Configurar os portais de gerenciamento para confiar no AD FS
Aplica-se a: Windows Azure Pack
Depois de configurar o AD FS (Active Directory Federations Services), você deve configurar o portal de gerenciamento para administradores e portal de gerenciamento para que os locatários confiem no AD FS. Você pode executar o cmdlet Set-MgmtSvcRelyingPartySettings ou executar um script de Windows PowerShell.
Opção 1: Execute o cmdlet Set-MgmtSvcRelyingPartySettings
Execute o cmdlet Set-MgmtSvcRelyingPartySettings em cada computador em que o administrador ou o portal do locatário está instalado.
Antes de executar o cmdlet Set-MgmtSvcRelyingPartySettings, verifique se o computador configurado pode acessar o ponto de extremidade de metadados do serviço Web do AD FS. Para verificar o acesso, abra um navegador e vá para o mesmo URI que você estiver planejando usar para o parâmetro –MetadataEndpoint. Para exibir o arquivo .xml, você poderá acessar o ponto de extremidade dos metadados de federação.
Agora, execute o cmdlet Set-MgmtSvcRelyingPartySettings.
Set-MgmtSvcRelyingPartySettings -Target Tenant -MetadataEndpoint https://<fqdn>/FederationMetadata/2007-06/FederationMetadata.xml -DisableCertificateValidation -ConnectionString 'Server=<some server>;User Id=<user with write permissions to all config databases>;Password=<password>;'A tabela a seguir mostra as informações necessárias para executar o cmdlet Set-MgmtSvcRelyingPartySettings.
Parâmetro de cmdlet
Informações necessárias
-Target
Esse parâmetro é usado para indicar o portal a ser configurado. Valores possíveis: Administração, Locatário.
-MetadataEndpoint
O ponto de extremidade de metadados de serviço Web do AD FS. Use um URI válido, acessível e completo, no seguinte formato: https://< AD FS>/FederationMetadata/2007-06/FederationMetadata.xml. Nos cmdlets a seguir, substitua $fqdn por um nome de domínio totalmente qualificado (FQDN) acessível do AD FS.
-ConnectionString
A cadeia de conexão com a instância do Microsoft SQL Server que hospeda o banco de dados de configuração do portal de gerenciamento.
Opção 2: Execute um script do Windows PowerShell
Em vez de usar o cmdlet, você pode executar o script do Windows PowerShell a seguir em todos os computadores em que o portal do administrador ou do locatário estiver instalado.
$domainName = 'mydomain.com' $adfsPrefix = 'AzurePack-adfs' $dnsName = ($adfsPrefix + "." + $domainName) # Enter Sql Server details here $dbServer = 'AzurePack-sql' $dbUsername = 'sa' $dbPassword = '<SQL_password>' $connectionString = [string]::Format('Data Source={0};User ID={1};Password={2}', $dbServer, $dbUsername, $dbPassword) # Note: Use the \"DisableCertificateValidation\" switch only in test environments. In production environments, # all SSL certificates should be valid. Set-MgmtSvcRelyingPartySettings -Target Tenant ` -MetadataEndpoint https://$dnsName/FederationMetadata/2007-06/FederationMetadata.xml ` -DisableCertificateValidation -ConnectionString $connectionString
Adicionar usuários para ter acesso ao portal de gerenciamento para administradores
Se você quiser adicionar usuários para ter acesso ao portal de gerenciamento para administradores, execute o cmdlet Add-MgmtSvcAdminUser no computador que hospeda a API Administração. A cadeia de conexão deve apontar para o banco de dados de Configuração do Portal de Gerenciamento.
O exemplo de código a seguir mostra como os usuários são adicionados para obter acesso.
$adminuser = 'domainuser1@mydomain.com' $dbServer = 'AzurePack-sql' $dbUsername = 'sa' $dbPassword = 'SQL_Password' $connectionString = [string]::Format('Server= {0} ;Initial Catalog=Microsoft.MgmtSvc.Store;User Id={1};Password={2};',$dbServer, $dbUsername, $dbPassword) Add-MgmtSvcAdminUser -Principal $adminuser -ConnectionString $connectionstringObservação
-
O formato de $dbuser deve corresponder ao nome UPN enviado pelo AD FS.
-
Os usuários administradores devem ser usuários individuais. Não é possível adicionar grupos do AD como usuários administradores.
-