Configurar o AD FS

Aplica-se a: Windows Azure Pack

Como a primeira etapa de habilitação do AD FS (Serviços de Federação Windows Azure Active Directory) para Windows Azure Pack para Windows Server, você deve configurar o AD FS, conforme explicado nas etapas a seguir.

Para configurar o AD FS

1. Se você estiver usando um AD FS existente, siga este procedimento:

   1. No AD FS, use o seguinte endereço para adicionar o portal de gerenciamento para administradores e portal de gerenciamento para locatários como partes confiáveis:

      <Portal URI>/federationMetadata/2007-06/Federationmetadata.xml

      Substitua <o URI> do Portal pelos endereços do portal de gerenciamento para administradores e o portal de gerenciamento para locatários.

      Por exemplo, https://www.contosotenant.com/federationMetadata/2007-06/Federationmetadata.xml

   2. Aplique as seguintes regras de transformação ao portal de gerenciamento para locatários:

      • Transformar grupos do AD em declarações de 'grupos'

      • Transformar o endereço de email em declarações de UPN

   3. Ignore as etapas restantes e vá para Configure the management portals to trust AD FS.

2. Se você estiver configurando um novo AD FS, no computador que deseja usar para o AD FS, habilite a função do AD FS.

3. Faça logon no computador como administrador de domínio. Você tem duas opções para configurar o AD FS: executar o cmdlet Install-AdfsFarm ou executar um script.

   • Execute o cmdlet Install-AdfsFarm para configurar o AD FS.

     Install-AdfsFarm –CertificateThumbprint <String> -FederationServiceName <String> -ServiceAccountCredential <PSCredential> -SQLConnectionString <String>
     

     Você deve fornecer as seguintes informações para executar o cmdlet Install-AdfsFarm.

     Parâmetro de cmdlet	Informações necessárias
     –CertificateThumbprint	Impressão digital de Certificado SSL. O certificado deve ser instalado no <local_machine>\Meu repositório.
     -FederationServiceName	FQDN (Nome de domínio totalmente qualificado) do serviço AD FS.
     -ServiceAccountCredential	A conta do serviço de domínio para execução do AD FS.
     -SQLConnectionString	Cadeia de conexão SQL para uma instância de um Microsoft SQL Server para hospedar os bancos de dados do AD FS.

   • Ou execute o script a seguir para configurar o AD FS.

     Observação

     Você deve instalar makecert.exe antes de executar esse script. Como alternativa, use o IIS para criar um certificado autoassinado e passar a impressão digital neste script.

     # Set these values:
     $domainName = 'contoso.com'
     $adfsPrefix = 'AzurePack-adfs'
     $username = 'username' 
     $password = 'password'
     $dnsName = ($adfsPrefix + "." + $domainName)
     
     # Generate Self Signed Certificate
     Import-Module -Name 'PKI','WebAdministration'
     # You must install makecert.exe before running this script. Alternatively use the IIS UI to create a self-signed certificate and pass the thumbprint in this script
     
     $item = Get-Item -Path 'IIS:\SslBindings\0.0.0.0!443' -ErrorAction SilentlyContinue
     if (!$item)
     {
     MakeCert.exe -n "CN=$dnsName" -r -pe -sky exchange -ss My -sr LocalMachine -eku 1.3.6.1.5.5.7.3.1
     cert = ,(Get-ChildItem 'Cert:\LocalMachine\My' | Where-Object { $_.Subject -eq "CN=$dnsName" })[0]
     }
     $thumbprint = $cert.Thumbprint
     $securePassword = ConvertTo-SecureString -String $password -Force -AsPlainText
     $adfsServiceCredential = New-Object -TypeName System.Management.Automation.PSCredential -ArgumentList ($domainname + '\' + $username), $securePassword
     
     # If you want to install AD FS with a database, provide this data. Otherwise it will install with the Windows Internal Database (which should be enabled 
     # prior to configuring AD fS)
     $dbServer = 'AzurePack-SQl'
     $dbUsername = 'sa'
     $dbPassword = '<SQL_password>'
     $adfsSqlConnectionString = [string]::Format('Data Source={0};Initial Catalog=master;User ID={1};Password={2}', $dbServer, $dbUsername, $dbPassword)
     
     # Configure AD FS
     Install-AdfsFarm `
         -CertificateThumbprint $thumbprint `
         -FederationServiceName $dnsName `
         -ServiceAccountCredential $adfsServiceCredential `
         -SQLConnectionString $adfsSqlConnectionString `
         -OverwriteConfiguration
     

   Dica

   Se você receber mensagens de erro sobre nomes da entidade de serviço (SPN) duplicados, use a ferramenta Setspn para remover e adicionar novamente o SPN da seguinte maneira:

   1. Em um prompt de comando no computador do AD FS, execute a ferramenta Setspn para remover o SPN duplicado:

      setspn -u -d http/$dnsname $username

   2. Em um prompt de comando no computador do AD FS, execute a ferramenta Setspn para adicionar um novo SPN:

      setspn -u -s http/$dnsname $username

   Para obter mais informações sobre o SPN, visite a página do MSDN sobre nomes da entidade de serviço.

Próximas etapas

• Configurar os portais de gerenciamento para confiar no AD FS