Configurar AD FS

  • Artigo

 

Aplica-se a: Windows Azure Pack

Como primeiro passo para permitir Windows Azure Ative Directory Serviços da Federação (AD FS) para Windows Azure Pack para Windows Server, deve configurar AD FS como explicado nos seguintes passos.

Para configurar ad FS

  1. Se utilizar um FS AD existente, faça o seguinte:

    1. Em AD FS, utilize o seguinte endereço para adicionar o portal de gestão para administradores e portal de gestão para inquilinos como partes dependentes:

      <Portal URI>/federaçãoMetadata/2007-06/Federationmetadata.xml

      Substitua <o Portal URI> pelos endereços do portal de gestão para administradores e pelo portal de gestão para inquilinos.

      Por exemplo, https://www.contosotenant.com/federationMetadata/2007-06/Federationmetadata.xml

    2. Aplicar as seguintes regras de transformação no portal de gestão para os inquilinos:

      • Transformar grupos AD em reivindicações de 'Grupos'

      • Transformar endereço de e-mail para UPN Claims

    3. Ignore os passos restantes e vá para Configure os portais de gestão para confiar em FS AD.

  2. Se estiver a configurar um novo FS AD, na máquina que pretende utilizar para AD FS, ative a função AD FS.

  3. Inicie sessão na máquina como administrador de domínio. Você tem duas opções para configurar AD FS: Executar o Install-AdfsFarm cmdlet ou executar um script.

    • Executar o Install-AdfsFarm cmdlet para configurar a AD FS.

      Install-AdfsFarm –CertificateThumbprint <String> -FederationServiceName <String> -ServiceAccountCredential <PSCredential> -SQLConnectionString <String>

      Deve fornecer as seguintes informações para executar o Install-AdfsFarm cmdlet.

      Parâmetro de cmdlet

      Informação necessária

      –CertificadoThumbprint

      Impressão digital do certificado de camada de tomada segura (SSL). O certificado deve ser instalado no <local_machine>\A minha loja.

      -FederaçãoServá-lo

      Nome de domínio totalmente qualificado (FQDN) do serviço AD FS.

      -ServiçoAccountCredential

      A conta de serviço de domínio para executar AD FS.

      -SQLConnectionString

      SQL cadeia de ligação a um exemplo de um Microsoft SQL Server para hospedar as bases de dados da AD FS.

    • Ou, executar o seguinte script para configurar AD FS.

      Nota

      Tem de instalar makecert.exe antes de executar este script. Em alternativa, pode utilizar o IIS para criar um certificado auto-assinado e passar a impressão digital neste script.

      # Set these values:
$domainName = 'contoso.com'
$adfsPrefix = 'AzurePack-adfs'
$username = 'username' 
$password = 'password'
$dnsName = ($adfsPrefix + "." + $domainName)

# Generate Self Signed Certificate
Import-Module -Name 'PKI','WebAdministration'
# You must install makecert.exe before running this script. Alternatively use the IIS UI to create a self-signed certificate and pass the thumbprint in this script

$item = Get-Item -Path 'IIS:\SslBindings\0.0.0.0!443' -ErrorAction SilentlyContinue
if (!$item)
{
MakeCert.exe -n "CN=$dnsName" -r -pe -sky exchange -ss My -sr LocalMachine -eku 1.3.6.1.5.5.7.3.1
cert = ,(Get-ChildItem 'Cert:\LocalMachine\My' | Where-Object { $_.Subject -eq "CN=$dnsName" })[0]
}
$thumbprint = $cert.Thumbprint
$securePassword = ConvertTo-SecureString -String $password -Force -AsPlainText
$adfsServiceCredential = New-Object -TypeName System.Management.Automation.PSCredential -ArgumentList ($domainname + '\' + $username), $securePassword

# If you want to install AD FS with a database, provide this data. Otherwise it will install with the Windows Internal Database (which should be enabled 
# prior to configuring AD fS)
$dbServer = 'AzurePack-SQl'
$dbUsername = 'sa'
$dbPassword = '<SQL_password>'
$adfsSqlConnectionString = [string]::Format('Data Source={0};Initial Catalog=master;User ID={1};Password={2}', $dbServer, $dbUsername, $dbPassword)

# Configure AD FS
Install-AdfsFarm `
    -CertificateThumbprint $thumbprint `
    -FederationServiceName $dnsName `
    -ServiceAccountCredential $adfsServiceCredential `
    -SQLConnectionString $adfsSqlConnectionString `
    -OverwriteConfiguration

    Dica

    Se receber mensagens de erro sobre nomes principais de serviço duplicados (SPN), utilize a ferramenta Setspn para remover e, em seguida, adicione novamente o SPN da seguinte forma:

    1. A partir de um pedido de comando na máquina AD FS, executar a ferramenta Setspn para remover a SPN duplicada:

      setspn -u -d http/$dnsname $username

    2. A partir de um pedido de comando na máquina AD FS, executar a ferramenta Setspn para adicionar um novo SPN:

      setspn -u -s http/$dnsname $username

    Para mais informações sobre a SPN, visite a página da MSDN sobre os nomes principais do serviço.

Passos seguintes