Konfigurace Active Directory Federation Services (AD FS) pro Windows Azure Pack

Platí pro: Windows Azure Pack

Ve výchozím nastavení Windows Azure Pack pro Windows Server používá následující ověřování.

Místo použití těchto výchozíchtypůch služeb (AD FS) můžete místo těchto výchozích typů ověřování nakonfigurovat také Windows Sadu Azure Pack tak, aby používala službu Windows Azure Active Directory Federation Services (AD FS), jak je popsáno v následujících krocích. Tato možnost vyžaduje Windows Server 2012 R2.

Pokud chcete přepnout zpět na výchozí ověřování, přečtěte si téma Přepnutí zpět na výchozí Windows ověřovacích lokalit Azure Packu.

1. Konfigurace služby AD FS

2. Konfigurace portálů pro správu pro vztah důvěryhodnosti služby AD FS

3. Konfigurace ověřovacího webu tenanta tak, aby důvěřovala službě AD FS

4. Konfigurace služby AD FS tak, aby důvěřovala portálům pro správu

Osvědčené postupy

Před konfigurací služby AD FS si projděte následující osvědčené postupy.

• Formát skupin uživatelů, které poskytuje instalace služby AD FS, by měl odpovídat formátu zadanému v uživatelském rozhraní. Předepsané formátování pro přidání skupin AD jako spolusprávce je doména\alias.

• Vlastník předplatného by měl být individuálním uživatelem, nikoli skupinou.

• Obecně je vhodné jako jedinečný identifikátor použít e-mailovou adresu. Generátory vlastních deklarací identity umožňují identifikátor GUID nebo jiné jedinečné identifikátory, ale jejich použití komplikuje přidávání spolusprávců nebo přidávání jednotlivých uživatelů a obecně by se jim mělo vyhnout.

• Služba AD FS ve výchozím nastavení nastaví soubor cookie na straně klienta tak, aby sledoval výběr uživatele pro metody ověřování. Tuto akci můžete zakázat spuštěním následující rutiny Windows PowerShell služby AD FS:

  Set-ADFSWebConfig –HRDCookieEnabled $false
  

Další informace o nasazení a údržbě farmy služby AD FS najdete v přehledu Active Directory Federation Services (AD FS).