Konfigurace služby AD FS

  • Článek

 

Platí pro: Windows Azure Pack

Jako první krok povolení služby WINDOWS AZURE ACTIVE DIRECTORY Federation Services (AD FS) pro Windows Azure Pack pro Windows Server je nutné nakonfigurovat službu AD FS, jak je vysvětleno v následujících krocích.

Konfigurace služby AD FS

  1. Pokud používáte existující službu AD FS, postupujte takto:

    1. Ve službě AD FS pomocí následující adresy přidejte portál pro správu pro správce a portál pro správu pro tenanty jako předávající strany:

      <Identifikátor URI> portálu/ federationMetadata/2007-06/Federationmetadata.xml

      Nahraďte <identifikátor URI> portálu adresami portálu pro správu pro správce a portál pro správu pro tenanty.

      Například https://www.contosotenant.com/federationMetadata/2007-06/Federationmetadata.xml.

    2. Na portál pro správu pro tenanty použijte následující pravidla transformace:

      • Transformace skupin AD na deklarace identity Skupiny

      • Transformace e-mailové adresy na deklarace identity hlavního názvu uživatele (UPN)

    3. Přeskočte zbývající kroky a přejděte na Konfigurace portálů pro správu pro důvěryhodnost služby AD FS.

  2. Pokud nastavujete novou službu AD FS, na počítači, který chcete použít pro službu AD FS, povolte roli AD FS.

  3. Přihlaste se k počítači jako správce domény. Máte dvě možnosti konfigurace služby AD FS: Spusťte rutinu Install-AdfsFarm nebo spusťte skript.

    • Spuštěním rutiny Install-AdfsFarm nakonfigurujte službu AD FS.

      Install-AdfsFarm –CertificateThumbprint <String> -FederationServiceName <String> -ServiceAccountCredential <PSCredential> -SQLConnectionString <String>

      Abyste mohli spustit rutinu Install-AdfsFarm, musíte zadat následující informace.

      Parametr rutiny

      Potřebné informace

      –CertificateThumbprint

      Kryptografický otisk certifikátu SSL (Secure Socket Layer). Certifikát by měl být nainstalován v <local_machine>\Moje úložiště.

      -FederationServiceName

      Plně kvalifikovaný název domény (FQDN) služby AD FS.

      -ServiceAccountCredential

      Účet doménové služby pro spuštění služby AD FS.

      -SQLConnectionString

      SQL připojovací řetězec k instanci Microsoft SQL Server pro hostování databází služby AD FS.

    • Nebo spusťte následující skript pro konfiguraci služby AD FS.

      Poznámka

      Před spuštěním tohoto skriptu je nutné nainstalovat makecert.exe. Případně můžete pomocí služby IIS vytvořit certifikát podepsaný svým držitelem a předat kryptografický otisk v tomto skriptu.

      # Set these values:
$domainName = 'contoso.com'
$adfsPrefix = 'AzurePack-adfs'
$username = 'username' 
$password = 'password'
$dnsName = ($adfsPrefix + "." + $domainName)

# Generate Self Signed Certificate
Import-Module -Name 'PKI','WebAdministration'
# You must install makecert.exe before running this script. Alternatively use the IIS UI to create a self-signed certificate and pass the thumbprint in this script

$item = Get-Item -Path 'IIS:\SslBindings\0.0.0.0!443' -ErrorAction SilentlyContinue
if (!$item)
{
MakeCert.exe -n "CN=$dnsName" -r -pe -sky exchange -ss My -sr LocalMachine -eku 1.3.6.1.5.5.7.3.1
cert = ,(Get-ChildItem 'Cert:\LocalMachine\My' | Where-Object { $_.Subject -eq "CN=$dnsName" })[0]
}
$thumbprint = $cert.Thumbprint
$securePassword = ConvertTo-SecureString -String $password -Force -AsPlainText
$adfsServiceCredential = New-Object -TypeName System.Management.Automation.PSCredential -ArgumentList ($domainname + '\' + $username), $securePassword

# If you want to install AD FS with a database, provide this data. Otherwise it will install with the Windows Internal Database (which should be enabled 
# prior to configuring AD fS)
$dbServer = 'AzurePack-SQl'
$dbUsername = 'sa'
$dbPassword = '<SQL_password>'
$adfsSqlConnectionString = [string]::Format('Data Source={0};Initial Catalog=master;User ID={1};Password={2}', $dbServer, $dbUsername, $dbPassword)

# Configure AD FS
Install-AdfsFarm `
    -CertificateThumbprint $thumbprint `
    -FederationServiceName $dnsName `
    -ServiceAccountCredential $adfsServiceCredential `
    -SQLConnectionString $adfsSqlConnectionString `
    -OverwriteConfiguration

    Tip

    Pokud se zobrazí chybové zprávy o duplicitních hlavních názvech služby (SPN), pomocí nástroje Setspn odeberte a pak znovu přidejte hlavní název služby následujícím způsobem:

    1. Z příkazového řádku na počítači služby AD FS spusťte nástroj Setspn a odeberte duplicitní hlavní název služby(SPN):

      setspn -u -d http/$dnsname $username

    2. Z příkazového řádku na počítači SLUŽBY AD FS spusťte nástroj Setspn a přidejte nový hlavní název služby:

      setspn -u -s http/$dnsname $username

    Další informace o hlavním názvu služby najdete na stránce MSDN o hlavních názvech služby.

Další kroky