設定管理入口網站信任 AD FS

  • 發行項

 

適用于:Windows Azure Pack

設定 Active Directory Federations Services (AD FS) 之後,您必須為租使用者設定管理入口網站,讓租使用者信任 AD FS。 您可以執行 Set-MgmtSvcRelyingPartySettings Cmdlet 或執行Windows PowerShell腳本。

選擇 1:執行 Set-MgmtSvcRelyingPartySettings 指令程式

  1. 在安裝系統管理員或租使用者入口網站的每部電腦上執行 Set-MgmtSvcRelyingPartySettings Cmdlet。

    執行 Set-MgmtSvcRelyingPartySettings Cmdlet 之前,請確定您設定的電腦可以存取 AD FS Web 服務中繼資料端點。 若要驗證存取權,請開啟瀏覽器,並移至您打算用於 –MetadataEndpoint 參數的相同 URI。 如果您可以檢視 .xml 檔案,就表示您可以存取同盟中繼資料端點。

  2. 現在,執行 Set-MgmtSvcRelyingPartySettings Cmdlet。

    Set-MgmtSvcRelyingPartySettings -Target Tenant -MetadataEndpoint https://<fqdn>/FederationMetadata/2007-06/FederationMetadata.xml -DisableCertificateValidation -ConnectionString 'Server=<some server>;User Id=<user with write permissions to all config databases>;Password=<password>;'

    下表顯示執行 Set-MgmtSvcRelyingPartySettings Cmdlet 所需的資訊。

    Cmdlet 參數

    必要資訊

    -Target

    這個參數是用來指示要設定哪一個入口網站。 可能的值:管理員Tenant

    -MetadataEndpoint

    AD FS Web 服務中繼資料端點。 請使用下列格式的有效、可存取且完整的 URI:HTTPs:// < AD FS > /FederationMetadata/2007-06/FederationMetadata.xml。 在下列指令程式中,以可存取的 AD FS 完整網域名稱 (FQDN) 取代 $fqdn。

    -ConnectionString

    與 Microsoft SQL Server 執行個體之間的連接字串,該執行個體會裝載管理入口網站組態資料庫。

選擇 2:執行 Windows PowerShell 指令碼

  • 如果不使用指令程式,您可以在安裝管理員或租用戶入口網站的每部電腦上執行下列 Windows PowerShell 指令碼。

    $domainName = 'mydomain.com'
$adfsPrefix = 'AzurePack-adfs'

$dnsName = ($adfsPrefix + "." + $domainName)

# Enter Sql Server details here
$dbServer = 'AzurePack-sql'
$dbUsername = 'sa'
$dbPassword = '<SQL_password>'
$connectionString = [string]::Format('Data Source={0};User ID={1};Password={2}', $dbServer, $dbUsername, $dbPassword)

# Note: Use the \"DisableCertificateValidation\" switch only in test environments. In production environments, 
# all SSL certificates should be valid.
Set-MgmtSvcRelyingPartySettings -Target Tenant `
-MetadataEndpoint https://$dnsName/FederationMetadata/2007-06/FederationMetadata.xml `
-DisableCertificateValidation -ConnectionString $connectionString

新增使用者以存取系統管理員的管理入口網站

  • 如果您想要新增使用者以存取系統管理員的管理入口網站,您必須在裝載 管理員 API 的電腦上執行 Add-MgmtSvcAdminUser Cmdlet。 連接字串應該指向管理入口網站組態資料庫。

    下列程式碼範例示範如何加入使用者來取得存取權。

    $adminuser = 'domainuser1@mydomain.com'
$dbServer = 'AzurePack-sql'
$dbUsername = 'sa'
$dbPassword = 'SQL_Password'
$connectionString = [string]::Format('Server= {0} ;Initial Catalog=Microsoft.MgmtSvc.Store;User Id={1};Password={2};',$dbServer, $dbUsername, $dbPassword)

Add-MgmtSvcAdminUser -Principal $adminuser -ConnectionString $connectionstring

    注意

    • $dbuser 的格式必須符合 AD FS 所傳送的使用者主要名稱 (UPN)。

    • 管理員使用者必須為個別的使用者。 您不能加入 AD 群組當做管理員使用者。

後續步驟