Configurar el sitio de autenticación de inquilinos para confiar en AD FS
Se aplica a: Windows Azure Pack
El siguiente paso consiste en agregar información sobre Servicios de federación de Active Directory (AD FS) de Windows Azure a los sitios de autenticación de inquilinos. De forma predeterminada, el portal de administración para inquilinos usa ASP.NET autenticación del proveedor de pertenencia. Puede usar el mismo proveedor de pertenencia a ASP.NET que un proveedor de notificaciones de AD FS. Para ello, debe ejecutar el cmdlet Set-MgmtSvcIdentityProviderSettings en cualquier máquina donde esté instalado el sitio de autenticación del inquilino.
Opción 1: ejecutar el cmdlet Set-MgmtSvcIdentityProviderSettings
Asegúrese de que el equipo que va a configurar puede tener acceso al extremo de metadatos del servicio Web AD FS. Para comprobar el acceso, abra un explorador y vaya al mismo URI que piensa usar para el parámetro –MetadataEndpoint. Si puede ver el archivo .xml, puede tener acceso al extremo de metadatos de federación.
Ejecute el cmdlet Set-MgmtSvcIdentityProviderSettings en cualquier máquina donde esté instalado el sitio de autenticación.
Set-MgmtSvcIdentityProviderSettings -Target Membership -MetadataEndpoint https://< fqdn>/FederationMetadata/2007-06/FederationMetadata.xml -DisableCertificateValidation -ConnectionString 'Server=<some server>;User Id=<user with write permissions to all config databases>;Password=<password>;'
En la tabla siguiente se muestra información necesaria para ejecutar el cmdlet Set- MgmtSvcIdentityProviderSettings.
Parámetro del cmdlet
Información necesaria
-Target
Este parámetro se usa para indicar qué componente se va a configurar. Valores posibles: Pertenencia, Windows.
-MetadataEndpoint
Extremo de metadatos del servicio Web AD FS. Use un URI válido, accesible y completo, en el siguiente formato: https://< AD FS>/FederationMetadata2007-06/FederationMetadata.xml. En los cmdlets siguientes, reemplace $fqdn con un nombre de dominio completo (FQDN) accesible de AD FS.
-ConnectionString
Cadena de conexión a la instancia de Microsoft SQL Server que hospeda el portal y la base de datos de API.
Opción 2: ejecutar un script de Windows PowerShell
Asegúrese de que el equipo que va a configurar puede tener acceso al extremo de metadatos del servicio Web AD FS. Para comprobar el acceso, abra un explorador y vaya al mismo URI que piensa usar para el parámetro –MetadataEndpoint. Si puede ver el archivo .xml, puede tener acceso al extremo de metadatos de federación.
En lugar de usar el cmdlet, puede ejecutar el siguiente script de Windows PowerShell.
$domainName = 'mydomain.com' $adfsPrefix = 'AzurePack-adfs' $dnsName = ($adfsPrefix + "." + $domainName) # Enter Sql Server details here $dbServer = 'AzurePack-sql' $dbUsername = 'sa' $dbPassword = '<SQL_password>' $connectionString = [string]::Format('Data Source={0};User ID={1};Password={2}', $dbServer, $dbUsername, $dbPassword) # Note: Use the \"DisableCertificateValidation\" switch only in test environments. In production environments, all # SSL certificates should be valid. Set-MgmtSvcIdentityProviderSettings -Target Membership ` -MetadataEndpoint https://$dnsName/FederationMetadata/2007-06/FederationMetadata.xml ` -DisableCertificateValidation ` -ConnectionString $connectionString `