設定 Windows Azure Pack 適用的 Active Directory Federation Services

 

適用於: Windows Azure Pack

根據預設,Windows Server 適用的 Windows Azure Pack 會使用以下驗證。

服務

預設驗證

管理員適用的管理入口網站

Windows 驗證

租用戶適用的管理入口網站

ASP.Net 成員資格提供者

如果不使用這些預設驗證類型,您也可以選擇設定 Windows Azure 組件 使用 Windows Azure Active Directory Federation Services (AD FS) 進行驗證,如下列步驟所述。 此選項需要 Windows Server 2012 R2。

若要要切換回預設驗證,請參閱Switch back to the default Windows Azure Pack authentication sites

System_CAPS_note注意事項

以下資訊假設您的環境中尚未設定 AD FS。 若已設定 AD FS,可以略過第一個步驟而直接設定 AD FS 信任管理入口網站

  1. 設定 AD FS

  2. 設定管理入口網站信任 AD FS

  3. 設定租用戶驗證網站信任 AD FS

  4. 設定 AD FS 信任管理入口網站

在您設定 AD FS 之前,請先檢閱以下最佳作法。

  • AD FS 安裝所提供之使用者群組的格式應該符合 UI 中輸入的格式。 以共同管理員身分加入 AD 群組的規定格式為「網域\別名」。

  • 訂用帳戶擁有者應該是個別使用者,而不是群組。

  • 使用電子郵件地址當做唯一識別碼通常是很好的作法。 自訂宣告產生器允許 GUID 或其他唯一識別碼,但是使用這些項目會讓加入共同管理員或個別使用者變得更複雜,所以通常應該避免這樣做。

  • 根據預設,AD FS 會在用戶端設定 Cookie,以追蹤使用者選取的驗證方法。 您可以執行下列 AD FS Windows PowerShell 指令程式來停用這個動作:

    Set-ADFSWebConfig –HRDCookieEnabled $false
    
    

如需部署及維護 AD FS 伺服器陣列的詳細資訊,請參閱Active Directory Federation Services 概觀

顯示: