De beheerportals configureren om AD FS te vertrouwen
Van toepassing op: Windows Azure Pack
Nadat u Active Directory Federations Services (AD FS) hebt geconfigureerd, moet u de beheerportal configureren voor beheerders en beheerportal voor tenants om AD FS te vertrouwen. U kunt de Set-MgmtSvcRelyingPartySettings cmdlet uitvoeren of een Windows PowerShell script uitvoeren.
Optie 1: de cmdlet Set-MgmtSvcRelyingPartySettings uitvoeren
Voer de Set-MgmtSvcRelyingPartySettings cmdlet uit op elke computer waarop de beheerder of tenantportal is geïnstalleerd.
Voordat u de cmdlet Set-MgmtSvcRelyingPartySettings uitvoert, moet u ervoor zorgen dat de computer die u configureert toegang heeft tot het metagegevenseindpunt van de AD FS-webservice. Als u de toegang wilt controleren, opent u een browser en gaat u naar dezelfde URI die u wilt gebruiken voor de parameter –MetadataEndpoint. Als u het .xml-bestand kunt bekijken, hebt u toegang tot het eindpunt voor federatieve metagegevens.
Voer nu de Set-MgmtSvcRelyingPartySettings cmdlet uit.
Set-MgmtSvcRelyingPartySettings -Target Tenant -MetadataEndpoint https://<fqdn>/FederationMetadata/2007-06/FederationMetadata.xml -DisableCertificateValidation -ConnectionString 'Server=<some server>;User Id=<user with write permissions to all config databases>;Password=<password>;'
In de volgende tabel ziet u de vereiste informatie om de Set-MgmtSvcRelyingPartySettings cmdlet uit te voeren.
Cmdlet-parameter
Vereiste informatie
-Doel
Deze parameter wordt gebruikt om aan te geven welke portal moet worden geconfigureerd. Mogelijke waarden: Beheer, tenant.
-MetadataEndpoint
Het metagegevenseindpunt van de AD FS-webservice. Gebruik een geldige, toegankelijke en volledige URI in de volgende indeling: https://< AD FS>/FederationMetadata/2007-06/FederationMetadata.xml. Vervang in de volgende cmdlets $fqdn door een toegankelijke FQDN (Fully Qualified Domain Name) van AD FS.
-ConnectionString
De connection string naar het exemplaar van Microsoft SQL Server dat als host fungeert voor de configuratiedatabase van de beheerportal.
Optie 2: Een Windows PowerShell-script uitvoeren
In plaats van de cmdlet te gebruiken, kunt u het volgende Windows PowerShell script uitvoeren op elke computer waarop de beheerder of tenantportal is geïnstalleerd.
$domainName = 'mydomain.com' $adfsPrefix = 'AzurePack-adfs' $dnsName = ($adfsPrefix + "." + $domainName) # Enter Sql Server details here $dbServer = 'AzurePack-sql' $dbUsername = 'sa' $dbPassword = '<SQL_password>' $connectionString = [string]::Format('Data Source={0};User ID={1};Password={2}', $dbServer, $dbUsername, $dbPassword) # Note: Use the \"DisableCertificateValidation\" switch only in test environments. In production environments, # all SSL certificates should be valid. Set-MgmtSvcRelyingPartySettings -Target Tenant ` -MetadataEndpoint https://$dnsName/FederationMetadata/2007-06/FederationMetadata.xml ` -DisableCertificateValidation -ConnectionString $connectionString
Gebruikers toevoegen om toegang te hebben tot de beheerportal voor beheerders
Als u gebruikers toegang wilt geven tot de beheerportal voor beheerders, moet u de Add-MgmtSvcAdminUser cmdlet uitvoeren op de computer waarop de Beheer API wordt gehost. De connection string moet verwijzen naar de configuratiedatabase van de beheerportal.
In het volgende codevoorbeeld ziet u hoe gebruikers worden toegevoegd om toegang te krijgen.
$adminuser = 'domainuser1@mydomain.com' $dbServer = 'AzurePack-sql' $dbUsername = 'sa' $dbPassword = 'SQL_Password' $connectionString = [string]::Format('Server= {0} ;Initial Catalog=Microsoft.MgmtSvc.Store;User Id={1};Password={2};',$dbServer, $dbUsername, $dbPassword) Add-MgmtSvcAdminUser -Principal $adminuser -ConnectionString $connectionstring
Notitie
-
De indeling van de $dbuser moet overeenkomen met de UPN (User Principal Name) die wordt verzonden door AD FS.
-
Beheerdersgebruikers moeten afzonderlijke gebruikers zijn. U kunt GEEN AD-groepen toevoegen als beheerdersgebruikers.
-