Skip to main content
Yönetim portallarını AD FS'ye güvenecek şekilde yapılandırın
 

Uygulama Alanı: Windows Azure Pack

Active Directory Federasyon Hizmetleri'ni (AD FS) yapılandırdıktan sonra yöneticiler için yönetim portalı ve kiracılar için yönetim portalı öğesini AD FS'ye güvenecek şekilde yapılandırmanız gerekir. Set-MgmtSvcRelyingPartySettings cmdlet'ini veya bir Windows PowerShell betiğini çalıştırabilirsiniz.

Seçenek 1: Set-MgmtSvcRelyingPartySettings cmdlet'ini çalıştırın

  1. Set-MgmtSvcRelyingPartySettings cmdlet'ini yönetici veya kiracı portalının yüklü olduğu her makinede çalıştırın.

    Set-MgmtSvcRelyingPartySettings cmdlet'ini çalıştırmadan önce, yapılandırdığınız makinenin AD FS web hizmeti meta veri uç noktasına erişebildiğinden emin olun. Erişimi doğrulamak için bir tarayıcı açın ve –MetadataEndpoint parametresi için kullanmayı planladığınız URI'ye gidin. .xml dosyasını görüntüleyebiliyorsanız federasyon meta veri uç noktasına erişebilirsiniz.

  2. Bu noktada Set-MgmtSvcRelyingPartySettings cmdlet'ini çalıştırın.

    Set-MgmtSvcRelyingPartySettings -Target Tenant -MetadataEndpoint https://<fqdn>/FederationMetadata/2007-06/FederationMetadata.xml -DisableCertificateValidation -ConnectionString 'Server=<some server>;User Id=<user with write permissions to all config databases>;Password=<password>;'

    Aşağıdaki tabloda Set-MgmtSvcRelyingPartySettings cmdlet'ini çalıştırmak için gerekli bilgiler gösterilmektedir.

    Cmdlet parametresi

    Gerekli bilgiler

    -Target

    Bu parametre hangi portalın yapılandırılacağını göstermek için kullanılır. Olası değerler: Admin, Tenant.

    -MetadataEndpoint

    AD FS web hizmeti meta veri uç noktası. Şu biçimde geçerli, erişilebilir ve tam bir URI kullanın: https://<AD FS>/FederationMetadata/2007-06/FederationMetadata.xml. Aşağıdaki cmdlet'lerde, $fqdn öğesini erişilebilir bir AD FS tam etki alanı adı (FQDN) ile değiştirin.

    -ConnectionString

    Yönetim portalı yapılandırma veritabanını barındıran Microsoft SQL Server örneği ile bağlantı dizesi.

Seçenek 2: Bir Windows PowerShell betiği çalıştırın

  • Cmdlet'i kullanmak yerine, aşağıdaki Windows PowerShell betiğini yönetici veya kiracı portalının yüklü olduğu her makinede çalıştırabilirsiniz.

    $domainName = 'mydomain.com'
    $adfsPrefix = 'AzurePack-adfs'
    
    $dnsName = ($adfsPrefix + "." + $domainName)
    
    # Enter Sql Server details here
    $dbServer = 'AzurePack-sql'
    $dbUsername = 'sa'
    $dbPassword = '<SQL_password>'
    $connectionString = [string]::Format('Data Source={0};User ID={1};Password={2}', $dbServer, $dbUsername, $dbPassword)
    
    # Note: Use the "DisableCertificateValidation" switch only in test environments. In production environments, 
    # all SSL certificates should be valid.
    Set-MgmtSvcRelyingPartySettings -Target Tenant `
    -MetadataEndpoint https://$dnsName/FederationMetadata/2007-06/FederationMetadata.xml `
    -DisableCertificateValidation -ConnectionString $connectionString
    

Kullanıcıları şuraya erişecek şekilde ekleme yöneticiler için yönetim portalı

  • yöneticiler için yönetim portalı öğesine erişecek kullanıcılar eklemek isterseniz Add-MgmtSvcAdminUser cmdlet'ini Yönetici API'sini barındıran makinede çalıştırmanız gerekir. Bağlantı dizesi, Yönetim Portalı Yapılandırma veritabanına işaret etmelidir.

    Aşağıdaki kod örneğinde kullanıcıların erişim kazanmak için nasıl eklendiği gösterilmektedir.

    $adminuser = 'domainuser1@mydomain.com'
    $dbServer = 'AzurePack-sql'
    $dbUsername = 'sa'
    $dbPassword = 'SQL_Password'
    $connectionString = [string]::Format('Server= {0} ;Initial Catalog=Microsoft.MgmtSvc.Store;User Id={1};Password={2};',$dbServer, $dbUsername, $dbPassword)
    
    Add-MgmtSvcAdminUser -Principal $adminuser -ConnectionString $connectionstring 
    

    System_CAPS_noteNot
    • $dbuser biçimi, AD FS tarafından gönderilen kullanıcı asıl adı (UPN) ile eşleşmelidir.

    • Yönetici kullanıcılar tek kullanıcı olmalıdır. AD gruplarını yönetici kullanıcı olarak ekleyemezsiniz.