設定 AD FS 信任管理入口網站

 

適用於: Windows Azure Pack

為 Windows Azure 組件 設定 Microsoft Azure Active Directory Federation Services (AD FS) 的最後一個步驟是將 AD FS 設定為信任管理入口網站。

將 AD FS 設定為信任管理入口網站

  1. 請確定您設定的電腦可以針對系統管理員的管理入口網站存取 AD FS Web 服務中繼資料端點。若要驗證存取權,請開啟瀏覽器並移至 https://<AdminPortal_endpoint>/FederationMetadata/2007-06/FederationMetadata.xml,其中 <AdminPortal_endpoint> 是系統管理員的管理入口網站的完整網域名稱 (FQDN)。如果您可以檢視 .xml 檔案,就表示您可以存取同盟中繼資料端點。

  2. 請確定您設定的電腦可以針對租用戶的管理入口網站存取 AD FS Web 服務中繼資料端點。若要驗證存取權,請開啟瀏覽器並移至 https://<TenantPortal_endpoint>/FederationMetadata/2007-06/FederationMetadata.xml,其中 <TenantPortal_endpoint> 是租用戶的管理入口網站的 FQDN。如果您可以檢視 .xml 檔案,就表示您可以存取同盟中繼資料端點。

  3. 選擇性。如果您想要使用 ASP.NET 成員資格提供者當做 AD FS 中租用戶的管理入口網站的預設宣告提供者,請確定您設定的電腦可以針對租用戶驗證網站存取 AD FS Web 服務中繼資料端點。若要驗證存取權,請開啟瀏覽器並移至 https://<TenantAuth_endpoint>/FederationMetadata/2007-06/FederationMetadata.xml,其中 <TenantAuth_endpoint> 是租用戶驗證網站的 FQDN。如果您可以檢視 .xml 檔案,就表示您可以存取同盟中繼資料端點。

  4. 在 C:\Program Files\Management Service\MgmtSvc-PowerShellAPI\Samples\Authentication\ 中尋找與 Windows Azure 組件 一起安裝的 configure-adfs.ps1 組態指令碼。

  5. 在安裝 AD FS 的電腦上執行 configure-adfs.ps1 指令碼。

    $tenantSite = 'tenant-AzurePack.contoso.com:30081'
    $adminSite = 'admin-AzurePack.contoso.com:30091'
    $authSite = 'auth-AzurePack.contoso.com:30071'
    
    # Note: Use the "allowSelfSignCertificates" switch only in test environments. In production environments, all 
    # SSL certificates should be valid.
    & "C:\Program Files\Management Service\MgmtSvc-PowerShellAPI\Samples\configure-adfs.ps1" `
    –identityProviderMetadataEndpoint "https://$authSite/federationmetadata/2007-06/federationmetadata.xml" `
    -tenantRelyingPartyMetadataEndpoint  "https://$tenantSite/federationmetadata/2007-06/federationmetadata.xml" `
    -adminRelyingPartyMetadataEndpoint "https://$adminSite/federationmetadata/2007-06/federationmetadata.xml" `
    –allowSelfSignCertificates
    

    以租用戶的管理入口網站和系統管理員的管理入口網站的位置取代 <tenantSite> 和 <adminSite>。如果您想要使用 ASP.NET 成員資格提供者當做 AD FS 中租用戶的管理入口網站的預設宣告提供者,請以驗證網站的位置取代 <authSite>。

    請提供以下參數資訊。

    參數

    必要資訊

    -identityProviderMetadataEndpoint

    選擇性:取得租用戶驗證網站之同盟中繼資料的端點。如果您不想要使用 ASP.NET 成員資格提供者來提供租用戶身分識別,請修改指令碼,不要使用此參數。也請移除 Add-AdfsClaimsProviderTrust 指令程式。這會為 租用戶的管理入口網站 和 系統管理員的管理入口網站 設定信任。

    -tenantRelyingPartyMetadataEndpoint

    取得租用戶的管理入口網站之同盟中繼資料的端點。

    -adminRelyingPartyMetadataEndpoint

    取得系統管理員的管理入口網站之同盟中繼資料的端點。

顯示: