Configure os portais de gestão para confiar na AD FS
Aplica-se a: Windows Azure Pack
Depois de configurar os Serviços de Federações de Diretórios Ativos (AD FS), tem de configurar o portal de gestão para administradores e portal de gestão para que os inquilinos confiem em FS AD. Pode executar o Set-MgmtSvcRelyingPartySettings cmdlet ou executar um Windows PowerShell script.
Opção 1: Executar o Set-MgmtSvcRelyingPartySettings cmdlet
Executar o Set-MgmtSvcRelyingPartySettings cmdlet em cada máquina onde o administrador ou o portal do inquilino estão instalados.
Antes de executar o Set-MgmtSvcRelyingPartySettings cmdlet, certifique-se de que a máquina que configura pode aceder ao ponto final de metadados do serviço web AD FS. Para verificar o acesso, abra um navegador e vá para o mesmo URI que pretende utilizar para o parâmetro –MetadataEndpoint. Se conseguir visualizar o ficheiro .xml, pode aceder ao ponto final dos metadados da federação.
Agora, executar o Set-MgmtSvcRelyingPartySettings cmdlet.
Set-MgmtSvcRelyingPartySettings -Target Tenant -MetadataEndpoint https://<fqdn>/FederationMetadata/2007-06/FederationMetadata.xml -DisableCertificateValidation -ConnectionString 'Server=<some server>;User Id=<user with write permissions to all config databases>;Password=<password>;'A tabela seguinte mostra as informações necessárias para executar o Set-MgmtSvcRelyingPartySettings cmdlet.
Parâmetro de cmdlet
Informações necessárias
-Alvo
Este parâmetro é utilizado para indicar qual o portal a configurar. Valores possíveis: Administração, Inquilino.
-MetadataEndpoint
O ponto final dos metadados do serviço web AD FS. Utilize um URI válido, acessível e completo, no seguinte formato: https://< AD FS>/FederationMetadata/2007-06/FederationMetadata.xml. Nos cmdlets seguintes, substitua $fqdn por um nome de domínio AD FS totalmente qualificado (FQDN).
-ConexãoStragem
O fio de ligação à instância de Microsoft SQL Server que acolhe a base de dados de configuração do portal de gestão.
Opção 2: Executar um script Windows PowerShell
Em vez de utilizar o cmdlet, pode executar o seguinte Windows PowerShell script em cada máquina onde o administrador ou o portal do inquilino estão instalados.
$domainName = 'mydomain.com' $adfsPrefix = 'AzurePack-adfs' $dnsName = ($adfsPrefix + "." + $domainName) # Enter Sql Server details here $dbServer = 'AzurePack-sql' $dbUsername = 'sa' $dbPassword = '<SQL_password>' $connectionString = [string]::Format('Data Source={0};User ID={1};Password={2}', $dbServer, $dbUsername, $dbPassword) # Note: Use the \"DisableCertificateValidation\" switch only in test environments. In production environments, # all SSL certificates should be valid. Set-MgmtSvcRelyingPartySettings -Target Tenant ` -MetadataEndpoint https://$dnsName/FederationMetadata/2007-06/FederationMetadata.xml ` -DisableCertificateValidation -ConnectionString $connectionString
Adicionar utilizadores para ter acesso ao portal de gestão para administradores
Se pretender adicionar utilizadores para ter acesso ao portal de gestão para administradores, tem de executar o Add-MgmtSvcAdminUser cmdlet na máquina que acolhe a API Administração. A cadeia de ligação deve apontar para a base de dados de Configuração do Portal de Gestão.
O exemplo de código que se segue mostra como os utilizadores são adicionados para ter acesso.
$adminuser = 'domainuser1@mydomain.com' $dbServer = 'AzurePack-sql' $dbUsername = 'sa' $dbPassword = 'SQL_Password' $connectionString = [string]::Format('Server= {0} ;Initial Catalog=Microsoft.MgmtSvc.Store;User Id={1};Password={2};',$dbServer, $dbUsername, $dbPassword) Add-MgmtSvcAdminUser -Principal $adminuser -ConnectionString $connectionstringNota
-
O formato do $dbuser deve corresponder ao nome principal do utilizador (UPN) que é enviado pela AD FS.
-
Os utilizadores de administradores devem ser utilizadores individuais. Não é possível adicionar grupos AD como utilizadores de administradores.
-