Habilitar a autenticação do Windows para o Microsoft Azure Pack: Sites

  • Artigo

 

Aplica-se a: Windows Azure Pack

Windows Pacote do Azure: sites dão suporte à integração de sites com o Active Directory para autenticação. O suporte de Pool de aplicativos também permite que um site da web seja executado sob uma identidade especificada que é usada para se conectar aos recursos de banco de dados.

Observação

O recurso de identidade do Pool de aplicativos não dá suporte atualmente a todos os cenários de passagem e funciona somente com bancos de dados.

Para habilitar a autenticação do Active Directory, as seguintes condições devem ser verdadeiras:

  • Todas as funções de trabalhador do Site da Web devem ter ingressado no mesmo domínio do Active Directory.

  • Após uma nuvem de site da Web ter sido ingressada em um domínio do Active Directory, somente os funcionários que fazem parte do mesmo domínio podem ser adicionados à nuvem.

Você pode habilitar a autenticação do Active Directory usando o Portal de gerenciamento ou por meio de comandos do PowerShell.

Portal de Gerenciamento

Habilite a integração da autenticação do Active Directory com Sites da Web administrativamente

Para habilitar o Active Directory através do Portal do administrador

  1. Abra a guia Configurar na Nuvem do Site.

  2. Na seção Configurações Geral, escolha entre as três opções a seguir para Autenticação Windows do Site:

    Setting

    Descrição

    Desativado

    Desabilita a autenticação do Windows para os sites na nuvem

    Permitir

    Habilita a autenticação do Windows para que os locatários possam habilitá-lo em seus sites da Web

    Exigir

    Requer que todos os sites na nuvem usem a autenticação do Windows

Quando autenticação do Windows estiver definida administrativamente como Exigir, todos os sites de locatário na nuvem do site terão integração do Active Directory em seus sites. Isso significa que um locatário de site da web não pode definir uma experiência não autenticada. A configuração Exigir fornece garantias ao administrador de Sites de que todos os sites foram protegidos.

Quando autenticação do Windows é definido administrativamente como Permitir, os locatários podem decidir se desejam que seus sites se integrem ao Active Directory para autenticação. Quando Allow está habilitado, os locatários podem manipular páginas individuais em seu site para não exigir autenticação.

Habilitação de locatário de autenticação do Active Directory para um site da web

Os locatários podem habilitar a integração do Active Directory na guia Configurar do Portal de Gerenciamento para seu site. A opção de configurar a integração do Active Directory é habilitada somente se o administrador o tiver habilitado para a nuvem do site da Web ao qual o site pertence. Dependendo das configurações feitas pelo administrador de nuvem, os locatários podem desabilitar a integração do Active Directory, habilitá-la ou torná-la obrigatória.

Para configurar o Active Directory para um site de locatário no Portal de gerenciamento do locatário

  1. Abra a guia Configurar do site.

  2. Na seção Geral, escolha entre as três opções a seguir para Windows Autenticação:

    Configuração

    Descrição

    Desativado

    Desabilita a autenticação do Windows para o site da Web

    Permitir

    Habilita a autenticação do Windows a ser usada no site da Web

    Exigir

    Requer que todo o site use a autenticação do Windows

Quando Windows Autenticação é definida como Exigir, todas as páginas do site são protegidas pela autenticação do Active Directory. A configuração Exigir garante ao proprietário do site que a autenticação não pode ser desabilitada, mesmo que vários desenvolvedores atualizem o mesmo site.

Quando Windows Autenticação é definida como Permitir, o site é protegido pelo Active Directory para autenticação. No entanto, os desenvolvedores de sites podem ainda desabilitá-lo para páginas individuais no site.

Se o administrador do sistema de nuvem tiver definido a autenticação do Active Directory como Obrigatório, o locatário não poderá desabilitá-la para seu site.

Habilitar administrativamente a identidade de Pool de aplicativos para sites da Web

As identidades do pool de aplicativos podem ser habilitadas somente se todos os trabalhadores em nuvem de sites tiverem ingressado no mesmo domínio do Active Directory. Os administradores podem gerenciar o recurso de identidade do pool de aplicativos na guia Configurar na Nuvem do Site.

Para habilitar a identidade do pool de aplicativos através do Portal do administrador de nuvem

  1. Abra a guia Configurar na Nuvem do Site.

  2. Na seção Configurações Geral, defina a Identidade do Pool de Aplicativos Personalizado como Permitir.

Habilitação de locatário de identidade do Pool de aplicativos

As identidades do pool de aplicativos podem ser habilitadas para um site somente se o administrador da nuvem de site da Web tiver habilitado o uso de identidades do pool de aplicativos personalizados para a nuvem de site ao qual o site pertence. Os locatários podem habilitar a identidade do pool de aplicativos na guia Configurar do Portal de Gerenciamento de seu site.

Para habilitar o pool de aplicativos personalizados de identidades no Portal de gerenciamento do site do locatário

  1. Abra a guia Configurar na Nuvem do Site.

  2. Na seção Configurações Geral, defina a Identidade do Pool de Aplicativos Personalizado como Permitir.

  3. Forneça o nome de usuário e senha sob o qual o site da web deve ser executado.

Quando essa configuração for concluída, o site pode usar a identidade fornecida para se conectar aos bancos de dados onde estão, ou se federar, ao mesmo domínio que o usuário.

PowerShell

Importe o módulo de sites do PowerShell

Primeiro, para habilitar os comandos necessários do PowerShell, execute o seguinte comando para importar o módulo de sites do PowerShell:

WebSites Import-Module

Criar um site

Se você ainda não tiver um site, poderá criar um usando o Windows Azure Pack: Portal de Gerenciamento de Sites ou usar o seguinte cmdlet do PowerShell. No exemplo, substitua contoso, adatum e contoso.fabrikam.com pelo nome do seu site, sua ID de assinatura e o nome do host que você usará.

New-WebSitesSite -Name contoso -SubscriptionId adatum -HostNames contoso.fabrikam.com

Habilitar a autenticação Windows NTLM para um site do Microsoft Azure Pack

Para habilitar autenticação do Windows para seu site, execute o cmdlet a seguir no Controlador usando a opção Permitir. A opção Obrigatória pode ser usada quando você deseja bloquear as seções de configuração de autenticação no arquivo applicationhost.config do site e impedir que qualquer arquivo web.config no site ou qualquer aplicativo no site o substitua. No exemplo a seguir, substitua o adatum por sua ID de assinatura e contoso pelo nome do seu site.

Set-WebSitesSiteConfig -SubscriptionId adatum -Name contoso –WindowsAuthEnabled {Allow | Obrigatório}

Habilitar a autenticação do Kerberos Windows para um site do Microsoft Azure Pack

Habilitando o Kerberos para um site do Microsoft Azure Pack envolve o seguinte:

  1. Execute os mesmos comandos para habilitar a autenticação do Windows como usadas para habilitar a autenticação do Windows baseada em NTLM.

  2. Crie um usuário de domínio no servidor de domínio.

  3. Adicione um SPN (Nome da Entidade de Serviço) para cada nome de host do site que dará suporte a Kerberos.

  4. Atribua o usuário de domínio à identidade appPool para sua assinatura.

Essas etapas são explicadas em detalhes.

1. Habilitar autenticação do Windows

Execute o cmdlet a seguir no Controlador usando a opção Permitir. No exemplo, substitua o adatum por sua ID de assinatura e contoso pelo nome do seu site.

Set-WebSitesSiteConfig -SubscriptionId adatum -Name contoso –WindowsAuthEnabled {Allow | Obrigatório}

2. No servidor de domínio, crie um usuário de domínio

Para criar um usuário de domínio, execute o seguinte comando no servidor de domínio. Substitua lowprivilegeduser e password por valores apropriados ao seu ambiente.

net users /add lowprivilegeduserpassword

3. Adicionar um SPN (Nome da Entidade de Serviço) para cada nome de host no site que dará suporte ao Kerberos

Para adicionar um SPN (Nome da Entidade de Serviço) para cada nome de host no site que dará suporte a Kerberos, execute o seguinte comando no servidor de domínio. Substitua contoso.fabrikam.com, nome de domínio e lowprivilegeduser pelos valores correspondentes ao seu ambiente.

Setspn -S http/contoso.fabrikam.comdomainname\lowprivilegeduser

4. No Windows Controlador de Sites do Azure Pack, atribua o usuário de domínio ao pool de aplicativos

Para atribuir o usuário de domínio que você criou ao pool de aplicativos, execute as seguintes etapas no Controlador de Sites do Microsoft Azure Pack. Em uma nova janela do PowerShell, execute os seguintes comandos. Substitua adatum, contoso, domainname, lowprivilegeduser e password pelos valores correspondentes ao seu ambiente.

Add-PSSnapin WebHostingSnapin
Set-WebSitesSiteConfig -SubscriptionId adatum -Name contoso -CustomAppPoolIdentity $true -SiteRuntimeUser domainname\lowprivilegeduser -SiteRuntimeUserPassword password

Desabilitar a autenticação do Windows para um site do Microsoft Azure Pack

Se você precisar desabilitar a autenticação do Windows, execute o seguinte comando do PowerShell. No exemplo, substitua o adatum por sua ID de assinatura e contoso pelo nome do seu site.

Set-WebSitesSiteConfig -SubscriptionId adatum -Name contoso –WindowsAuthEnabled Off

Habilitar a autenticação integrada do SQL para um site do Microsoft Azure Pack

Habilitar a autenticação integrada do SQL para um site do Microsoft Azure Pack envolve as seguintes etapas:

  1. Crie um usuário de domínio no servidor de domínio.

  2. Conceda permissões de usuário no banco de dados de domínio.

  3. Atribua o usuário de domínio à identidade appPool para sua assinatura.

Essas etapas são explicadas em detalhes.

1. No servidor de domínio, crie um usuário de domínio

Para criar um usuário de domínio, execute o seguinte comando no servidor de domínio. Substitua lowprivilegeduser e password pelos valores correspondentes ao seu ambiente.

net users /add lowprivilegeduserpassword

2. No SQL Server, conceda permissões de banco de dados do usuário de domínio

Para conceder ao usuário de domínio que você criou as permissões para o banco de dados, execute os seguintes comandos no SQL Server. Substitua usersdatabasename, domainname\lowprivilegeduser e lowPrivilegedDBUser pelos valores correspondentes ao seu ambiente.

use usersdatabasename;

CREATE LOGIN [domainname\lowprivilegeduser] FROM WINDOWS;

CREATE USER lowPrivilegedDBUser FOR LOGIN [domainname\lowprivilegeduser];

EXEC sp_addrolemember 'db_datareader', lowPrivilegedDBUser;

3. No Windows Controlador de Sites do Azure Pack, atribua o usuário de domínio ao pool de aplicativos

Para atribuir o usuário de domínio que você criou ao pool de aplicativos, execute as seguintes etapas no Controlador de Sites do Microsoft Azure Pack. Em uma nova janela do PowerShell, execute os seguintes comandos. Substitua adatum, contoso, domainname, lowprivilegeduser e password pelos valores correspondentes ao seu ambiente.

Add-PSSnapin WebHostingSnapin Set-WebSitesSiteConfig -SubscriptionId adatum -Name contoso -CustomAppPoolIdentity $true -SiteRuntimeUser domainname\lowprivilegeduser -SiteRuntimeUserPassword password