Konfigurieren der Verwaltungsportale, um AD FS zu vertrauen
Gilt für: Windows Azure Pack
Nachdem Sie Active Directory Federations Services (AD FS) konfiguriert haben, müssen Sie das Verwaltungsportal für Administratoren und Verwaltungsportal für Mandanten konfigurieren, um AD FS zu vertrauen. Sie können entweder das cmdlet Set-MgmtSvcRelyingPartySettings ausführen oder ein Windows PowerShell Skript ausführen.
Option 1: Set-MgmtSvcRelyingPartySettings-Cmdlet ausführen
Führen Sie das Cmdlet Set-MgmtSvcRelyingPartySettings auf jedem Computer aus, auf dem das Administrator- oder Mandantenportal installiert ist.
Stellen Sie vor dem Ausführen des Cmdlets Set-MgmtSvcRelyingPartySettings sicher, dass der computer, den Sie konfigurieren, auf den AD FS-Webdienstmetadatenendpunkt zugreifen kann. Um den Zugriff zu überprüfen, öffnen Sie einen Browser, und gehen Sie zu der URI, die Sie für den -MetadataEndpoint-Parameter verwenden möchten. Wenn Sie die XML-Datei anzeigen können, können Sie auf den Verbund-Metadatenendpunkt zugreifen.
Führen Sie nun das Cmdlet Set-MgmtSvcRelyingPartySettings aus.
Set-MgmtSvcRelyingPartySettings -Target Tenant -MetadataEndpoint https://<fqdn>/FederationMetadata/2007-06/FederationMetadata.xml -DisableCertificateValidation -ConnectionString 'Server=<some server>;User Id=<user with write permissions to all config databases>;Password=<password>;'In der folgenden Tabelle sind erforderliche Informationen zum Ausführen des cmdlets Set-MgmtSvcRelyingPartySettings aufgeführt.
Cmdlet-Parameter
Erforderliche Informationen
-Target
Dieser Parameter wird verwendet, um anzugeben, welches Portal konfiguriert werden muss. Mögliche Werte: Admin, Mandant.
-MetadataEndpoint
Der AD FS-Webdienst-Metadatenendpunkt. Verwenden Sie einen gültigen, barrierefreien und vollständigen URI im folgenden Format: https://< AD FS>/FederationMetadata/2007-06/FederationMetadata.xml. Ersetzen Sie in den folgenden Cmdlets $fqdn durch einen verfügbaren vollqualifizierten AD FS-Domänennamen (FQDN).
-ConnectionString
Die Verbindungszeichenfolge für die Instanz von Microsoft SQL Server, der die Verwaltungsportal-Konfigurationsdatenbank hostet.
Option 2: Windows PowerShell-Skript ausführen
Statt des Cmdlet können Sie folgendes Windows PowerShell-Skript auf jedem Computer ausführen, auf dem das Administrator- oder Mandantenportal installiert ist.
$domainName = 'mydomain.com' $adfsPrefix = 'AzurePack-adfs' $dnsName = ($adfsPrefix + "." + $domainName) # Enter Sql Server details here $dbServer = 'AzurePack-sql' $dbUsername = 'sa' $dbPassword = '<SQL_password>' $connectionString = [string]::Format('Data Source={0};User ID={1};Password={2}', $dbServer, $dbUsername, $dbPassword) # Note: Use the \"DisableCertificateValidation\" switch only in test environments. In production environments, # all SSL certificates should be valid. Set-MgmtSvcRelyingPartySettings -Target Tenant ` -MetadataEndpoint https://$dnsName/FederationMetadata/2007-06/FederationMetadata.xml ` -DisableCertificateValidation -ConnectionString $connectionString
Hinzufügen von Benutzern zum Zugriff auf das Verwaltungsportal für Administratoren
Wenn Sie Benutzer hinzufügen möchten, um Zugriff auf das Verwaltungsportal für Administratoren zu haben, müssen Sie das Cmdlet Add-MgmtSvcAdminUser auf dem Computer ausführen, auf dem die Admin-API gehostet wird. Die Verbindungszeichenfolge sollte auf die Verwaltungsportal-Konfigurationsdatenbank verweisen.
Das folgende Codebeispiel zeigt, wie Benutzer hinzugefügt werden, die Zugriff benötigen.
$adminuser = 'domainuser1@mydomain.com' $dbServer = 'AzurePack-sql' $dbUsername = 'sa' $dbPassword = 'SQL_Password' $connectionString = [string]::Format('Server= {0} ;Initial Catalog=Microsoft.MgmtSvc.Store;User Id={1};Password={2};',$dbServer, $dbUsername, $dbPassword) Add-MgmtSvcAdminUser -Principal $adminuser -ConnectionString $connectionstringHinweis
-
Das $dbuser-Format muss dem Benutzerprinzipalnamen (UPN) entsprechen, der an AD FS gesendet wird.
-
Administratorbenutzer müssen einzelne Benutzer sein. Sie können AD-Gruppen nicht als Administratorbenutzer hinzufügen.
-