設定管理入口網站信任 AD FS
適用于:Windows Azure Pack
設定 Active Directory Federations Services (AD FS) 之後,您必須為租使用者設定管理入口網站,讓租使用者信任 AD FS。 您可以執行 Set-MgmtSvcRelyingPartySettings Cmdlet 或執行Windows PowerShell腳本。
選擇 1:執行 Set-MgmtSvcRelyingPartySettings 指令程式
在安裝系統管理員或租使用者入口網站的每部電腦上執行 Set-MgmtSvcRelyingPartySettings Cmdlet。
執行 Set-MgmtSvcRelyingPartySettings Cmdlet 之前,請確定您設定的電腦可以存取 AD FS Web 服務中繼資料端點。 若要驗證存取權,請開啟瀏覽器,並移至您打算用於 –MetadataEndpoint 參數的相同 URI。 如果您可以檢視 .xml 檔案,就表示您可以存取同盟中繼資料端點。
現在,執行 Set-MgmtSvcRelyingPartySettings Cmdlet。
Set-MgmtSvcRelyingPartySettings -Target Tenant -MetadataEndpoint https://<fqdn>/FederationMetadata/2007-06/FederationMetadata.xml -DisableCertificateValidation -ConnectionString 'Server=<some server>;User Id=<user with write permissions to all config databases>;Password=<password>;'
下表顯示執行 Set-MgmtSvcRelyingPartySettings Cmdlet 所需的資訊。
Cmdlet 參數
必要資訊
-Target
這個參數是用來指示要設定哪一個入口網站。 可能的值:管理員、Tenant。
-MetadataEndpoint
AD FS Web 服務中繼資料端點。 請使用下列格式的有效、可存取且完整的 URI:HTTPs:// < AD FS > /FederationMetadata/2007-06/FederationMetadata.xml。 在下列指令程式中,以可存取的 AD FS 完整網域名稱 (FQDN) 取代 $fqdn。
-ConnectionString
與 Microsoft SQL Server 執行個體之間的連接字串,該執行個體會裝載管理入口網站組態資料庫。
選擇 2:執行 Windows PowerShell 指令碼
如果不使用指令程式,您可以在安裝管理員或租用戶入口網站的每部電腦上執行下列 Windows PowerShell 指令碼。
$domainName = 'mydomain.com' $adfsPrefix = 'AzurePack-adfs' $dnsName = ($adfsPrefix + "." + $domainName) # Enter Sql Server details here $dbServer = 'AzurePack-sql' $dbUsername = 'sa' $dbPassword = '<SQL_password>' $connectionString = [string]::Format('Data Source={0};User ID={1};Password={2}', $dbServer, $dbUsername, $dbPassword) # Note: Use the \"DisableCertificateValidation\" switch only in test environments. In production environments, # all SSL certificates should be valid. Set-MgmtSvcRelyingPartySettings -Target Tenant ` -MetadataEndpoint https://$dnsName/FederationMetadata/2007-06/FederationMetadata.xml ` -DisableCertificateValidation -ConnectionString $connectionString
新增使用者以存取系統管理員的管理入口網站
如果您想要新增使用者以存取系統管理員的管理入口網站,您必須在裝載 管理員 API 的電腦上執行 Add-MgmtSvcAdminUser Cmdlet。 連接字串應該指向管理入口網站組態資料庫。
下列程式碼範例示範如何加入使用者來取得存取權。
$adminuser = 'domainuser1@mydomain.com' $dbServer = 'AzurePack-sql' $dbUsername = 'sa' $dbPassword = 'SQL_Password' $connectionString = [string]::Format('Server= {0} ;Initial Catalog=Microsoft.MgmtSvc.Store;User Id={1};Password={2};',$dbServer, $dbUsername, $dbPassword) Add-MgmtSvcAdminUser -Principal $adminuser -ConnectionString $connectionstring
注意
-
$dbuser 的格式必須符合 AD FS 所傳送的使用者主要名稱 (UPN)。
-
管理員使用者必須為個別的使用者。 您不能加入 AD 群組當做管理員使用者。
-