Configurar o AD FS
Aplica-se a: Windows Azure Pack
Como a primeira etapa de habilitação do AD FS (Serviços de Federação Windows Azure Active Directory) para Windows Azure Pack para Windows Server, você deve configurar o AD FS, conforme explicado nas etapas a seguir.
Para configurar o AD FS
Se você estiver usando um AD FS existente, siga este procedimento:
No AD FS, use o seguinte endereço para adicionar o portal de gerenciamento para administradores e portal de gerenciamento para locatários como partes confiáveis:
<Portal URI>/federationMetadata/2007-06/Federationmetadata.xml
Substitua <o URI> do Portal pelos endereços do portal de gerenciamento para administradores e o portal de gerenciamento para locatários.
Por exemplo, https://www.contosotenant.com/federationMetadata/2007-06/Federationmetadata.xml
Aplique as seguintes regras de transformação ao portal de gerenciamento para locatários:
Transformar grupos do AD em declarações de 'grupos'
Transformar o endereço de email em declarações de UPN
Ignore as etapas restantes e vá para Configure the management portals to trust AD FS.
Se você estiver configurando um novo AD FS, no computador que deseja usar para o AD FS, habilite a função do AD FS.
Faça logon no computador como administrador de domínio. Você tem duas opções para configurar o AD FS: executar o cmdlet Install-AdfsFarm ou executar um script.
Execute o cmdlet Install-AdfsFarm para configurar o AD FS.
Install-AdfsFarm –CertificateThumbprint <String> -FederationServiceName <String> -ServiceAccountCredential <PSCredential> -SQLConnectionString <String>
Você deve fornecer as seguintes informações para executar o cmdlet Install-AdfsFarm.
Parâmetro de cmdlet
Informações necessárias
–CertificateThumbprint
Impressão digital de Certificado SSL. O certificado deve ser instalado no <local_machine>\Meu repositório.
-FederationServiceName
FQDN (Nome de domínio totalmente qualificado) do serviço AD FS.
-ServiceAccountCredential
A conta do serviço de domínio para execução do AD FS.
-SQLConnectionString
Cadeia de conexão SQL para uma instância de um Microsoft SQL Server para hospedar os bancos de dados do AD FS.
Ou execute o script a seguir para configurar o AD FS.
Observação
Você deve instalar makecert.exe antes de executar esse script. Como alternativa, use o IIS para criar um certificado autoassinado e passar a impressão digital neste script.
# Set these values: $domainName = 'contoso.com' $adfsPrefix = 'AzurePack-adfs' $username = 'username' $password = 'password' $dnsName = ($adfsPrefix + "." + $domainName) # Generate Self Signed Certificate Import-Module -Name 'PKI','WebAdministration' # You must install makecert.exe before running this script. Alternatively use the IIS UI to create a self-signed certificate and pass the thumbprint in this script $item = Get-Item -Path 'IIS:\SslBindings\0.0.0.0!443' -ErrorAction SilentlyContinue if (!$item) { MakeCert.exe -n "CN=$dnsName" -r -pe -sky exchange -ss My -sr LocalMachine -eku 1.3.6.1.5.5.7.3.1 cert = ,(Get-ChildItem 'Cert:\LocalMachine\My' | Where-Object { $_.Subject -eq "CN=$dnsName" })[0] } $thumbprint = $cert.Thumbprint $securePassword = ConvertTo-SecureString -String $password -Force -AsPlainText $adfsServiceCredential = New-Object -TypeName System.Management.Automation.PSCredential -ArgumentList ($domainname + '\' + $username), $securePassword # If you want to install AD FS with a database, provide this data. Otherwise it will install with the Windows Internal Database (which should be enabled # prior to configuring AD fS) $dbServer = 'AzurePack-SQl' $dbUsername = 'sa' $dbPassword = '<SQL_password>' $adfsSqlConnectionString = [string]::Format('Data Source={0};Initial Catalog=master;User ID={1};Password={2}', $dbServer, $dbUsername, $dbPassword) # Configure AD FS Install-AdfsFarm ` -CertificateThumbprint $thumbprint ` -FederationServiceName $dnsName ` -ServiceAccountCredential $adfsServiceCredential ` -SQLConnectionString $adfsSqlConnectionString ` -OverwriteConfiguration
Dica
Se você receber mensagens de erro sobre nomes da entidade de serviço (SPN) duplicados, use a ferramenta Setspn para remover e adicionar novamente o SPN da seguinte maneira:
-
Em um prompt de comando no computador do AD FS, execute a ferramenta Setspn para remover o SPN duplicado:
setspn -u -d http/$dnsname $username
-
Em um prompt de comando no computador do AD FS, execute a ferramenta Setspn para adicionar um novo SPN:
setspn -u -s http/$dnsname $username
Para obter mais informações sobre o SPN, visite a página do MSDN sobre nomes da entidade de serviço.