AD FS configureren

Van toepassing op: Windows Azure Pack

Als eerste stap voor het inschakelen van Windows Azure Active Directory Federation Services (AD FS) voor Windows Azure Pack voor Windows Server, moet u AD FS configureren zoals wordt uitgelegd in de volgende stappen.

AD FS configureren

1. Als u een bestaande AD FS gebruikt, gaat u als volgt te werk:

   1. Gebruik in AD FS het volgende adres om de beheerportal toe te voegen voor beheerders en beheerportal voor tenants als relying party's:

      <Portal-URI>/federationMetadata/2007-06/Federationmetadata.xml

      Vervang <de portal-URI> door de adressen van de beheerportal voor beheerders en de beheerportal voor tenants.

      Bijvoorbeeld: https://www.contosotenant.com/federationMetadata/2007-06/Federationmetadata.xml

   2. Pas de volgende transformatieregels toe op de beheerportal voor tenants:

      • AD-groepen transformeren naar 'Groepen'-claims

      • E-mailadres transformeren naar UPN-claims

   3. Sla de resterende stappen over en ga naar De beheerportals configureren om AD FS te vertrouwen.

2. Als u een nieuwe AD FS instelt, schakelt u de AD FS-rol in op de computer die u wilt gebruiken voor AD FS.

3. Meld u als domeinbeheerder aan bij de computer. U hebt twee opties om AD FS te configureren: voer de Install-AdfsFarm cmdlet uit of voer een script uit.

   • Voer de cmdlet Install-AdfsFarm uit om AD FS te configureren.

     Install-AdfsFarm –CertificateThumbprint <String> -FederationServiceName <String> -ServiceAccountCredential <PSCredential> -SQLConnectionString <String>
     

     U moet de volgende informatie opgeven om de Install-AdfsFarm cmdlet uit te voeren.

     Cmdlet-parameter	Benodigde informatie
     –CertificateThumbprint	Ssl-certificaatvingerafdruk (Secure Socket Layer). Het certificaat moet worden geïnstalleerd in het <local_machine>\Mijn archief.
     -FederationServiceName	FQDN (Fully Qualified Domain Name) van de AD FS-service.
     -ServiceAccountCredential	Het domeinserviceaccount om AD FS uit te voeren.
     -SQLConnectionString	SQL connection string naar een exemplaar van een Microsoft SQL Server om de AD FS-databases te hosten.

   • Of voer het volgende script uit om AD FS te configureren.

     Notitie

     U moet makecert.exe installeren voordat u dit script uitvoert. U kunt IIS ook gebruiken om een zelfondertekend certificaat te maken en de vingerafdruk in dit script door te geven.

     # Set these values:
     $domainName = 'contoso.com'
     $adfsPrefix = 'AzurePack-adfs'
     $username = 'username' 
     $password = 'password'
     $dnsName = ($adfsPrefix + "." + $domainName)
     
     # Generate Self Signed Certificate
     Import-Module -Name 'PKI','WebAdministration'
     # You must install makecert.exe before running this script. Alternatively use the IIS UI to create a self-signed certificate and pass the thumbprint in this script
     
     $item = Get-Item -Path 'IIS:\SslBindings\0.0.0.0!443' -ErrorAction SilentlyContinue
     if (!$item)
     {
     MakeCert.exe -n "CN=$dnsName" -r -pe -sky exchange -ss My -sr LocalMachine -eku 1.3.6.1.5.5.7.3.1
     cert = ,(Get-ChildItem 'Cert:\LocalMachine\My' | Where-Object { $_.Subject -eq "CN=$dnsName" })[0]
     }
     $thumbprint = $cert.Thumbprint
     $securePassword = ConvertTo-SecureString -String $password -Force -AsPlainText
     $adfsServiceCredential = New-Object -TypeName System.Management.Automation.PSCredential -ArgumentList ($domainname + '\' + $username), $securePassword
     
     # If you want to install AD FS with a database, provide this data. Otherwise it will install with the Windows Internal Database (which should be enabled 
     # prior to configuring AD fS)
     $dbServer = 'AzurePack-SQl'
     $dbUsername = 'sa'
     $dbPassword = '<SQL_password>'
     $adfsSqlConnectionString = [string]::Format('Data Source={0};Initial Catalog=master;User ID={1};Password={2}', $dbServer, $dbUsername, $dbPassword)
     
     # Configure AD FS
     Install-AdfsFarm `
         -CertificateThumbprint $thumbprint `
         -FederationServiceName $dnsName `
         -ServiceAccountCredential $adfsServiceCredential `
         -SQLConnectionString $adfsSqlConnectionString `
         -OverwriteConfiguration
     

   Tip

   Als er foutberichten worden weergegeven over dubbele Service Principal Names (SPN), gebruikt u het hulpprogramma Setspn om de SPN als volgt te verwijderen en vervolgens opnieuw toe te voegen:

   1. Voer vanaf een opdrachtprompt op de AD FS-computer het hulpprogramma Setspn uit om de dubbele SPN te verwijderen:

      setspn -u -d http/$dnsname $username

   2. Voer vanaf een opdrachtprompt op de AD FS-computer het hulpprogramma Setspn uit om een nieuwe SPN toe te voegen:

      setspn -u -s http/$dnsname $username

   Ga naar de MSDN-pagina over service-principalnamen voor meer informatie over SPN.

Volgende stappen

• De beheerportals configureren om AD FS te vertrouwen