設定 Windows Azure Pack 適用的 Active Directory Federation Services
適用于:Windows Azure Pack
根據預設,Windows適用于 Windows Server 的 Azure Pack 會使用下列驗證。
服務 |
預設驗證 |
|---|---|
管理員適用的管理入口網站 |
Windows 驗證 |
租用戶適用的管理入口網站 |
ASP.Net 成員資格提供者 |
除了使用這些預設驗證類型,您也可以選擇將 Windows Azure Pack 設定為使用 Windows Azure Active Directory Federation Services (AD FS) 進行驗證,如下列步驟所述。 此選項需要Windows Server 2012 R2。
如果您想要切換回預設驗證,請參閱切換回預設Windows Azure Pack 驗證網站
注意
以下資訊假設您的環境中尚未設定 AD FS。 若已設定 AD FS,可以略過第一個步驟而直接 Configure AD FS to trust the management portals。
最佳作法
在您設定 AD FS 之前,請先檢閱以下最佳作法。
AD FS 安裝所提供之使用者群組的格式應該符合 UI 中輸入的格式。 以共同管理員身分加入 AD 群組的規定格式為「網域\別名」。
訂用帳戶擁有者應該是個別使用者,而不是群組。
使用電子郵件地址當做唯一識別碼通常是很好的作法。 自訂宣告產生器允許 GUID 或其他唯一識別碼,但是使用這些項目會讓加入共同管理員或個別使用者變得更複雜,所以通常應該避免這樣做。
根據預設,AD FS 會在用戶端設定 Cookie,以追蹤使用者選取的驗證方法。 您可以執行下列 AD FS Windows PowerShell 指令程式來停用這個動作:
Set-ADFSWebConfig –HRDCookieEnabled $false
如需部署及維護 AD FS 伺服器陣列的詳細資訊,請參閱 Active Directory Federation Services 概觀。