設定 AD FS 信任管理入口網站

  • 發行項

 

適用于:Windows Azure Pack

Windows Azure Pack Windows Azure Active Directory Federation Services (AD FS) 組態的最後一個步驟是將 AD FS 設定為信任管理入口網站。

設定 AD FS 信任管理入口網站

  1. 請確定您設定的電腦可以存取系統管理員管理入口網站的 AD FS Web 服務中繼資料端點。 若要驗證存取權,請開啟瀏覽器並移至 HTTPs:// < AdminPortal_endpoint > /FederationMetadata/2007-06/FederationMetadata.xml,其中 < AdminPortal_endpoint > 是系統管理員管理入口網站的完整功能變數名稱 (FQDN) 。 如果您可以檢視 .xml 檔案,就表示您可以存取同盟中繼資料端點。

  2. 請確定您設定的電腦可以存取租使用者管理入口網站的 AD FS Web 服務中繼資料端點。 若要確認存取權,請開啟瀏覽器並移至 HTTPs:// < TenantPortal_endpoint > /FederationMetadata/2007-06/FederationMetadata.xml,其中 < TenantPortal_endpoint > 是租使用者管理入口網站的 FQDN。 如果您可以檢視 .xml 檔案,就表示您可以存取同盟中繼資料端點。

  3. 選擇性。 如果您想要使用 ASP.NET 成員資格提供者作為 AD FS 中租使用者管理入口網站的預設宣告提供者,請確定您設定的電腦可以存取租使用者驗證網站的 AD FS Web 服務中繼資料端點。 若要驗證存取權,請開啟瀏覽器並移至 HTTPs:// < TenantAuth_endpoint > /FederationMetadata/2007-06/FederationMetadata.xml,其中 < TenantAuth_endpoint > 是租使用者驗證網站的 FQDN。 如果您可以檢視 .xml 檔案,就表示您可以存取同盟中繼資料端點。

  4. 在 C:\Program Files\Management Service\MgmtSvc-PowerShellAPI\Samples\Authentication\中找出與 Windows Azure Pack 一起安裝的configure-adfs.ps1組態腳本。

  5. 在安裝 AD FS 的電腦上執行 configure-adfs.ps1 指令碼。

    $tenantSite = 'tenant-AzurePack.contoso.com:30081'
$adminSite = 'admin-AzurePack.contoso.com:30091'
$authSite = 'auth-AzurePack.contoso.com:30071'

# Note: Use the \"allowSelfSignCertificates\" switch only in test environments. In production environments, all 
# SSL certificates should be valid.
& "C:\Program Files\Management Service\MgmtSvc-PowerShellAPI\Samples\configure-adfs.ps1" `
–identityProviderMetadataEndpoint "https://$authSite/federationmetadata/2007-06/federationmetadata.xml" `
-tenantRelyingPartyMetadataEndpoint  "https://$tenantSite/federationmetadata/2007-06/federationmetadata.xml" `
-adminRelyingPartyMetadataEndpoint "https://$adminSite/federationmetadata/2007-06/federationmetadata.xml" `
–allowSelfSignCertificates

    將 tenantSite > 和 < adminSite > 取代 < 為租使用者管理入口網站的位置,以及系統管理員的管理入口網站。 如果您想要使用 ASP.NET 成員資格提供者作為 AD FS 中租使用者管理入口網站的預設宣告提供者,請將 authSite > 取代 < 為驗證網站的位置。

    請提供以下參數資訊。

    參數

    必要資訊

    -identityProviderMetadataEndpoint

    選擇性:取得租用戶驗證網站之同盟中繼資料的端點。 如果您不想要使用 ASP.NET 成員資格提供者來提供租用戶身分識別,請修改指令碼,不要使用此參數。 也請移除 Add-AdfsClaimsProviderTrust 指令程式。 這會為租使用者設定管理入口網站的信任,以及系統管理員的管理入口網站。

    -tenantRelyingPartyMetadataEndpoint

    取得租使用者管理入口網站同盟中繼資料的端點。

    -adminRelyingPartyMetadataEndpoint

    取得系統管理員管理入口網站同盟中繼資料的端點。