Reconfigurar FQDNs e Portos em Windows Azure Pack

Artigo
09/07/2016

Aplica-se a: Windows Azure Pack

Windows Azure Pack para Windows Server utiliza o sistema de autenticação baseado em reclamações para autenticar e autorizar os utilizadores. Esta autenticação é realizada por um Serviço Externo de Token de Segurança do Fornecedor de Identidade (IdP-STS). O sistema confia no IdP-STS para verificar a identidade dos utilizadores e fornecer um conjunto de reclamações fidedignos sobre cada utilizador. Uma relação de confiança bidireccionada com o IdP-STS deve ser estabelecida durante Windows configuração do Azure Pack para que as alterações do ponto final sejam devidamente comunicadas aos componentes afetados.

Para estabelecer esta relação de confiança, os seguintes componentes Windows Azure Pack expõem informações de metadados.

Portal de gestão para inquilinos
Portal de gestão para administradores
Site de autenticação de inquilinos
site de autenticação Administração

Os dados expostos incluem todas as informações de confiança necessárias, incluindo a informação do ponto final dos diferentes componentes. As informações do ponto final são utilizadas para redirecionar os utilizadores para o IdP-STS e de volta para Windows Azure Pack.

Portanto, sempre que uma configuração de ponto final muda para um componente, a informação de metadados deve ser atualizada e a relação de confiança deve ser restabelecida usando os metadados atualizados.

Windows instalação e configuração do Azure Pack fornece valores predefinidos para os metadados expostos e informações de ponto final. Por predefinição, Windows Azure Pack utiliza a máquina e o nome de domínio como o Nome de Domínio Totalmente Qualificado (FQDN) de cada componente. Também define números de porta pré-definidos para cada componente.

Por exemplo, se o nome de anfitrião da máquina de inquilino for "mytenantmachine" e o seu domínio for "contoso.com", a configuração padrão do Portal do Inquilino será https://mytenantmachine.contoso.com:30081.

Em alguns cenários, os valores do ponto final padrão devem ser alterados. Por exemplo:

Se atualizar o certificado SSL auto-assinado por defeito de um componente para um certificado real, o FQDN do componente deve corresponder ao certificado FQDN.
Se utilizar um equilibrador de carga em várias instâncias de um componente, deve utilizar o ponto final do balançador de carga em vez do ponto final de cada instância de componentes.
Se alterar as portas pré-definidas, tem de atualizar as definições da porta Windows Azure Pack. Por exemplo, a alteração para a porta HTTPS 443 predefinida requer que atualize as definições da porta Windows Azure Pack.

Nesses casos, as informações sobre metadados devem ser atualizadas e a relação de confiança deve ser restabelecida, tal como explicado nos seguintes passos.

Para atualizar as definições FQDN e porta

Coloque o cmdlet Set-MgmtSvcFqdn na máquina que pretende atualizar.

Set-MgmtSvcFqdn –Namespace <Namsepace Token> -ConnectionString <Connection String> [-FQDN <FQDN>] [-Port <port>] [-Verbose]

Parâmetro	Obrigatório/opcional	Detalhes
-ConexãoStragem	Necessário	Este parâmetro define a cadeia de ligação ao SQL Server que hospeda as lojas de configuração Windows Azure Pack. Não é necessário um nome de base de dados (Catálogo Inicial). As credenciais incluídas na cadeia devem ter permissões de escrita nas lojas de configuração. Por exemplo: `$connectionString = “Data Source=$server;User ID=$userId;Password=$password”` $server – O endereço do SQL Server que acolhe as bases de dados de configuração do portal de gestão. $userId – Um utilizador SQL com permissões de escrita para as bases de dados de configuração do portal de gestão. $password – A senha da conta $userId.
-FQDN	Opcional	Este parâmetro é utilizado para especificar o novo FQDN para a máquina. Substitua $fqdn pelo novo FQDN, sem incluir o prefixo do protocolo. Por exemplo, mynewfqdn.contoso.com. Pode omitir este parâmetro se não estiver a alterar o FQDN.
- Espaço de nome	Necessário	Este parâmetro é utilizado para indicar qual o componente a configurar. Valores possíveis: 'AdminSite', 'TenantSite', 'AuthSite', 'WindowsAuthSite'.
-Port	Opcional	Este parâmetro é usado para definir a nova porta. Substitua $port pela nova porta. Por exemplo, 443. Nota Utilizando a porta HTTPS padrão 443 removerá a secção de porta do ponto final. Pode omitir este parâmetro se não estiver a mudar a porta.

Em Serviços de Informação Internet Manager, certifique-se de que os valores da FQDN e da porta foram atualizados. Certifique-se também de que o FQDN corresponde ao certificado SSL.
Os valores FQDN e portuários atualizados irão eventualmente propagar-se aos componentes visados. Para garantir que isso acontece imediatamente, reinicie o site.
Repita os passos 2 e 3 em todas as máquinas que hospedam o componente.
Se necessário, crie o seu DNS para encaminhar os pedidos para o local apropriado.
Restabelecer a confiança entre todos os componentes afetados, conforme instruído na secção seguinte.

Restabelecer a confiança

Windows Azure Pack é uma aplicação consciente de reclamações que utiliza tokens e alega autenticar e autorizar utilizadores finais. Tais aplicações não usam a identidade do emitente simbólico, desde que o símbolo cumpra algumas condições, tais como ser assinado por uma chave de confiança. Para mais informações, consulte as aplicações de sinistros.

Com a autenticação baseada em sinistros, um sistema confia numa STS para emitir os seus tokens. No entanto, isso não significa necessariamente que este STS esteja realmente a realizar a autenticação do utilizador. É possível que o STS delegue o pedido de autenticação do utilizador (ou federação) a outra STS que seja fidedigna pelo primeiro STS. Esta cadeia de STSs confiando uns nos outros e delegando pedidos é comum e flexível. Há infinitas opologias possíveis de relações de confiança. Os administradores do sistema devem escolher a topologia mais adequada para satisfazer os requisitos do negócio.

Por exemplo, pode configurar Windows portais de gestão Azure Pack para confiar na AD FS para autenticar os utilizadores. Dependendo da configuração AD FS, o AD FS pode então fazer qualquer um dos seguintes:

O AD FS pode autenticar os utilizadores diretamente, utilizando as credenciais do portal de gestão Ative Directory.
A AD FS pode federar o pedido a outra STS.

No segundo caso, pode utilizar Windows Serviço de Controlo de Diretório Ativo de Acesso Azure (ACS) como o outro STS, por exemplo. A ACS pode então federar o pedido novamente para outra STS, como Windows Live. Neste caso, Windows Live autentica o utilizador utilizando credenciais Windows Live. Esta é uma forma de permitir a autenticação Windows Live, Google ou Facebook no Windows Azure Pack.

Importante

Uma vez que os pontos finais são utilizados para redirecionar os utilizadores para o próximo componente da cadeia de confiança, todos os pontos finais devem ser configurados corretamente em todos os componentes para garantir que a federação é bem sucedida.

Se alterar um ponto final do portal de gestão, tem de atualizar o STS em que o portal confia imediatamente.

Certifique-se de atualizar as alterações FQDN e portuário em STS para o URL de metadados da federação de partidos e, em seguida, refrescar os metadados.

Se alterar um ponto final STS, deve atualizar todos os componentes diretamente confiáveis por ele, tais como os portais de gestão e outros STSs.

O administrador do sistema deve estar familiarizado com a cadeia de confiança para entender quais os componentes que devem ser atualizados após uma alteração de configuração.

Restabelecer a confiança para os portais de gestão

Se o ponto final sts imediatamente confiável por um portal de gestão Windows Azure Pack foi alterado, você deve atualizar os portais com as novas informações do ponto final. Pode fazê-lo utilizando o Set-MgmtSvcRelyingPartySettings cmdlet PowerShell nas máquinas relevantes.

Set-MgmtSvcRelyingPartySettings -Target <Targets> –MetadataEndpoint <Metadata Endpoint Full URL> [-ConnectionString <Connection String>] [-DisableCertificateValidation] [-PortalConnectionString <Portal Configuration Store Connection String>] [-ManagementConnectionString <Management Store Connection String>]

Parâmetro	Obrigatório/opcional	Detalhes
Destino	Necessário	Este parâmetro define qual o conjunto de componentes a atualizar. Valores admissíveis para <alvos>: Inquilino – Utilize isto para configurar o portal de gestão para inquilinos, a camada API do inquilino e a camada API administradora. Administração – Utilize isto para configurar o portal de gestão para administradores e a camada API administradora. Pode fornecer um único alvo ou uma série de alvos.
MetadataEndpoint	Necessário	Este parâmetro define o URL completo do ponto final de metadados IdP-STS fidedignos. Valores admissíveis para <Metadados Endpoint Full URL>: Um URL válido, por exemplo: http://mysts.contoso.com:1234/FederationMetadata/2007-06/FederationMetadata.xml
LigaçãoStragem	Obrigatório, a menos que o PortalConnectionString e o ManagementConnectionString sejam utilizados.	Este parâmetro define o fio de ligação ao SQL Server que hospeda as lojas de configuração do portal Windows Azure Pack e loja de gestão. Não é necessário um nome de base de dados (Catálogo Inicial). Se as lojas de configuração do portal ou a loja de gestão estiverem hospedadas em diferentes SQL Server casos ou utilizar nomes de bases de dados não predefinidos, utilize os parâmetros PortalConnectionString e ManagementConnectionString.
Desativar aValidação Desativada	Opcional Não recomendado para ambientes de produção	Este parâmetro desativa a validação do certificado SSL. Se não utilizar este parâmetro, o cmdlet não conseguirá recuperar as informações de metadados se o ponto final dos metadados utilizar um certificado SSL auto-assinado.
PortalConnectionString	Opcional, a menos que o ConnectionString não seja fornecido	Utilize este parâmetro para anular a cadeia de ligação predefinida apenas para a loja de configuração. Devia fazer isso quando. - A loja de configuração do portal está localizada numa instância SQL diferente. - A loja de configuração do portal utiliza diferentes credenciais. - Não pretende utilizar a cadeia de ligação padrão.
ManagementConnectionString	Opcional, a menos que o ConnectionString não seja fornecido	Utilize este parâmetro para anular a cadeia de ligação predefinido apenas para a loja de gestão. Devia fazer isso quando. - A loja de gestão WAP está localizada numa SQL diferente. - A loja de gestão usa credenciais diferentes. - Não pretende utilizar a cadeia de ligação padrão.

Cmdlet exemplo:

Set-MgmtSvcRelyingPartySettings –Target Tenant –MetadataEndpoint ‘https://mysts.contoso.com:12345/FederationMetadata/2007-06/FederationMetadata.xml’ -ConnectionString “Data Source=mysqlserver.contoso.com;User ID=myprivilegeduser;Password=mypassword”

Dica

Este cmdlet pode ser utilizado em qualquer máquina onde estejam instaladas as atualizações Windows Azure PowerShell para Windows Azure Pack.
As definições atualizadas irão eventualmente propagar-se a todos os componentes afetados. Para uma propagação mais rápida, reinicie manualmente os componentes afetados para obter imediatamente os novos valores de configuração. Se o alvo for 'Inquilino' deve reiniciar todos os seus portais de gestão para inquilinos, inquilinos API e componentes API de administração. Se o alvo for 'Administração' deve reiniciar todos os seus portais de gestão para administradores e componentes API admin.

Restabelecer a confiança para os sites de autenticação

Se o ponto final STS imediatamente confiável por um site de autenticação do Azure Pack Windows foi alterado, deve atualizar os sites de autenticação com as novas informações do ponto final. Pode fazê-lo utilizando o cmdlet PowerShell Set-MgmtSvcIdentityProviderSettings cmdlet PowerShell nas máquinas relevantes.

Set-MgmtSvcIdentityProviderSettings -Target <Targets> –MetadataEndpoint <Metadata Endpoint Full URL> [-ConfigureSecondary] [-ConnectionString <Connection String>] [-DisableCertificateValidation] [-PortalConnectionString <Portal Configuration Store Connection String>]

Parâmetro	Obrigatório/opcional	Detalhes
Destino	Necessário	Este parâmetro define qual o conjunto de componentes a atualizar. Valores admissíveis para <alvos>: Adesão – Utilize-o para configurar o site de autenticação do arrendatário (Membership). Windows – Utilize-o para configurar o local de autenticação da administração (Windows). Pode fornecer um único alvo ou uma série de alvos.
MetadataEndpoint	Necessário	Este parâmetro define o URL completo do ponto final de metadados de componentes fidedignos. Valores admissíveis para <Metadados Endpoint Full URL>: Um URL válido, por exemplo: http://mysts.contoso.com:1234/FederationMetadata/2007-06/FederationMetadata.xml
ConfigureSecondary	Opcional	Cada site de autenticação suporta até duas partes de confiança. Inclua este parâmetro para configurar uma segunda parte dependente, em vez de sobrepor a parte de confiança padrão.
LigaçãoStragem	Obrigatório, a menos que o PortalConnectionString seja utilizado	Este parâmetro define a cadeia de ligação ao SQL Server que hospeda as lojas de configuração do portal Windows Azure Pack. Não é necessário um nome de base de dados (Catálogo Inicial). Se a loja de configuração do portal utilizar um nome de base de dados não padrão, utilize o parâmetro PortalConnectionString.
Desativar aValidação Desativada	Opcional Não recomendado para ambientes de produção	Este parâmetro desativa a validação do certificado SSL. Se não utilizar este parâmetro, o cmdlet não conseguirá recuperar as informações de metadados se o ponto final dos metadados utilizar um certificado SSL auto-assinado.
PortalConnectionString	Opcional, a menos que o ConnectionString não seja fornecido	Utilize este parâmetro para anular a cadeia de ligação predefinida apenas para a loja de configuração. Devia fazer isso quando. - A loja de configuração do portal utiliza diferentes credenciais. - Não pretende utilizar a cadeia de ligação padrão.