [-ConnectionString <Connection String>] [-DisableCertificateValidation] [-PortalConnectionString <Portal Configuration Store Connection String>] [-ManagementConnectionString <Management Store Connection String>]

    Parâmetro

    Obrigatório/opcional

    Detalhes

    Destino

    Obrigatório

    Esse parâmetro define qual conjunto de componentes atualizar.

    Valores permitidos para <destinos>:

    Tenant – Use para configurar o portal de gerenciamento para locatários, a camada de API do locatário e a camada de API do administrador.

    Admin – Use para configurar o portal de gerenciamento para administradores e a camada de API do administrador.

    Você pode fornecer um único destino ou uma matriz de destinos.

    MetadataEndpoint

    Obrigatório

    Esse parâmetro define a URL completa do ponto de extremidade de metadados IdP- STS confiáveis.

    Valores permitidos para <URL> Completa do Ponto de Extremidade de Metadados:

    Uma URL válida, por exemplo:

    http://mysts.contoso.com:1234/FederationMetadata/2007-06/FederationMetadata.xml

    ConnectionString

    Necessário, a menos que PortalConnectionString e ManagementConnectionString sejam usados.

    Esse parâmetro define a cadeia de conexão com a SQL Server hospedando o repositório de configuração e o repositório de gerenciamento do portal do Azure Pack Windows.

    Um nome de banco de dados (catálogo inicial) não é necessário.

    Se os repositórios de configuração ou o repositório de gerenciamento estiverem hospedados em instâncias diferentes do SQL Server ou usarem nomes de bancos de dados não padrão, utilize os parâmetros PortalConnectionString e ManagementConnectionString.

    DisableCertificateValidation

    Opcional

    Não recomendável para ambientes de produção

    Esse parâmetro desabilita a validação de certificado SSL.

    Se você não usar esse parâmetro, o cmdlet não recuperará as informações de metadados se o ponto de extremidade de metadados usar um certificado SSL autoassinado.

    PortalConnectionString

    Opcional, a menos que ConnectionString não seja fornecido

    Use esse parâmetro para substituir a cadeia de conexão padrão somente do repositório de configurações.

    Faça isso quando

    - O repositório de configuração do portal está localizado em uma instância de SQL diferente.

    - O repositório de configuração do portal usa credenciais diferentes.

    - Você não deseja usar a cadeia de conexão padrão.

    ManagementConnectionString

    Opcional, a menos que ConnectionString não seja fornecido

    Use esse parâmetro para substituir a cadeia de conexão padrão somente do repositório de gerenciamento.

    Faça isso quando

    - O repositório de gerenciamento wap está localizado em uma instância de SQL diferente.

    - O repositório de gerenciamento usa credenciais diferentes.

    - Você não deseja usar a cadeia de conexão padrão.

    Cmdlet de exemplo: 

    Set-MgmtSvcRelyingPartySettings –Target Tenant –MetadataEndpoint ‘https://mysts.contoso.com:12345/FederationMetadata/2007-06/FederationMetadata.xml’ -ConnectionString “Data Source=mysqlserver.contoso.com;User ID=myprivilegeduser;Password=mypassword”

    Dica

    • Esse cmdlet pode ser usado em qualquer computador em que as atualizações de Windows Azure PowerShell para Windows Pacote do Azure estejam instaladas.

    • As configurações atualizadas serão propagadas para todos os componentes afetados. Para uma extensão mais rápida, reinicie manualmente os componentes afetados para buscar imediatamente os novos valores de configuração. Se o destino for ‘Tenant’, você deverá reiniciar todos os seus portais de gerenciamento para locatários, API de locatário e componentes de API de administrador. Se o destino for ‘Admin’, você deverá reiniciar todos os seus portais de gerenciamento para administradores e componentes de API de administrador.

Restabelecer a confiança dos sites de autenticação

  1. Se o ponto de extremidade STS imediatamente confiável por um Windows site de autenticação do Azure Pack foi alterado, você deve atualizar os sites de autenticação com as novas informações de ponto de extremidade. Você pode fazer isso usando o cmdlet do PowerShell Set-MgmtSvcIdentityProviderSettings cmdlet do PowerShell nos computadores relevantes.

    Set-MgmtSvcIdentityProviderSettings -Target <Targets> –MetadataEndpoint <Metadata Endpoint Full URL> [-ConfigureSecondary] [-ConnectionString <Connection String>] [-DisableCertificateValidation] [-PortalConnectionString <Portal Configuration Store Connection String>]

    Parâmetro

    Obrigatório/opcional

    Detalhes

    Destino

    Obrigatório

    Esse parâmetro define qual conjunto de componentes atualizar.

    Valores permitidos para <destinos>:

    Membership – Use para configurar o site de autenticação do locatário (Membership).

    Windows – Use para configurar o site de autenticação do administrador (Windows).

    Você pode fornecer um único destino ou uma matriz de destinos.

    MetadataEndpoint

    Obrigatório

    Esse parâmetro define a URL completa do ponto de extremidade de metadados do componente confiável.

    Valores permitidos para <URL> Completa do Ponto de Extremidade de Metadados:

    Uma URL válida, por exemplo:

    http://mysts.contoso.com:1234/FederationMetadata/2007-06/FederationMetadata.xml

    ConfigureSecondary

    Opcional

    Cada site de autenticação oferece suporte a até duas partes confiáveis.

    Inclua esse parâmetro para configurar uma segunda parte confiável, em vez de substituir a parte confiável padrão.

    ConnectionString

    Necessário, a menos que PortalConnectionString seja usado

    Esse parâmetro define a cadeia de conexão para o SQL Server que hospeda os repositórios de configuração do portal do Windows Azure Pack.

    Um nome de banco de dados (catálogo inicial) não é necessário.

    Se o repositório de configurações do portal usar um nome de banco de dados não padrão, utilize o parâmetro PortalConnectionString.

    DisableCertificateValidation

    Opcional

    Não recomendável para ambientes de produção

    Esse parâmetro desabilita a validação de certificado SSL.

    Se você não usar esse parâmetro, o cmdlet não recuperará as informações de metadados se o ponto de extremidade de metadados usar um certificado SSL autoassinado.

    PortalConnectionString

    Opcional, a menos que ConnectionString não seja fornecido

    Use esse parâmetro para substituir a cadeia de conexão padrão somente do repositório de configurações.

    Faça isso quando

    - O repositório de configuração do portal usa credenciais diferentes.

    - Você não deseja usar a cadeia de conexão padrão.

    Cmdlet de exemplo: 

    Set-MgmtSvcIdentityProviderSettings –Target Membership  –MetadataEndpoint ‘https://mytenantportal.contoso.com:23456/FederationMetadata/2007-06/FederationMetadata.xml’ -ConnectionString “Data Source=mysqlserver.contoso.com;User ID=myprivilegeduser;Password=mypassword”

    Dica

    • Esse cmdlet pode ser usado em qualquer computador em que as atualizações de Windows Azure PowerShell para Windows Pacote do Azure estejam instaladas.

    • As configurações atualizadas serão propagadas para todos os componentes afetados. Para uma extensão mais rápida, reinicie manualmente os componentes afetados para buscar imediatamente os novos valores de configuração. Se o destino for ‘Membership’, você deverá reiniciar todas seus sites de autenticação de locatário (Membership). Se o destino for ‘Admin’, você deverá reiniciar todas seus sites de autenticação de administrador (Windows).