Windows Azure Paketi için Windows Kimlik Doğrulamasını Etkinleştirme: Web Siteleri

  • Makale

 

Şunlar için geçerlidir: Azure Paketi'Windows

Windows Azure Paketi: Web Siteleri, kimlik doğrulaması için Active Directory ile web sitesi tümleştirmesini destekler. Uygulama Havuzu desteği, bir web sitesinin veritabanı kaynaklarına bağlanmak için kullanılan belirtilen kimlik altında çalışmasına da olanak tanır.

Not

Uygulama Havuzu Kimliği özelliği şu anda tüm geçiş senaryolarını desteklemez ve yalnızca veritabanlarıyla çalışır.

Active Directory kimlik doğrulamasının etkinleştirilmesi için aşağıdaki koşulların doğru olması gerekir:

  • Tüm Web Sitesi Çalışanı rolleri aynı Active Directory etki alanına katılmış olmalıdır.

  • Bir Web Sitesi bulutu bir Active Directory etki alanına katıldıktan sonra, buluta yalnızca aynı etki alanının parçası olan çalışanlar eklenebilir.

Yönetim Portalı'nı veya PowerShell komutlarını kullanarak Active Directory kimlik doğrulamasını etkinleştirebilirsiniz.

Yönetim Portalı

Web Siteleri ile Active Directory kimlik doğrulaması tümleştirmesini yönetici olarak etkinleştirme

Active Directory'yi yönetici portalı üzerinden etkinleştirmek için

  1. Web Sitesi Bulut Yapılandırması sekmesini açın.

  2. Genel Ayarlar bölümünde, Web Sitesi Windows Kimlik Doğrulaması için aşağıdaki üç seçenek arasından seçim yapın:

    Ayar

    Açıklama

    Kapalı

    Buluttaki web siteleri için Windows kimlik doğrulamasını devre dışı bırakır

    İzin Ver

    Kiracıların web sitelerinde etkinleştirebilmesi için Windows kimlik doğrulamasını etkinleştirir

    Gerektirme

    Buluttaki tüm web sitelerinin Windows kimlik doğrulaması kullanmasını gerektirir

Windows kimlik doğrulaması yönetici olarak Gerekli olarak ayarlandığında, web sitesi bulutundaki tüm kiracı web siteleri kendi web siteleri arasında Active Directory tümleştirmesine sahip olur. Bu, bir web sitesi kiracısı kimliği doğrulanmamış bir deneyim ayarlayamadığı anlamına gelir. Gerektir ayarı, Web Siteleri yöneticisine tüm web sitelerinin güvenliğinin sağlandığını güvence altına alır.

Windows kimlik doğrulaması yönetici olarak İzin Ver olarak ayarlandığında, kiracılar sitelerinin kimlik doğrulaması için Active Directory ile tümleştirilmesini isteyip istemediklerine karar verebilir. İzin Ver etkinleştirildiğinde, kiracılar web sitelerindeki tek tek sayfaları kimlik doğrulaması gerektirmeyecek şekilde işleyebilir.

Bir web sitesi için Active Directory kimlik doğrulamasının kiracı tarafından etkinleştirilmesi

Kiracılar, web siteleri için Yönetim Portalı'nın Yapılandır sekmesinde Active Directory tümleştirmesini etkinleştirebilir. Active Directory tümleştirmesini yapılandırma seçeneği yalnızca yönetici tarafından web sitesinin ait olduğu Web Sitesi Bulutu için etkinleştirildiyse etkinleştirilir. Bulut yöneticisi tarafından yapılan ayarlara bağlı olarak, kiracılar Active Directory tümleştirmesini devre dışı bırakabilir, etkinleştirebilir veya gerekli kılabilir.

Kiracı Yönetim Portalı'nda bir kiracı web sitesi için Active Directory'yi yapılandırmak için

  1. Web sitesinin Yapılandır sekmesini açın.

  2. Genel bölümünde, Windows Kimlik Doğrulaması için aşağıdaki üç seçenek arasından seçim yapın:

    Ayar

    Açıklama

    Kapalı

    Web sitesi için Windows kimlik doğrulamasını devre dışı bırakır

    İzin Ver

    Web sitesinde kullanılacak Windows kimlik doğrulamasını etkinleştirir

    Gerektirme

    Tüm web sitesinin Windows kimlik doğrulaması kullanmasını gerektirir

Windows Kimlik DoğrulamasıGerekli olarak ayarlandığında, sitedeki tüm sayfalar Active Directory kimlik doğrulaması tarafından korunur. Gerektir ayarı, birden çok geliştirici aynı web sitesini güncelleştirse bile web sitesi sahibinin kimlik doğrulamasının devre dışı bırakılamamasını sağlar.

Windows Kimlik Doğrulamasıİzin Ver olarak ayarlandığında, web sitesi kimlik doğrulaması için Active Directory tarafından korunur. Ancak, web sitesi geliştiricileri sitedeki tek tek sayfalar için bu özelliği devre dışı bırakabilir.

Bulut sistemi yöneticisi Active Directory kimlik doğrulamasını Gerekli olarak ayarladıysa, kiracı bunu web sitesi için devre dışı bırakamaz.

Web Siteleri için Uygulama Havuzu kimliğini yönetici olarak etkinleştirme

Uygulama havuzu kimlikleri yalnızca web siteleri bulutundaki tüm çalışanlar aynı Active Directory etki alanına katılmışsa etkinleştirilebilir. Yöneticiler Web Sitesi Bulut Yapılandırması sekmesinden uygulama havuzu kimliği özelliğini yönetebilir.

Uygulama havuzu kimliğini bulut yönetici portalı üzerinden etkinleştirmek için

  1. Web Sitesi Bulut Yapılandırması sekmesini açın.

  2. Genel Ayarlar bölümünde Özel Uygulama Havuzu Kimliği'niİzin Ver olarak ayarlayın.

Uygulama Havuzu kimliğinin kiracı tarafından etkinleştirilmesi

Uygulama havuzu kimlikleri bir web sitesi için yalnızca web sitesi bulut yöneticisinin web sitesinin ait olduğu web sitesi bulutu için özel uygulama havuzu kimlikleri kullanımını etkinleştirmesi durumunda etkinleştirilebilir. Kiracılar, web sitelerinin Yönetim Portalı'nın Yapılandır sekmesinde uygulama havuzu kimliğini etkinleştirebilir.

Kiracı web sitesi Yönetim Portalı'nda özel uygulama havuzu kimliklerini etkinleştirmek için

  1. Web Sitesi Bulut Yapılandırması sekmesini açın.

  2. Genel Ayarlar bölümünde Özel Uygulama Havuzu Kimliği'niİzin Ver olarak ayarlayın.

  3. Web sitesinin altında çalıştırılacak kullanıcı adını ve parolayı belirtin.

Bu ayar tamamlandığında, web sitesi kullanıcıyla aynı etki alanında bulunan veya federasyon olan veritabanlarına bağlanmak için sağlanan kimliği kullanabilir.

PowerShell

PowerShell WebSites Modülünü İçeri Aktarma

İlk olarak, gerekli PowerShell komutlarını etkinleştirmek için aşağıdaki komutu çalıştırarak PowerShell WebSites modülünü içeri aktarın:

Web Sitelerini Import-Module

Web Sitesi Oluşturma

Henüz bir web siteniz yoksa, Windows Azure Paketi: Web Siteleri Yönetim Portalı'nı kullanarak bir web sitesi oluşturabilir veya aşağıdaki PowerShell cmdlet'ini kullanabilirsiniz. Örnekte contoso, adatum ve contoso.fabrikam.com yerine web sitenizin adını, abonelik kimliğinizi ve kullanacağınız ana bilgisayar adını yazın.

New-WebSitesSite -Name contoso -SubscriptionId adatum -HostNames contoso.fabrikam.com

Windows Azure Pack web sitesi için NTLM Windows Kimlik Doğrulamasını etkinleştirme

Web sitenizde Windows kimlik doğrulamasını etkinleştirmek için, İzin Ver seçeneğini kullanarak Denetleyicide aşağıdaki cmdlet'i çalıştırın. Gerekli seçeneği, sitenin applicationhost.config dosyasındaki kimlik doğrulama yapılandırma bölümlerini kilitlemek ve sitedeki herhangi bir web.config dosyasının veya site altındaki herhangi bir uygulamanın geçersiz kılınmasını önlemek istediğinizde kullanılabilir. Aşağıdaki örnekte adatum değerini abonelik kimliğiniz ve contoso yerine web sitenizin adını yazın.

Set-WebSitesSiteConfig -SubscriptionId adatum -Name contoso –WindowsAuthEnabled {İzin Ver | Gerekli}

Windows Azure Pack web sitesi için Kerberos Windows Kimlik Doğrulamasını etkinleştirme

Windows Bir Azure Paketi web sitesi için Kerberos'un etkinleştirilmesi aşağıdakileri içerir:

  1. NTLM tabanlı Windows kimlik doğrulamasını etkinleştirmeye yönelik komutlarla aynı komutları Windows kimlik doğrulamasını etkinleştirin.

  2. Etki alanı sunucusunda bir etki alanı kullanıcısı oluşturun.

  3. Sitedeki Kerberos'u destekleyen her ana bilgisayar adı için bir Hizmet Asıl Adı (SPN) ekleyin.

  4. Aboneliğiniz için appPool kimliğine etki alanı kullanıcısını atayın.

Bu adımlar aşağıda açıklandığı gibi ayrıntılı olarak açıklanmıştır.

1. Windows kimlik doğrulamasını etkinleştirme

İzin Ver seçeneğini kullanarak Denetleyicide aşağıdaki cmdlet'i çalıştırın. Örnekte adatum değerini abonelik kimliğiniz ve contoso yerine web sitenizin adını yazın.

Set-WebSitesSiteConfig -SubscriptionId adatum -Name contoso –WindowsAuthEnabled {İzin Ver | Gerekli}

2. Etki alanı sunucusunda bir etki alanı kullanıcısı oluşturun

Etki alanı kullanıcısı oluşturmak için etki alanı sunucusunda aşağıdaki komutu çalıştırın. lowprivilegeduser ve password değerlerini ortamınıza uygun değerlerle değiştirin.

net users /add lowprivilegeduserpassword

3. Sitedeki Kerberos'u destekleyen her ana bilgisayar adı için bir Hizmet Asıl Adı (SPN) ekleyin

Sitedeki Kerberos'u destekleyen her ana bilgisayar adına bir Hizmet Asıl Adı (SPN) eklemek için etki alanı sunucusunda aşağıdaki komutu çalıştırın. contoso.fabrikam.com, etki alanı adı ve lowprivilegeduser değerlerini ortamınıza karşılık gelen değerlerle değiştirin.

Setspn -S http/contoso.fabrikam.cometki alanı adı\lowprivilegeduser

4. Windows Azure Pack Web Siteleri Denetleyicisinde, etki alanı kullanıcısını uygulama havuzuna atayın

Oluşturduğunuz etki alanı kullanıcısını uygulama havuzuna atamak için Windows Azure Paketi Web Siteleri Denetleyicisi'ne aşağıdaki adımları uygulayın. Yeni bir PowerShell penceresinde aşağıdaki komutları çalıştırın. adatum, contoso, domainname, lowprivilegeduser ve password değerlerini ortamınıza karşılık gelen değerlerle değiştirin.

Add-PSSnapin WebHostingSnapin
Set-WebSitesSiteConfig -SubscriptionId adatum -Name contoso -CustomAppPoolIdentity $true -SiteRuntimeUser domainname\lowprivilegeduser -SiteRuntimeUserPassword password

Windows Azure Pack web sitesi için Windows Kimlik Doğrulamasını devre dışı bırakma

Windows kimlik doğrulamasını devre dışı bırakmanız gerekiyorsa aşağıdaki PowerShell komutunu çalıştırın. Örnekte adatum değerini abonelik kimliğiniz ve contoso yerine web sitenizin adını yazın.

Set-WebSitesSiteConfig -SubscriptionId adatum -Name contoso –WindowsAuthEnabled Off

Windows Azure Pack web sitesi için SQL Tümleşik Kimlik Doğrulamasını etkinleştirme

Windows Azure Pack web sitesi için SQL Tümleşik Kimlik Doğrulamasını etkinleştirme işlemi aşağıdaki adımları içerir:

  1. Etki alanı sunucusunda bir etki alanı kullanıcısı oluşturun.

  2. Etki alanı kullanıcısına veritabanına izin verin.

  3. Aboneliğiniz için appPool kimliğine etki alanı kullanıcısını atayın.

Bu adımlar aşağıda açıklandığı gibi ayrıntılı olarak açıklanmıştır.

1. Etki alanı sunucusunda bir etki alanı kullanıcısı oluşturun

Etki alanı kullanıcısı oluşturmak için etki alanı sunucusunda aşağıdaki komutu çalıştırın. lowprivilegeduser ve password değerlerini ortamınıza karşılık gelen değerlerle değiştirin.

net users /add lowprivilegeduserpassword

2. SQL Server etki alanı kullanıcı veritabanı izinlerini verin

Oluşturduğunuz etki alanı kullanıcısına veritabanı izinleri vermek için SQL Server'da aşağıdaki komutları çalıştırın. usersdatabasename, domainname\lowprivilegeduser ve lowPrivilegedDBUser değerlerini ortamınıza karşılık gelen değerlerle değiştirin.

usersdatabasename kullanın;

CREATE LOGIN [domainname\lowprivilegeduser] FROM WINDOWS;

CREATE USER lowPrivilegedDBUser FOR LOGIN [domainname\lowprivilegeduser];

EXEC sp_addrolemember 'db_datareader', lowPrivilegedDBUser;

3. Windows Azure Pack Web Siteleri Denetleyicisinde, etki alanı kullanıcısını uygulama havuzuna atayın

Oluşturduğunuz etki alanı kullanıcısını uygulama havuzuna atamak için Windows Azure Paketi Web Siteleri Denetleyicisi'ne aşağıdaki adımları uygulayın. Yeni bir PowerShell penceresinde aşağıdaki komutları çalıştırın. adatum, contoso, domainname, lowprivilegeduser ve password değerlerini ortamınıza karşılık gelen değerlerle değiştirin.

Add-PSSnapin WebHostingSnapin Set-WebSitesSiteConfig -SubscriptionId adatum -Name contoso -CustomAppPoolIdentity $true -SiteRuntimeUser domainname\lowprivilegeduser -SiteRuntimeUserPassword password