Změna konfigurace plně kvalifikovaných názvů domén a portů v Windows Azure Packu

Platí pro: Windows Azure Pack

Windows Azure Pack pro Windows Server používá ověřovací systém založený na deklarací identity k ověřování a autorizaci uživatelů. Toto ověřování provádí externí služba tokenů zabezpečení zprostředkovatele identity (IdP-STS). Systém důvěřuje idP-STS, aby ověřil identitu uživatelů a poskytl důvěryhodnou sadu deklarací identity o každém uživateli. Během konfigurace Windows sady Azure Pack je potřeba vytvořit obousměrný vztah důvěryhodnosti se službou IdP-STS, aby se změny koncového bodu správně komunikovaly s ovlivněnými komponentami.

Pokud chcete vytvořit tento vztah důvěryhodnosti, následující Windows součásti Sady Azure Pack zpřístupňují informace o metadatech.

• Portál pro správu pro tenanty

• Portál pro správu pro správce

• Web ověřování tenanta

• web ověřování Správa

Vystavená data zahrnují všechny potřebné informace o důvěryhodnosti, včetně informací o koncovém bodu různých komponent. Informace o koncovém bodu slouží k přesměrování uživatelů na idP-STS a zpět na Windows Azure Packu.

Proto se při každé změně konfigurace koncového bodu pro komponentu musí aktualizovat informace o metadatech a vztah důvěryhodnosti se musí znovu navázat pomocí aktualizovaných metadat.

Windows instalaci a konfiguraci sady Azure Pack poskytuje výchozí hodnoty pro vystavená metadata a informace o koncovém bodu. Ve výchozím nastavení Windows Azure Pack používá název počítače a domény jako plně kvalifikovaný název domény (FQDN) každé komponenty. Nastaví také předdefinovaná čísla portů pro každou komponentu.

Pokud je například název hostitele vašeho počítače tenanta "mytenantmachine" a vaše doména je "contoso.com", výchozí konfigurace portálu tenanta bude https://mytenantmachine.contoso.com:30081.

V některých scénářích je potřeba změnit výchozí hodnoty koncového bodu. Příklad:

• Pokud aktualizujete výchozí certifikát SSL podepsaný svým držitelem na skutečný certifikát, musí plně kvalifikovaný název domény komponenty odpovídat plně kvalifikovanému názvu domény certifikátu.

• Pokud používáte nástroj pro vyrovnávání zatížení napříč několika instancemi komponenty, musíte místo koncového bodu každé instance komponenty použít koncový bod nástroje pro vyrovnávání zatížení.

• Pokud změníte předdefinované porty, musíte aktualizovat Windows nastavení portu sady Azure Pack. Například změna na výchozí port HTTPS 443 vyžaduje aktualizaci nastavení portu Windows Azure Packu.

V takových případech musí být informace o metadatech aktualizovány a vztah důvěryhodnosti musí být znovu vytvořen, jak je vysvětleno v následujících krocích.

Aktualizace plně kvalifikovaného názvu domény a nastavení portů

1. Na počítači, který chcete aktualizovat, spusťte rutinu Set–MgmtSvcFqdn.

   Set-MgmtSvcFqdn –Namespace <Namsepace Token> -ConnectionString <Connection String> [-FQDN <FQDN>] [-Port <port>] [-Verbose]
   

   Parametr	Povinné nebo volitelné	Podrobnosti
   -ConnectionString	Vyžadováno	Tento parametr definuje připojovací řetězec k SQL Server hostujícího Windows úložiště konfigurace Sady Azure Pack. Název databáze (počáteční katalog) není povinný. Přihlašovací údaje zahrnuté v řetězci musí mít oprávnění k zápisu do úložišť konfigurace. Příklad: $connectionString = “Data Source=$server;User ID=$userId;Password=$password” $server – adresa SQL Server hostující konfigurační databáze portálu pro správu. $userId – SQL uživatel s oprávněními k zápisu do konfiguračních databází portálu pro správu. $password – heslo pro účet $userId.
   -plně kvalifikovaný název domény	Volitelné	Tento parametr slouží k určení nového plně kvalifikovaného názvu domény počítače. Nahraďte $fqdn novým plně kvalifikovaným názvem domény, který nezahrnuje předponu protokolu. Například mynewfqdn.contoso.com. Tento parametr můžete vynechat, pokud plně kvalifikovaný název domény nezměníte.
   -Obor názvů	Vyžadováno	Tento parametr slouží k označení součásti, která se má konfigurovat. Možné hodnoty: AdminSite, TenantSite, AuthSite, WindowsAuthSite.
   -Port	Volitelné	Tento parametr slouží k definování nového portu. Nahraďte $port novým portem. Například 443. Poznámka: Použití výchozího portu HTTPS 443 odebere oddíl portu z koncového bodu. Tento parametr můžete vynechat, pokud port nezměníte.

2. Ve správci Internetová informační služba se ujistěte, že byly aktualizovány plně kvalifikovaný název domény a hodnoty portů. Také se ujistěte, že plně kvalifikovaný název domény odpovídá certifikátu SSL.

3. Aktualizované plně kvalifikované názvy domén a hodnoty portů se nakonec rozšíří do cílových komponent. Pokud chcete zajistit, aby k tomu došlo okamžitě, restartujte web.

4. Opakujte kroky 2 a 3 na všech počítačích hostujících komponentu.

5. V případě potřeby nastavte DNS tak, aby předával požadavky do příslušného umístění.

6. Znovu vytvořte vztah důvěryhodnosti mezi všemi ovlivněnými komponentami podle pokynů v další části.

Opětovné navázání vztahu důvěryhodnosti

Windows Azure Pack je aplikace pracující s deklaracemi, která k ověřování a autorizaci koncových uživatelů používá tokeny a deklarace identity. Takové aplikace nepoužívají identitu vystavitele tokenu, pokud token splňuje určité podmínky, například podepsání důvěryhodným klíčem. Další informace najdete v tématu Aplikace pracující s deklaracemi.

Při ověřování na základě deklarací identity systém důvěřuje službě STS k vydávání tokenů. To ale nemusí nutně znamenat, že tato služba ZABEZPEČENÍ provádí ověřování uživatelů. Je možné, že služba STS deleguje žádost o ověření uživatele (nebo federaci) na jinou službu ZABEZPEČENÍ, která je důvěryhodná prvním stS. Tento řetěz zabezpečení zabezpečení (STS) vzájemně důvěřuje a deleguje požadavky, je společný a flexibilní. Existují nekonečné možné topologie vztahů důvěryhodnosti. Správci systému musí zvolit nejvhodnější topologii pro splnění obchodních požadavků.

Můžete například nakonfigurovat Windows portály pro správu Sady Azure Pack tak, aby důvěřovaly službě AD FS k ověřování uživatelů. V závislosti na konfiguraci služby AD FS pak může služba AD FS provést jednu z následujících akcí:

• Služba AD FS může ověřovat uživatele přímo pomocí přihlašovacích údajů služby Active Directory portálu pro správu.

• Služba AD FS může federovat požadavek na jinou službu STS.

V druhém případě můžete použít Windows azure Access Active Directory Control Service (ACS) jako ostatní služby stS, například. Služba ACS pak může požadavek znovu federovat do jiné služby STS, například Windows Live. V tomto případě Windows Live skutečně ověřuje uživatele pomocí přihlašovacích údajů Windows Live. Toto je jeden ze způsobů, jak povolit ověřování Windows Live, Google nebo Facebook v Windows Azure Packu.

Správce systému by měl být obeznámen s řetězem důvěryhodnosti, aby porozuměl tomu, které komponenty musí být aktualizovány po změně konfigurace.

Opětovné navázání vztahu důvěryhodnosti pro portály pro správu

1. Pokud se koncový bod služby STS okamžitě důvěřoval Windows portálu pro správu sady Azure Pack, musíte portály aktualizovat informacemi o novém koncovém bodu. Můžete to udělat pomocí rutiny Set-MgmtSvcRelyingPartySettings PowerShellu na příslušných počítačích.

   Set-MgmtSvcRelyingPartySettings -Target <Targets> –MetadataEndpoint <Metadata Endpoint Full URL> [-ConnectionString <Connection String>] [-DisableCertificateValidation] [-PortalConnectionString <Portal Configuration Store Connection String>] [-ManagementConnectionString <Management Store Connection String>]
   

   Parametr	Povinné nebo volitelné	Podrobnosti
   Cíl	Vyžadováno	Tento parametr definuje, která sada komponent se má aktualizovat. Přípustné hodnoty pro <cíle>: Tenant – Použijte ho ke konfiguraci portálu pro správu pro tenanty, vrstvu rozhraní API tenanta a vrstvu rozhraní API pro správu. Správa – Použijte ho ke konfiguraci portálu pro správu pro správce a vrstvu rozhraní API pro správu. Můžete zadat jeden cíl nebo pole cílů.
   MetadataEndpoint	Vyžadováno	Tento parametr definuje úplnou adresu URL důvěryhodného koncového bodu metadat IdP-STS. Povolené hodnoty pro <úplnou adresu URL> koncového bodu metadat: Platná adresa URL, například: http://mysts.contoso.com:1234/FederationMetadata/2007-06/FederationMetadata.xml
   Connectionstring	Povinné, pokud se nepoužívá PortalConnectionString a ManagementConnectionString.	Tento parametr definuje připojovací řetězec k SQL Server hostující Windows úložiště konfigurace portálu Azure Pack a úložiště pro správu. Název databáze (Počáteční katalog) není povinný. Pokud jsou úložiště konfigurace portálu nebo úložiště pro správu hostované v různých instancích SQL Server nebo používají jiné než výchozí názvy databází, použijte místo toho parametry PortalConnectionString a ManagementConnectionString.
   DisableCertificateValidation	Volitelné Nedoporučuje se pro produkční prostředí	Tento parametr zakáže ověření certifikátu SSL. Pokud tento parametr nepoužíváte, rutina nenačte informace o metadatech, pokud koncový bod metadat používá certifikát SSL podepsaný svým držitelem.
   PortalConnectionString	Volitelné, pokud není k dispozici connectionString	Tento parametr použijte k přepsání výchozího připojovacího řetězce pouze pro úložiště konfigurace. Měli byste to udělat, když – Úložiště konfigurace portálu se nachází v jiné instanci SQL. – Úložiště konfigurace portálu používá jiné přihlašovací údaje. - Nechcete používat výchozí připojovací řetězec.
   ManagementConnectionString	Volitelné, pokud není k dispozici connectionString	Tento parametr použijte k přepsání výchozího připojovacího řetězce pouze pro úložiště pro správu. Měli byste to udělat, když – Úložiště pro správu WAP se nachází v jiné instanci SQL. – Úložiště pro správu používá jiné přihlašovací údaje. - Nechcete používat výchozí připojovací řetězec.

   Ukázková rutina:

   Set-MgmtSvcRelyingPartySettings –Target Tenant –MetadataEndpoint ‘https://mysts.contoso.com:12345/FederationMetadata/2007-06/FederationMetadata.xml’ -ConnectionString “Data Source=mysqlserver.contoso.com;User ID=myprivilegeduser;Password=mypassword”
   

   Tip

   • Tuto rutinu můžete použít na libovolném počítači, na kterém jsou nainstalované aktualizace Windows Azure PowerShell pro Windows Azure Pack.

   • Aktualizovaná nastavení se nakonec rozšíří na všechny ovlivněné komponenty. Pro rychlejší šíření ručně restartujte ovlivněné komponenty, aby se okamžitě načítly nové hodnoty konfigurace. Pokud je cílem tenant, měli byste restartovat všechny portály pro správu pro tenanty, rozhraní API tenanta a komponenty rozhraní API pro správu. Pokud je cílem Správa, měli byste restartovat všechny portály pro správu pro správce a komponenty rozhraní API pro správu.

Opětovné navázání vztahu důvěryhodnosti pro ověřovací weby

1. Pokud koncový bod služby STS okamžitě důvěřuje Windows ověřovací lokalitě sady Azure Pack, je nutné aktualizovat ověřovací weby s informacemi o novém koncovém bodu. Můžete to provést pomocí rutiny PowerShellu Set-MgmtSvcIdentityProviderSettings rutiny PowerShellu na příslušných počítačích.

   Set-MgmtSvcIdentityProviderSettings -Target <Targets> –MetadataEndpoint <Metadata Endpoint Full URL> [-ConfigureSecondary] [-ConnectionString <Connection String>] [-DisableCertificateValidation] [-PortalConnectionString <Portal Configuration Store Connection String>]
   

   Parametr	Povinné nebo volitelné	Podrobnosti
   Cíl	Vyžadováno	Tento parametr definuje, která sada komponent se má aktualizovat. Přípustné hodnoty pro <cíle>: Členství – Použijte ho ke konfiguraci webu ověřování tenanta (členství). Windows – Použijte ho ke konfiguraci ověřovacího webu správce (Windows). Můžete zadat jeden cíl nebo pole cílů.
   MetadataEndpoint	Vyžadováno	Tento parametr definuje úplnou adresu URL koncového bodu metadat důvěryhodných komponent. Povolené hodnoty pro <úplnou adresu URL> koncového bodu metadat: Platná adresa URL, například: http://mysts.contoso.com:1234/FederationMetadata/2007-06/FederationMetadata.xml
   Konfiguracesecondary	Volitelné	Každý ověřovací web podporuje až dvě důvěryhodné předávající strany. Zahrňte tento parametr pro konfiguraci druhé předávající strany místo přepsání výchozí předávající strany.
   Connectionstring	Povinné, pokud se nepoužívá PortalConnectionString	Tento parametr definuje připojovací řetězec k SQL Server hostující Windows úložiště konfigurace portálu Azure Pack. Název databáze (Počáteční katalog) není povinný. Pokud úložiště konfigurace portálu používá jiný než výchozí název databáze, použijte místo toho parametr PortalConnectionString.
   DisableCertificateValidation	Volitelné Nedoporučuje se pro produkční prostředí	Tento parametr zakáže ověření certifikátu SSL. Pokud tento parametr nepoužíváte, rutina nenačte informace o metadatech, pokud koncový bod metadat používá certifikát SSL podepsaný svým držitelem.
   PortalConnectionString	Volitelné, pokud není k dispozici connectionString	Tento parametr použijte k přepsání výchozího připojovacího řetězce pouze pro úložiště konfigurace. Měli byste to udělat, když – Úložiště konfigurace portálu používá jiné přihlašovací údaje. - Nechcete používat výchozí připojovací řetězec.

   Ukázková rutina:

   Set-MgmtSvcIdentityProviderSettings –Target Membership  –MetadataEndpoint ‘https://mytenantportal.contoso.com:23456/FederationMetadata/2007-06/FederationMetadata.xml’ -ConnectionString “Data Source=mysqlserver.contoso.com;User ID=myprivilegeduser;Password=mypassword”
   

   Tip

   • Tuto rutinu můžete použít na libovolném počítači, na kterém jsou nainstalované aktualizace Windows Azure PowerShell pro Windows Azure Pack.

   • Aktualizovaná nastavení se nakonec rozšíří na všechny ovlivněné komponenty. Pro rychlejší šíření ručně restartujte ovlivněné komponenty, aby se okamžitě načítly nové hodnoty konfigurace. Pokud je cílem členství, měli byste restartovat všechny ověřovací weby tenanta (členství). Pokud je cílem Správa, měli byste restartovat všechny ověřovací weby správce (Windows).