Yönetim portallarını AD FS'ye güvenecek şekilde yapılandırma
Şunlar için geçerlidir: azure paketi Windows
Active Directory Federasyon Hizmetleri'ni (AD FS) yapılandırdıktan sonra, yöneticiler için yönetim portalını ve kiracıların AD FS'ye güvenmesi için yönetim portalını yapılandırmanız gerekir. Set-MgmtSvcRelyingPartySettings cmdlet'ini çalıştırabilir veya bir Windows PowerShell betiği çalıştırabilirsiniz.
1. Seçenek: Set-MgmtSvcRelyingPartySettings cmdlet'ini çalıştırın
yönetici veya kiracı portalının yüklü olduğu her makinede Set-MgmtSvcRelyingPartySettings cmdlet'ini çalıştırın.
Set-MgmtSvcRelyingPartySettings cmdlet'ini çalıştırmadan önce, yapılandırdığınız makinenin AD FS web hizmeti meta veri uç noktasına erişebildiğinden emin olun. Erişimi doğrulamak için bir tarayıcı açın ve –MetadataEndpoint parametresi için kullanmayı planladığınız URI'ye gidin. .xml dosyasını görüntüleyebiliyorsanız federasyon meta veri uç noktasına erişebilirsiniz.
Şimdi Set-MgmtSvcRelyingPartySettings cmdlet'ini çalıştırın.
Set-MgmtSvcRelyingPartySettings -Target Tenant -MetadataEndpoint https://<fqdn>/FederationMetadata/2007-06/FederationMetadata.xml -DisableCertificateValidation -ConnectionString 'Server=<some server>;User Id=<user with write permissions to all config databases>;Password=<password>;'Aşağıdaki tabloda, Set-MgmtSvcRelyingPartySettings cmdlet'ini çalıştırmak için gerekli bilgiler gösterilmektedir.
Cmdlet parametresi
Gerekli bilgiler
-Target
Bu parametre, hangi portalın yapılandırılacağı belirtmek için kullanılır. Olası değerler: Yönetici, Kiracı.
-MetadataEndpoint
AD FS web hizmeti meta veri uç noktası. Şu biçimde geçerli, erişilebilir ve eksiksiz bir URI kullanın: https://< AD FS>/FederationMetadata/2007-06/FederationMetadata.xml. Aşağıdaki cmdlet'lerde, $fqdn'yi erişilebilir bir AD FS tam etki alanı adı (FQDN) ile değiştirin.
-ConnectionString
Yönetim portalı yapılandırma veritabanını barındıran Microsoft SQL Server örneğine bağlantı dizesi.
2. Seçenek: Windows PowerShell betiği çalıştırma
Cmdlet'ini kullanmak yerine, yönetici veya kiracı portalının yüklü olduğu her makinede aşağıdaki Windows PowerShell betiğini çalıştırabilirsiniz.
$domainName = 'mydomain.com' $adfsPrefix = 'AzurePack-adfs' $dnsName = ($adfsPrefix + "." + $domainName) # Enter Sql Server details here $dbServer = 'AzurePack-sql' $dbUsername = 'sa' $dbPassword = '<SQL_password>' $connectionString = [string]::Format('Data Source={0};User ID={1};Password={2}', $dbServer, $dbUsername, $dbPassword) # Note: Use the \"DisableCertificateValidation\" switch only in test environments. In production environments, # all SSL certificates should be valid. Set-MgmtSvcRelyingPartySettings -Target Tenant ` -MetadataEndpoint https://$dnsName/FederationMetadata/2007-06/FederationMetadata.xml ` -DisableCertificateValidation -ConnectionString $connectionString
Yöneticilerin yönetim portalına erişebilmesi için kullanıcıları ekleme
Yöneticilerin yönetim portalına erişimi olacak kullanıcıları eklemek istiyorsanız, Yönetici API'sini barındıran makinede Add-MgmtSvcAdminUser cmdlet'ini çalıştırmanız gerekir. Bağlantı dizesi Yönetim Portalı Yapılandırma veritabanına işaret etmelidir.
Aşağıdaki kod örneği, kullanıcıların erişim elde etmek için nasıl eklendiğini gösterir.
$adminuser = 'domainuser1@mydomain.com' $dbServer = 'AzurePack-sql' $dbUsername = 'sa' $dbPassword = 'SQL_Password' $connectionString = [string]::Format('Server= {0} ;Initial Catalog=Microsoft.MgmtSvc.Store;User Id={1};Password={2};',$dbServer, $dbUsername, $dbPassword) Add-MgmtSvcAdminUser -Principal $adminuser -ConnectionString $connectionstringNot
-
$dbuser biçimi, AD FS tarafından gönderilen kullanıcı asıl adıyla (UPN) eşleşmelidir.
-
Yönetici kullanıcılar tek tek kullanıcılar olmalıdır. AD gruplarını yönetici kullanıcı olarak ekleyemezsiniz.
-