Configurer Active Directory Federation Services pour Windows Azure Pack

 

S’applique à : Windows Azure Pack

Par défaut, Windows Azure Pack pour Windows Server utilise l’authentification suivante.

Service

Authentification par défaut

Portail de gestion pour les administrateurs

Authentification Windows

Portail de gestion pour les locataires

Fournisseur d'appartenances ASP.Net

Au lieu d’utiliser ces types d’authentification par défaut, vous avez également la possibilité de configurer Windows Azure Pack pour utiliser Windows Azure Active Directory services de fédération (AD FS) pour l’authentification, comme décrit dans les étapes suivantes. Cette option nécessite Windows Server 2012 R2.

Si vous souhaitez revenir à l’authentification par défaut, consultez Basculer vers les sites d’authentification Azure Pack par défaut Windows

Notes

Les informations suivantes présument que vous n'avez pas encore configuré AD FS dans votre environnement. Si vous avez configuré AD FS, vous pouvez ignorer la première étape et passer directement à Configurer AD FS afin d'établir la confiance pour les portails de gestion.

  1. Configurer AD FS

  2. Configurer les portails de gestion pour la confiance AD FS

  3. Configurer le site d'authentification du locataire pour la confiance AD FS

  4. Configurer la confiance AD FS pour les portails de gestion

Meilleures pratiques

Avant de configurer AD FS, passez en revue les meilleures pratiques suivantes.

  • Le format des groupes d'utilisateurs qui sont fournis par l'installation d'AD FS doit correspondre au format qui est utilisé dans l'interface utilisateur. Le format prescrit pour ajouter des groupes AD comme coadministrateurs est domaine\alias.

  • Le propriétaire de l'abonnement doit être un utilisateur individuel et non un groupe.

  • La meilleure pratique consiste généralement à utiliser une adresse de messagerie comme identificateur unique. Les générateurs de revendications personnalisées permettent un GUID ou d'autres identificateurs uniques mais leur utilisation complique l'ajout de coadministrateurs ou l'ajout d'utilisateurs individuels, et devrait être évitée en règle générale.

  • Par défaut, AD FS définit un cookie côté client afin de suivre la sélection de l'utilisateur pour les méthodes d'authentification. Vous pouvez désactiver cette action en exécutant l'applet de commande Windows PowerShell AD FS suivante :

    Set-ADFSWebConfig –HRDCookieEnabled $false
    

Pour plus d'informations sur le déploiement et la maintenance d'une batterie de serveurs AD FS, visitez la rubrique Vue d'ensemble des services ADFS (Active Directory Federation Services).