为 Windows Azure Pack 配置 Active Directory 联合身份验证服务
适用于:Windows Azure Pack
默认情况下,Windows Windows 服务器的 Azure Pack 使用以下身份验证。
服务 |
默认身份验证 |
|---|---|
供管理员使用的管理门户 |
Windows 身份验证 |
供租户使用的管理门户 |
ASP.Net 成员资格提供程序 |
除了使用这些默认身份验证类型,还可以选择将 Windows Azure Pack 配置为使用 Windows Azure Active Directory 联合身份验证服务 (AD FS) 进行身份验证,如以下步骤中所述。 此选项需要Windows Server 2012 R2。
如果要切换回默认身份验证,请参阅切换回默认Windows Azure Pack 身份验证站点
注意
以下信息假定您尚未在环境中配置了 AD FS。 如果配置了 AD FS,可以跳过第一步,直接执行 Configure AD FS to trust the management portals。
最佳实践
在配置 AD FS 之前,请查看以下最佳实践:
AD FS 安装提供的用户组格式应当与在 UI 中输入的格式相符。 将 AD 组添加为共同管理员的规定格式为“域\别名”。
订阅所有者应当为个人用户而不是组。
使用电子邮件地址作为唯一标识符是一种经常使用的好做法。 自定义声明生成器允许 GUID 或其他唯一标识符,但是使用它们会使添加协同管理员或添加各个用户变得复杂,通常情况下应避免使用。
默认情况下,AD FS 将在客户端上设置一个 Cookie,跟踪用户选择的身份验证方法。 您可以通过运行以下 AD FS Windows PowerShell cmdlet 来禁用此操作:
Set-ADFSWebConfig –HRDCookieEnabled $false
有关部署和维护 AD FS 场的详细信息,请访问 Active Directory 联合身份验证服务概述。