設定管理入口網站信任 AD FS

 

適用於: Windows Azure Pack

在您設定 Active Directory Federations Services (AD FS) 之後,您必須設定系統管理員的管理入口網站和租用戶的管理入口網站信任 AD FS。您可以執行 Set-MgmtSvcRelyingPartySettings 指令程式或 Windows PowerShell 指令碼。

選擇 1:執行 Set-MgmtSvcRelyingPartySettings 指令程式

  1. 在安裝管理員或租用戶入口網站的每部電腦上執行 Set-MgmtSvcRelyingPartySettings 指令程式。

    在您執行 Set-MgmtSvcRelyingPartySettings 指令程式之前,請確定您設定的電腦可以存取 AD FS Web 服務中繼資料端點。若要驗證存取權,請開啟瀏覽器,並移至您打算用於 –MetadataEndpoint 參數的相同 URI。如果您可以檢視 .xml 檔案,就表示您可以存取同盟中繼資料端點。

  2. 現在,執行 Set-MgmtSvcRelyingPartySettings 指令程式。

    Set-MgmtSvcRelyingPartySettings -Target Tenant -MetadataEndpoint https://<fqdn>/FederationMetadata/2007-06/FederationMetadata.xml -DisableCertificateValidation -ConnectionString 'Server=<some server>;User Id=<user with write permissions to all config databases>;Password=<password>;'
    

    下表會顯示執行 Set-MgmtSvcRelyingPartySettings 指令程式所需的資訊。

    指令程式參數

    必要資訊

    -Target

    這個參數是用來指示要設定哪一個入口網站。可能的值:AdminTenant

    -MetadataEndpoint

    AD FS Web 服務中繼資料端點。依照下列格式使用有效、可存取的完整 URI:https://<AD FS>/FederationMetadata/2007-06/FederationMetadata.xml。在下列指令程式中,以可存取的 AD FS 完整網域名稱 (FQDN) 取代 $fqdn。

    -ConnectionString

    與 Microsoft SQL Server 執行個體之間的連接字串,該執行個體會裝載管理入口網站組態資料庫。

選擇 2:執行 Windows PowerShell 指令碼

  • 如果不使用指令程式,您可以在安裝管理員或租用戶入口網站的每部電腦上執行下列 Windows PowerShell 指令碼。

    $domainName = 'mydomain.com'
    $adfsPrefix = 'AzurePack-adfs'
    
    $dnsName = ($adfsPrefix + "." + $domainName)
    
    # Enter Sql Server details here
    $dbServer = 'AzurePack-sql'
    $dbUsername = 'sa'
    $dbPassword = '<SQL_password>'
    $connectionString = [string]::Format('Data Source={0};User ID={1};Password={2}', $dbServer, $dbUsername, $dbPassword)
    
    # Note: Use the "DisableCertificateValidation" switch only in test environments. In production environments, 
    # all SSL certificates should be valid.
    Set-MgmtSvcRelyingPartySettings -Target Tenant `
    -MetadataEndpoint https://$dnsName/FederationMetadata/2007-06/FederationMetadata.xml `
    -DisableCertificateValidation -ConnectionString $connectionString
    
    

加入使用者來存取系統管理員的管理入口網站

  • 如果您想要加入可存取系統管理員的管理入口網站的使用者,您必須在裝載管理員 API 的電腦上執行 Add-MgmtSvcAdminUser 指令程式。連接字串應該指向管理入口網站組態資料庫。

    下列程式碼範例示範如何加入使用者來取得存取權。

    $adminuser = 'domainuser1@mydomain.com'
    $dbServer = 'AzurePack-sql'
    $dbUsername = 'sa'
    $dbPassword = 'SQL_Password'
    $connectionString = [string]::Format('Server= {0} ;Initial Catalog=Microsoft.MgmtSvc.Store;User Id={1};Password={2};',$dbServer, $dbUsername, $dbPassword)
    
    Add-MgmtSvcAdminUser -Principal $adminuser -ConnectionString $connectionstring 
    
    

    System_CAPS_note注意事項
    • $dbuser 的格式必須符合 AD FS 所傳送的使用者主要名稱 (UPN)。

    • 管理員使用者必須為個別的使用者。您不能加入 AD 群組當做管理員使用者。

顯示: