Reconfigurar FQDN y puertos en Windows Azure Pack

  • Artículo

 

Se aplica a: Windows Azure Pack

Windows Azure Pack para Windows Server usa el sistema de autenticación basado en notificaciones para autenticar y autorizar a los usuarios. Esta autenticación la realiza un Servicio de token de seguridad del proveedor de identidad externo (IdP- STS). El sistema utiliza el IdP- STS para comprobar la identidad de los usuarios y proporcionar un conjunto de notificaciones de confianza sobre cada usuario. Se debe establecer una relación de confianza bidireccional con idP-STS durante Windows configuración de Azure Pack para que los cambios del punto de conexión se comuniquen correctamente con los componentes afectados.

Para establecer esta relación de confianza, los siguientes Windows componentes de Azure Pack exponen información de metadatos.

  • Portal de administración para inquilinos

  • Portal de administración para administradores

  • Sitio de autenticación de inquilinos

  • Sitio de autenticación de administradores

Los datos expuestos incluyen toda la información de confianza necesaria, incluida la información de extremo de los distintos componentes. La información del punto de conexión se usa para redirigir a los usuarios a IdP-STS y volver a Windows Azure Pack.

Por tanto, cada vez que cambia la configuración de extremo de un componente, se debe actualizar la información de metadatos y se debe volver a establecer la relación de confianza usando los metadatos actualizados.

Windows instalación y configuración de Azure Pack proporciona valores predeterminados para los metadatos expuestos y la información del punto de conexión. De forma predeterminada, Windows Azure Pack usa el equipo y el nombre de dominio como nombre de dominio completo (FQDN) de cada componente. También establece números de puerto predefinidos para cada componente.

Por ejemplo, si el nombre de host del equipo de inquilino es “mytenantmachine” y el dominio es "contoso.com", la configuración predeterminada del portal de inquilino será https://mytenantmachine.contoso.com:30081.

En algunos casos, se deben cambiar los valores predeterminados de extremo. Por ejemplo:

  • Si actualiza el certificado SSL autofirmado predeterminado de un componente a un certificado real, el FQDN del componente debe coincidir con el FQDN del certificado.

  • Si emplea un equilibrador de carga en varias instancias de un componente, debe utilizar el extremo del equilibrador de carga en lugar del extremo de cada instancia del componente.

  • Si cambia los puertos predefinidos, debe actualizar la configuración de puerto de Windows Azure Pack. Por ejemplo, cambiar al puerto HTTPS predeterminado 443 requiere que actualice la configuración del puerto de Windows Azure Pack.

En estos casos, se debe actualizar la información de metadatos y se debe volver a establecer la relación de confianza según se describe en los pasos siguientes.

Para actualizar el FQDN y la configuración de puertos

  1. Ejecute el cmdlet Set-MgmtSvcFqdn en el equipo que desea actualizar.

    Set-MgmtSvcFqdn –Namespace <Namsepace Token> -ConnectionString <Connection String> [-FQDN <FQDN>] [-Port <port>] [-Verbose]

    Parámetro

    Obligatorio/opcional

    Detalles

    -ConnectionString

    Obligatorio

    Este parámetro define la cadena de conexión al SQL Server que hospeda los almacenes de configuración de Windows Azure Pack.

    No se necesita un nombre de base de datos (catálogo inicial).

    Las credenciales incluidas en la cadena deben tener permisos de escritura en los almacenes de configuración.

    Por ejemplo:

    $connectionString = “Data Source=$server;User ID=$userId;Password=$password”

    $server: la dirección del SQL Server que hospeda las bases de datos de configuración del portal de administración.

    $userId: un usuario SQL con permisos de escritura en las bases de datos de configuración del portal de administración.

    $password : la contraseña de la cuenta de $userId.

    -FQDN

    Opcional

    Este parámetro se emplea para especificar el nuevo FQDN del equipo. Reemplace $fqdn con el nuevo FQDN, sin incluir el prefijo de protocolo. Por ejemplo, minuevofqdn.contoso.com.

    Puede omitir este parámetro si no va a modificar el FQDN.

    -Namespace

    Obligatorio

    Este parámetro se usa para indicar qué componente se va a configurar. Valores posibles: 'AdminSite', 'TenantSite', 'AuthSite', 'WindowsAuthSite'.

    -Port

    Opcional

    Este parámetro se usa para definir el nuevo puerto. Reemplace $port con el nuevo puerto. Por ejemplo, 443. Nota Si se usa el puerto predeterminado HTTPS 443 se quitará la sección de puerto del extremo.

    Puede omitir este parámetro si no va a modificar el puerto.

  2. En el Administrador de Internet Information Services, asegúrese de que los valores de FQDN y puerto se han actualizado. Asegúrese también de que el FQDN coincide con el certificado SSL.

  3. Los valores actualizados de FQDN y puerto se propagarán finalmente a los componentes de destino. Para asegurarse de que esto ocurre inmediatamente, reinicie el sitio web.

  4. Repita los pasos 2 y 3 en todos los equipos que hospedan el componente.

  5. Si es necesario, configure el DNS para que reenvíe las solicitudes a la ubicación adecuada.

  6. Vuelva a establecer la confianza entre todos los componentes afectados como se indica en la próxima sección.

Volver a establecer la confianza

Windows Azure Pack es una aplicación compatible con notificaciones que usa tokens y notificaciones para autenticar y autorizar a los usuarios finales. Estas aplicaciones no utilizan la identidad del emisor del token, siempre y cuando el token cumpla determinadas condiciones, como estar firmado con una clave de confianza. Para obtener más información, consulte Aplicaciones compatibles con notificaciones.

Con la autenticación basada en notificaciones, un sistema utiliza un STS para emitir sus tokens. Sin embargo, eso no significa necesariamente que este STS realice realmente la autenticación de los usuarios. Es posible que el STS delegue la solicitud de autenticación de usuarios (o la federación) en otro STS que sea de confianza para el primer STS. Esta cadena de STS que confían entre sí y delegan solicitudes es común y flexible. Hay infinitas topologías posibles de relaciones de confianza. Los administradores del sistema deben elegir la topología más adecuada para sus requisitos empresariales.

Por ejemplo, puede configurar Windows portales de administración de Módulos de Azure para confiar en AD FS para autenticar a los usuarios. Según la configuración de AD FS, AD FS puede realizar una de las acciones siguientes:

  • AD FS puede autenticar a los usuarios directamente, utilizando las credenciales de Active Directory del portal de administración.

  • AD FS puede federar la solicitud en otro STS.

En el segundo caso, puede utilizar Access Control Service (ACS) de Active Directory de Windows Azure como otro STS, por ejemplo. ACS puede volver a federar la solicitud en otro STS, como Windows Live. En este caso, Windows Live atentica realmente al usuario mediante las credenciales de Windows Live. Esta es una manera de habilitar la autenticación de Windows Live, Google o Facebook en Windows Azure Pack.

Importante

Puesto que los extremos se utilizan para redirigir a los usuarios al siguiente componente de la cadena de confianza, se deben configurar correctamente todos los extremos de todos los componentes para garantizar que la federación es correcta.

Si cambia un extremo del portal de administración, debe actualizar el STS en el que el portal confía inmediatamente.

Asegúrese de actualizar los cambios de FQDN y de puertos en el STS de la dirección URL de los metadatos de federación de usuario de confianza y, a continuación, actualice los metadatos.

Si cambia un extremo de STS, debe actualizar todos los componentes en los que este confía directamente, como los portales de administración y otros STS.

El administrador del sistema debe estar familiarizado con la cadena de confianza para entender qué componentes se deben actualizar después de realizar un cambio de configuración.

Volver a establecer la confianza para los portales de administración

  1. Si el punto de conexión STS confía inmediatamente en un Windows portal de administración de Azure Pack, debe actualizar los portales con la nueva información del punto de conexión. Puede hacerlo con el cmdlet de PowerShell Set-MgmtSvcRelyingPartySettings en los equipos correspondientes.

    Set-MgmtSvcRelyingPartySettings -Target <Targets> –MetadataEndpoint <Metadata Endpoint Full URL> [-ConnectionString <Connection String>] [-DisableCertificateValidation] [-PortalConnectionString <Portal Configuration Store Connection String>] [-ManagementConnectionString <Management Store Connection String>]

    Parámetro

    Obligatorio/opcional

    Detalles

    Destino

    Obligatorio

    Este parámetro define qué conjunto de componentes hay que actualizar.

    Valores permitidos para <Destinos>:

    Tenant: use este valor para configurar el portal de administración para inquilinos, la capa de API de inquilino y la capa de API de administración.

    Admin: use este valor para configurar el portal de administración para administradores y la capa de API de administración.

    Puede proporcionar un único destino o una matriz de destinos.

    MetadataEndpoint

    Obligatorio

    Este parámetro define la dirección URL completa del extremo de metadatos de IdP- STS de confianza.

    Valores permitidos para< la dirección URL> completa del punto de conexión de metadatos:

    Una dirección URL válida, por ejemplo:

    http://mysts.contoso.com:1234/FederationMetadata/2007-06/FederationMetadata.xml

    ConnectionString

    Requerido, a menos que se utilicen PortalConnectionString y ManagementConnectionString.

    Este parámetro define la cadena de conexión al SQL Server que hospeda los almacenes de configuración y el almacén de administración del portal de Azure Pack de Windows.

    No se necesita un nombre de base de datos (catálogo inicial).

    Si los almacenes de configuración o el almacén de administración del portal se hospedan en varias instancias de SQL Server o usan nombres de base de datos que no son los predeterminado, utilice los parámetros PortalConnectionString y ManagementConnectionString en su lugar.

    DisableCertificateValidation

    Opcional

    No se recomienda para entornos de producción

    Este parámetro deshabilita la validación de certificados SSL.

    Si no utiliza este parámetro, el cmdlet no podrá recuperar la información de metadatos si el extremo de metadatos utiliza un certificado SSL autofirmado.

    PortalConnectionString

    Opcional, a menos que no se proporcione ConnectionString

    Use este parámetro para invalidar la cadena de conexión predeterminada solo para el almacén de configuración.

    Debe hacerlo cuando

    - El almacén de configuración del portal se encuentra en una instancia de SQL diferente.

    : el almacén de configuración del portal usa credenciales diferentes.

    - No desea usar la cadena de conexión predeterminada.

    ManagementConnectionString

    Opcional, a menos que no se proporcione ConnectionString

    Use este parámetro para invalidar la cadena de conexión predeterminada solo para el almacén de administración.

    Debe hacerlo cuando

    - El almacén de administración de WAP se encuentra en una instancia de SQL diferente.

    - El almacén de administración usa credenciales diferentes.

    - No desea usar la cadena de conexión predeterminada.

    Cmdlet de ejemplo:

    Set-MgmtSvcRelyingPartySettings –Target Tenant –MetadataEndpoint ‘https://mysts.contoso.com:12345/FederationMetadata/2007-06/FederationMetadata.xml’ -ConnectionString “Data Source=mysqlserver.contoso.com;User ID=myprivilegeduser;Password=mypassword”

    Sugerencia

    • Este cmdlet se puede usar en cualquier equipo en el que se instalen las actualizaciones de Windows Azure PowerShell para Windows Azure Pack.

    • Los valores actualizados se propagarán finalmente a todos los componentes afectados. Para que la propagación sea más rápida, reinicie manualmente los componentes afectados para que capturen inmediatamente los nuevos valores de configuración. Si el destino es 'Tenant', debe reiniciar todos los portales de administración de los componentes de inquilino, API de inquilino y API de administración. Si el destino es 'Admin', debe reiniciar todos los portales de administración de los componentes de administradores y API de administración.

Volver a establecer la confianza para los sitios de autenticación

  1. Si el punto de conexión STS confía inmediatamente en un Windows sitio de autenticación de Azure Pack, debe actualizar los sitios de autenticación con la nueva información del punto de conexión. Para ello, use el cmdlet de PowerShell Set-MgmtSvcIdentityProviderSettings cmdlet de PowerShell en las máquinas pertinentes.

    Set-MgmtSvcIdentityProviderSettings -Target <Targets> –MetadataEndpoint <Metadata Endpoint Full URL> [-ConfigureSecondary] [-ConnectionString <Connection String>] [-DisableCertificateValidation] [-PortalConnectionString <Portal Configuration Store Connection String>]

    Parámetro

    Obligatorio/opcional

    Detalles

    Destino

    Obligatorio

    Este parámetro define qué conjunto de componentes hay que actualizar.

    Valores permitidos para <Destinos>:

    Membership: use este valor para configurar el sitio de autenticación de inquilinos (pertenencia).

    Windows: use este valor para configurar el sitio de autenticación de administración (Windows).

    Puede proporcionar un único destino o una matriz de destinos.

    MetadataEndpoint

    Obligatorio

    Este parámetro define la dirección URL completa del extremo de metadatos del componente de confianza.

    Valores permitidos para< la dirección URL> completa del punto de conexión de metadatos:

    Una dirección URL válida, por ejemplo:

    http://mysts.contoso.com:1234/FederationMetadata/2007-06/FederationMetadata.xml

    ConfigureSecondary

    Opcional

    Cada sitio de autenticación admite hasta dos usuarios de confianza.

    Incluya este parámetro para configurar un segundo usuario de confianza, en lugar de sobrescribir el usuario de confianza predeterminado.

    ConnectionString

    Requerido, a menos que se utilice PortalConnectionString

    Este parámetro define la cadena de conexión al SQL Server que hospeda los almacenes de configuración del portal de Azure Pack Windows.

    No se necesita un nombre de base de datos (catálogo inicial).

    Si el almacén de configuración del portal utiliza un nombre de base de datos que no es el predeterminado, use el parámetro PortalConnectionString en su lugar.

    DisableCertificateValidation

    Opcional

    No se recomienda para entornos de producción

    Este parámetro deshabilita la validación de certificados SSL.

    Si no utiliza este parámetro, el cmdlet no podrá recuperar la información de metadatos si el extremo de metadatos utiliza un certificado SSL autofirmado.

    PortalConnectionString

    Opcional, a menos que no se proporcione ConnectionString

    Use este parámetro para invalidar la cadena de conexión predeterminada solo para el almacén de configuración.

    Debe hacerlo cuando

    : el almacén de configuración del portal usa credenciales diferentes.

    - No desea usar la cadena de conexión predeterminada.

    Cmdlet de ejemplo:

    Set-MgmtSvcIdentityProviderSettings –Target Membership  –MetadataEndpoint ‘https://mytenantportal.contoso.com:23456/FederationMetadata/2007-06/FederationMetadata.xml’ -ConnectionString “Data Source=mysqlserver.contoso.com;User ID=myprivilegeduser;Password=mypassword”

    Sugerencia

    • Este cmdlet se puede usar en cualquier equipo en el que se instalen las actualizaciones de Windows Azure PowerShell para Windows Azure Pack.

    • Los valores actualizados se propagarán finalmente a todos los componentes afectados. Para que la propagación sea más rápida, reinicie manualmente los componentes afectados para que capturen inmediatamente los nuevos valores de configuración. Si el destino es 'Membership', debe reiniciar todos los sitios de autenticación de inquilinos (pertenencia). Si el destino es 'Admin', debe reiniciar todos los sitios de autenticación de administradores (Windows).