Reconfigurer les noms de domaine complets et les ports dans Windows Azure Pack

S’applique à : Windows Azure Pack

Windows Azure Pack pour Windows Server utilise le système d’authentification basé sur les revendications pour authentifier et autoriser les utilisateurs. Cette authentification est effectuée par un service d'émission de jetons de sécurité d'un fournisseur d'identité (IdP- STS) externe. Le système fait confiance au service IdP-STS pour vérifier l'identité des utilisateurs et pour fournir un ensemble de revendications approuvées sur chaque utilisateur. Une relation d’approbation bidirectionnelle avec idP-STS doit être établie pendant Windows configuration d’Azure Pack afin que les modifications de point de terminaison soient correctement communiquées aux composants affectés.

Pour établir cette relation d’approbation, les composants Azure Pack suivants exposent des informations de métadonnées Windows.

• Portail de gestion pour les locataires

• Portail de gestion pour les administrateurs

• Site d'authentification du locataire

• Site d'authentification d'administration

Les données exposées comprennent toutes les informations de confiance nécessaires, y compris les informations de point de terminaison des différents composants. Les informations de point de terminaison sont utilisées pour rediriger les utilisateurs vers idP-STS et revenir à Windows Azure Pack.

Par conséquent, chaque fois qu'un point de terminaison change pour un composant, les informations de métadonnées doivent être mises à jour et la relation de confiance doit être rétablie en utilisant les métadonnées mises à jour.

Windows l’installation et la configuration d’Azure Pack fournissent des valeurs par défaut pour les informations sur les métadonnées et les points de terminaison exposés. Par défaut, Windows Azure Pack utilise l’ordinateur et le nom de domaine comme nom de domaine complet (FQDN) de chaque composant. Il fournit également des numéros de ports prédéfinis pour chacun des composants.

Par exemple, si le nom d'hôte de votre ordinateur locataire est « mytenantmachine » et votre domaine est « contoso.com », la configuration par défaut du portail du locataire sera https://mytenantmachine.contoso.com:30081.

Dans certains scénarios, les valeurs par défaut des points de terminaison doivent être modifiées. Par exemple :

• Si vous remplacez le certificat SSL auto-signé par défaut d'un composant avec un certificat réel, le nom de domaine complet du composant doit correspondre au nom de domaine complet du certificat.

• Si vous utilisez un programme d'équilibrage de charge entre plusieurs instances d'un composant, vous devez utiliser le point de terminaison du programme d'équilibrage de charge au lieu du point de terminaison de chaque instance de composant.

• Si vous modifiez les ports prédéfinis, vous devez mettre à jour les paramètres de port Windows Azure Pack. Par exemple, la modification du port HTTPS par défaut 443 nécessite de mettre à jour les paramètres de port Windows Azure Pack.

Dans un pareil cas, les informations de métadonnées doivent être mises à jour et la relation de confiance doit d'être rétablie comme expliqué dans les étapes suivantes.

Pour mettre à jour le nom de domaine complet et les paramètres de port

1. Exécutez l’applet de commande Set-MgmtSvcFqdn sur l’ordinateur à mettre à jour.

   Set-MgmtSvcFqdn –Namespace <Namsepace Token> -ConnectionString <Connection String> [-FQDN <FQDN>] [-Port <port>] [-Verbose]
   

   Paramètre	Obligatoire ou facultatif	Détails
   -ConnectionString	Obligatoire	Ce paramètre définit la chaîne de connexion au SQL Server hébergeant les magasins de configuration Azure Pack Windows. Il n'est pas obligatoire d'utiliser un nom de base de données (Catalogue initial). Les informations d'identification incluses dans la chaîne doivent posséder des autorisations d'écriture sur les magasins de certificats. Par exemple : $connectionString = “Data Source=$server;User ID=$userId;Password=$password” $server : adresse du SQL Server hébergeant les bases de données de configuration du portail de gestion. $userId : un utilisateur SQL disposant d’autorisations d’écriture dans les bases de données de configuration du portail de gestion. $password : mot de passe du compte $userId.
   -FQDN	Facultatif	Ce paramètre est utilisé pour spécifier le nouveau nom de domaine complet de la machine. Remplacez $fqdn par le nouveau nom de domaine complet, sans inclure le préfixe de protocole. Par exemple, mynewfqdn.contoso.com. Vous pouvez omettre ce paramètre si vous ne modifiez pas le nom de domaine complet.
   -Espace de noms	Obligatoire	Ce paramètre est utilisé pour indiquer le composant à configurer. Valeurs possibles : « AdminSite », « TenantSite », « AuthSite », « WindowsAuthSite ».
   -Port	Facultatif	Ce paramètre est utilisé pour définir un nouveau port. Remplacez $port par le nouveau port. Par exemple, 443. Notez que l'utilisation du port HTTPS par défaut 443 supprime la section du port du point de terminaison. Vous pouvez omettre ce paramètre si vous ne modifiez pas le port.

2. Dans le Gestionnaire des services IIS, vérifiez que les valeurs du nom de domaine complet et du port ont été mises à jour. Vérifiez également que le nom de domaine complet correspond au certificat SSL.

3. Le nouveau nom de domaine complet et la nouvelle valeur du port se propageront par la suite aux composants ciblés. Redémarrez l'outil pour vérifier que la mise à jour est appliquée immédiatement.

4. Recommencez les étapes 2 et 3 sur toutes les machines qui hébergent le composant.

5. Si nécessaire, configurez votre DNS pour transférer les requêtes à l'emplacement approprié.

6. Rétablissez la confiance entre tous les composants affectés, comme indiqué dans la section ci-dessous.

Rétablir la confiance

Windows Azure Pack est une application prenant en charge les revendications qui utilise des jetons et des revendications pour authentifier et autoriser les utilisateurs finaux. De telles applications n'utilisent pas l'identité de l'émetteur de jeton, tant que le jeton répond à certaines conditions, par exemple quand il est signé par une clé approuvée. Pour plus d’informations, consultez applications prenant en charge les revendications.

Avec l'authentification basée sur des revendications, un système fait confiance à un STS pour émettre ses jetons. Cependant, cela ne signifie pas nécessairement que ce STS effectue réellement l'authentification de l'utilisateur. Il est possible que le STS délègue la demande d'authentification d'utilisateur (ou fédération) à un autre STS qui est approuvé par le premier STS. Cette chaîne de STS qui se font confiance les uns les autres et qui délèguent des demandes est habituelle et flexible. Il existe un nombre infini de topologies de relations de confiance. Les administrateurs système doivent choisir la topologie la plus appropriée pour répondre aux besoins de l'entreprise.

Par exemple, vous pouvez configurer Windows portails d’administration Azure Pack pour approuver AD FS pour authentifier les utilisateurs. En fonction de sa configuration, AD FS peut effectuer les tâches suivantes :

• AD FS peut authentifier les utilisateurs directement, en utilisant les informations d'identification du portail de gestion Active Directory.

• AD FS peut fédérer la demande vers un autre STS.

Dans le second cas, vous pouvez utiliser le service ACS (Active Directory Access Control) de Microsoft Azure comme autre STS, par exemple. ACS peut ensuite refédérer la demande vers un autre STS, par exemple Windows Live. Dans ce cas, Windows Live authentifie effectivement l'utilisateur à l'aide des informations d'identification Windows Live. Il s’agit d’une façon d’activer Windows l’authentification Live, Google ou Facebook dans Windows Azure Pack.

L'administrateur système doit être familiarisé avec la chaîne de confiance pour comprendre quels composants doivent être mis à jour après une modification de configuration.

Rétablir la confiance pour les portails de gestion

1. Si le point de terminaison STS est immédiatement approuvé par un Windows portail d’administration Azure Pack a été modifié, vous devez mettre à jour les portails avec les nouvelles informations de point de terminaison. Pour cela, utilisez l'applet de commande PowerShell Set-MgmtSvcRelyingPartySettings sur les machines appropriées.

   Set-MgmtSvcRelyingPartySettings -Target <Targets> –MetadataEndpoint <Metadata Endpoint Full URL> [-ConnectionString <Connection String>] [-DisableCertificateValidation] [-PortalConnectionString <Portal Configuration Store Connection String>] [-ManagementConnectionString <Management Store Connection String>]
   

   Paramètre	Obligatoire ou facultatif	Détails
   Cible	Obligatoire	Ce paramètre définit l'ensemble des composants à mettre à jour. Valeurs autorisées pour <les cibles> : Locataire - Utilisez cette valeur pour configurer le portail de gestion des locataires, la couche API du locataire et la couche API de l'administrateur. Admin - Utilisez cette valeur pour configurer le portail de gestion des administrateurs et la couche API de l'administrateur. Vous pouvez indiquer une seule cible ou un ensemble de cibles.
   MetadataEndpoint	Obligatoire	Ce paramètre définit l'URL complète du point de terminaison des métadonnées IdP- STS approuvé. Valeurs autorisées pour l’URL> complète du< point de terminaison de métadonnées : Une URL valide, par exemple : http://mysts.contoso.com:1234/FederationMetadata/2007-06/FederationMetadata.xml
   ConnectionString	Requis, sauf si PortalConnectionString et ManagementConnectionString sont utilisés.	Ce paramètre définit la chaîne de connexion au SQL Server hébergeant les magasins de configuration du portail Azure Pack Windows et le magasin d’administration. Il n'est pas obligatoire d'utiliser un nom de base de données (Catalogue initial). Si les magasins de configurations ou le magasin de gestion du portail sont hébergés sur des instances SQL Server différentes ou utilisent des noms de base de données non définis par défaut, utilisez les paramètres PortalConnectionString et ManagementConnectionString à la place.
   DisableCertificateValidation	Facultatif Non recommandé dans les environnements de production.	Ce paramètre désactive la validation de certificat SSL. Si vous n'utilisez pas ce paramètre, l'applet de commande ne récupèrera pas les informations des métadonnées si le point de terminaison des métadonnées utilise un certificat SSL auto-signé.
   PortalConnectionString	Facultatif, sauf si ConnectionString n'est pas fourni	Utilisez ce paramètre pour remplacer la chaîne de connexion par défaut juste pour le magasin de configurations. Cela est conseillé lorsque - Le magasin de configuration du portail se trouve sur une autre instance SQL. - Le magasin de configuration du portail utilise différentes informations d’identification. - Vous ne souhaitez pas utiliser la chaîne de connexion par défaut.
   ManagementConnectionString	Facultatif, sauf si ConnectionString n'est pas fourni	Utilisez ce paramètre pour remplacer la chaîne de connexion par défaut juste pour le magasin de gestion. Cela est conseillé lorsque - Le magasin d’administration WAP se trouve sur une autre instance SQL. - Le magasin d’administration utilise différentes informations d’identification. - Vous ne souhaitez pas utiliser la chaîne de connexion par défaut.

   Exemple d'applet de commande :

   Set-MgmtSvcRelyingPartySettings –Target Tenant –MetadataEndpoint ‘https://mysts.contoso.com:12345/FederationMetadata/2007-06/FederationMetadata.xml’ -ConnectionString “Data Source=mysqlserver.contoso.com;User ID=myprivilegeduser;Password=mypassword”
   

   Conseil

   • Cette applet de commande peut être utilisée sur n’importe quel ordinateur où les mises à jour Windows Azure PowerShell pour Windows Azure Pack sont installées.

   • Les paramètres mis à jour se propageront par la suite à tous les composants affectés. Pour une propagation plus rapide, redémarrez manuellement les composants affectés immédiatement pour extraire les nouvelles valeurs de configuration. Si la cible est « Locataire » vous devez redémarrer tous les portails de gestion des locataires, de l'API du locataire et des composants de l'API d'administration. Si la cible est « Admin » vous devez redémarrer tous les portails de gestion des administrateurs, de l'API du locataire et des composants de l'API d'administration.

Rétablir la confiance pour les sites d'authentification

1. Si le point de terminaison STS est immédiatement approuvé par un Windows site d’authentification Azure Pack a été modifié, vous devez mettre à jour les sites d’authentification avec les nouvelles informations de point de terminaison. Pour ce faire, utilisez l’applet de commande PowerShell Set-MgmtSvcIdentityProviderSettings applet de commande PowerShell sur les machines appropriées.

   Set-MgmtSvcIdentityProviderSettings -Target <Targets> –MetadataEndpoint <Metadata Endpoint Full URL> [-ConfigureSecondary] [-ConnectionString <Connection String>] [-DisableCertificateValidation] [-PortalConnectionString <Portal Configuration Store Connection String>]
   

   Paramètre	Obligatoire ou facultatif	Détails
   Cible	Obligatoire	Ce paramètre définit l'ensemble des composants à mettre à jour. Valeurs autorisées pour <les cibles> : Appartenance - Utilisez cette valeur pour configurer le site d'authentification (Appartenance) du locataire. Windows - Utilisez cette valeur pour configurer le site d'authentification (Windows) de l'administrateur. Vous pouvez indiquer une seule cible ou un ensemble de cibles.
   MetadataEndpoint	Obligatoire	Ce paramètre définit l'URL complète du point de terminaison du composant de confiance. Valeurs autorisées pour l’URL> complète du< point de terminaison de métadonnées : Une URL valide, par exemple : http://mysts.contoso.com:1234/FederationMetadata/2007-06/FederationMetadata.xml
   ConfigureSecondary	Facultatif	Chaque site d'authentification prend en charge jusqu'à deux parties de confiance sous-jacentes. Incluez ce paramètre pour configurer une seconde partie de confiance, au lieu de remplacer la partie de confiance par défaut.
   ConnectionString	Requis, sauf si PortalConnectionString est utilisé	Ce paramètre définit la chaîne de connexion au SQL Server hébergeant les magasins de configuration du portail Azure Pack Windows. Il n'est pas obligatoire d'utiliser un nom de base de données (Catalogue initial). Si le magasin de configurations du portail utilise un nom de base de données non défini par défaut, utilisez le paramètre PortalConnectionString à la place.
   DisableCertificateValidation	Facultatif Non recommandé dans les environnements de production.	Ce paramètre désactive la validation de certificat SSL. Si vous n'utilisez pas ce paramètre, l'applet de commande ne récupèrera pas les informations des métadonnées si le point de terminaison des métadonnées utilise un certificat SSL auto-signé.
   PortalConnectionString	Facultatif, sauf si ConnectionString n'est pas fourni	Utilisez ce paramètre pour remplacer la chaîne de connexion par défaut juste pour le magasin de configurations. Cela est conseillé lorsque - Le magasin de configuration du portail utilise différentes informations d’identification. - Vous ne souhaitez pas utiliser la chaîne de connexion par défaut.

   Exemple d'applet de commande :

   Set-MgmtSvcIdentityProviderSettings –Target Membership  –MetadataEndpoint ‘https://mytenantportal.contoso.com:23456/FederationMetadata/2007-06/FederationMetadata.xml’ -ConnectionString “Data Source=mysqlserver.contoso.com;User ID=myprivilegeduser;Password=mypassword”
   

   Conseil

   • Cette applet de commande peut être utilisée sur n’importe quel ordinateur où les mises à jour Windows Azure PowerShell pour Windows Azure Pack sont installées.

   • Les paramètres mis à jour se propageront par la suite à tous les composants affectés. Pour une propagation plus rapide, redémarrez manuellement les composants affectés immédiatement pour extraire les nouvelles valeurs de configuration. Si la cible est « Appartenance », vous devez redémarrer tous les sites d'authentification (Appartenance) du locataire. Si la cible est « Admin », vous devez redémarrer tous les sites d'authentification (Windows) de l'administrateur.