啟用 Windows 驗證以用於 Windows Azure Pack:Web Sites
適用于:Windows Azure Pack
Windows Azure Pack:Web Sites 支援與 Active Directory 進行網站整合以便啟用驗證。 應用程式集區支援也可讓網站以用來連接到資料庫資源的指定識別執行。
注意
應用程式集區識別功能目前不支援所有傳遞案例,只適用於資料庫。
下列條件必須成立才能夠啟用 Active Directory 驗證:
所有網站背景工作角色必須加入到相同的 Active Directory 網域。
網站雲端加入到 Active Directory 網域之後,只有屬於相同網域的背景工作可以加入該雲端。
您可以使用管理入口網站或透過 PowerShell 命令來啟用 Active Directory 驗證。
管理入口網站
由系統管理員啟用與網站的 Active Directory 驗證整合
透過系統管理入口網站啟用 Active Directory
開啟 [網站雲端 設定 ] 索引標籤。
在 [一般設定]區段中,針對[網站Windows驗證] 選擇下列三個選項:
設定
描述
關閉
停用雲端網站的 Windows 驗證
允許
啟用 Windows 驗證,讓租用戶可以在他們的網站上啟用它
必要
要求雲端中的所有網站使用 Windows 驗證
當Windows 驗證系統管理上設定為[需要] 時,網站雲端中的所有租使用者網站都會在其網站上整合 Active Directory。 這表示網站租用戶無法設定未經驗證的經驗。 [需要] 設定可保證網站系統管理員已保護所有網站。
當Windows 驗證系統管理設定為[允許] 時,租使用者可以決定其網站是否要與 Active Directory 整合以進行驗證。 啟用 [允許 ] 時,租使用者可以操作其網站上的個別頁面,而不需要驗證。
租用戶啟用網站的 Active Directory 驗證
租使用者可以在其網站的 [管理入口網站] 索引標籤上啟用 Active Directory 整合。 只有在系統管理員已啟用網站所屬之網站雲端的 Active Directory 整合時,才會啟用 Active Directory 整合的設定選項。 根據雲端系統管理員所做的設定,租用戶可以停用 Active Directory 整合、加以啟用,或要求使用。
在租用戶的管理入口網站中設定租用戶網站的 Active Directory
開啟網站的 [ 設定 ] 索引標籤。
在 [一般] 區段中,選擇下列三個選項來Windows驗證:
設定
描述
關閉
停用網站的 Windows 驗證
允許
在網站上啟用 Windows 驗證
必要
要求整個網站使用 Windows 驗證
當Windows驗證設定為[需要] 時,網站中的所有頁面都會受到 Active Directory 驗證的保護。 [需要] 設定可確保即使多個開發人員更新相同的網站,也無法停用驗證的網站擁有者。
當Windows驗證設定為[允許] 時,網站會受到 Active Directory 的保護以進行驗證。 不過,網站開發人員仍可停用網站中個別頁面的驗證。
如果雲端系統管理員已將 Active Directory 驗證設定為 [需要],則租使用者無法為其網站停用它。
由系統管理員啟用網站的應用程式集區識別
只有當網站雲端中的所有背景工作都加入相同的 Active Directory 網域時,才可以啟用應用程式集區識別。 系統管理員可以從 [ 網站雲端設定 ] 索引標籤管理應用程式集區身分識別功能。
透過雲端管理入口網站啟用應用程式集區識別
開啟 [網站雲端 設定 ] 索引標籤。
在 [一般設定]區段中,將[自訂應用程式集區識別] 設定為[允許]。
租用戶啟用應用程式集區識別
只有當網站雲端系統管理員已啟用網站所屬之網站雲端的自訂應用程式集區識別時,才可以啟用網站的應用程式集區識別。 租使用者可以在其網站的 [管理入口網站] 索引標籤上啟用應用程式集區身分識別。
在租用戶網站的管理入口網站啟用自訂應用程式集區識別
開啟 [網站雲端 設定 ] 索引標籤。
在 [一般設定]區段中,將[自訂應用程式集區識別] 設定為[允許]。
提供要用來執行網站的使用者名稱和密碼。
完成這項設定之後,網站就可以使用所提供的識別來連接到與使用者位於相同網域的資料庫,或與該網域同盟的資料庫。
PowerShell
匯入 PowerShell WebSites 模組
首先,若要啟用必要的 PowerShell 命令,請執行下列命令以匯入 PowerShell WebSites 模組:
Import-Module網站
建立網站
如果您還沒有網站,您可以使用 Windows Azure Pack:Web Sites 管理入口網站建立網站,或者也可以使用下列 PowerShell Cmdlet。 在範例中,將 contoso、 adatum和 contoso.fabrikam.com 取代為您的網站名稱、訂用帳戶識別碼,以及您將使用的主機名稱。
New-WebSitesSite -Name contoso -SubscriptionId adatum -HostNames contoso.fabrikam.com
啟用 Windows Azure Pack 網站的 NTLM Windows 驗證
若要啟用網站的Windows 驗證,請使用 [允許] 選項,在控制器上執行下列 Cmdlet。 當您想要鎖定月臺applicationhost.config檔案中的驗證組態區段,並防止月臺上的任何web.config檔案或月臺下的任何應用程式覆寫時,可以使用 [必要] 選項。 在下列範例中,以您的訂用帳戶識別碼取代 adatum ,並以您的網站名稱 取代 contoso 。
Set-WebSitesSiteConfig -SubscriptionId adatum -Name contoso –WindowsAuthEnabled {Allow |必要}
啟用 Windows Azure Pack 網站的 Kerberos Windows 驗證
啟用 Windows Azure Pack 網站的 Kerberos 涉及下列工作:
發出和啟用 NTLM Windows 驗證時一樣的命令來啟用 Windows 驗證。
在網域伺服器上建立網域使用者。
在將會支援 Kerberos 的網站中加入每個主機名稱的服務主體名稱 (SPN)。
將網域使用者指派給您的訂閱的 appPool 識別。
這些步驟詳述如下。
1.啟用Windows 驗證
使用 [允許] 選項,在控制器上執行下列 Cmdlet。 在此範例中,以您的訂用帳戶識別碼取代 adatum ,並以您的網站名稱 取代 contoso 。
Set-WebSitesSiteConfig -SubscriptionId adatum -Name contoso –WindowsAuthEnabled {Allow |必要}
2.在網域伺服器上,建立網域使用者
若要建立網域使用者,請在網域伺服器上執行下列命令。 以適合您環境的值取代 lowprivilegeduser 和 password 。
net users /add lowprivilegeduserpassword
3.針對將支援 Kerberos 之網站中的每個主機名稱新增服務主體名稱 (SPN)
若要在將會支援 Kerberos 的網站中加入每個主機名稱的服務主體名稱 (SPN),請在網域伺服器上執行下列命令。 將 contoso.fabrikam.com、 domainname和 lowprivilegeduser 取代為您環境對應的值。
Setpn -S HTTP/contoso.fabrikam.comdomainname\lowprivilegeduser
4.在Windows Azure Pack Web Sites 控制器上,將網域使用者指派給應用程式集區
若要將您所建立的網域使用者指派給應用程式集區,請在 Windows Azure Pack Web Sites 控制站上執行下列步驟。 在新的 PowerShell 視窗中,執行下列命令。 將 adatum、 contoso、 domainname、 lowprivilegeduser和 password 取代為您環境對應的值。
Add-PSSnapin WebHostingSnapin
Set-WebSitesSiteConfig -SubscriptionId adatum -Name contoso -CustomAppPoolIdentity $true -SiteRuntimeUser domainname\lowprivilegeduser -SiteRuntimeUserPassword password
停用 Windows Azure Pack 網站的 Windows 驗證
如果您需要停用 Windows 驗證,請執行下列 PowerShell 命令。 在此範例中,以您的訂用帳戶識別碼取代 adatum ,並以您的網站名稱 取代 contoso 。
Set-WebSitesSiteConfig -SubscriptionId adatum -Name contoso –WindowsAuthEnabled Off
啟用 Windows Azure Pack 網站的 SQL 整合驗證
啟用 Windows Azure Pack 網站的 SQL 整合驗證涉及下列步驟:
在網域伺服器上建立網域使用者。
對網域使用者授與資料庫權限。
將網域使用者指派給您的訂閱的 appPool 識別。
這些步驟詳述如下。
1.在網域伺服器上,建立網域使用者
若要建立網域使用者,請在網域伺服器上執行下列命令。 將 lowprivilegeduser 和 password 取代為您環境對應的值。
net users /add lowprivilegeduserpassword
2.在SQL Server上,授與網域使用者資料庫許可權
若要對所建立的網域使用者授與資料庫權限,請在 SQL Server 上執行下列命令。 將usersdatabasename、domainname\lowprivilegeduser 和 lowPrivilegedDBUser取代為您環境對應的值。
使用 usersdatabasename;
CREATE LOGIN [domainname\lowprivilegeduser] FROM WINDOWS;
CREATE USER lowPrivilegedDBUser FOR LOGIN [domainname\lowprivilegeduser];
EXEC sp_addrolemember 'db_datareader', lowPrivilegedDBUser;
3.在Windows Azure Pack Web Sites 控制器上,將網域使用者指派給應用程式集區
若要將您所建立的網域使用者指派給應用程式集區,請在 Windows Azure Pack Web Sites 控制站上執行下列步驟。 在新的 PowerShell 視窗中,執行下列命令。 將 adatum、 contoso、 domainname、 lowprivilegeduser和 password 取代為您環境對應的值。
Add-PSSnapin WebHostingSnapin Set-WebSitesSiteConfig -SubscriptionId adatum -Name contoso -CustomAppPoolIdentity $true -SiteRuntimeUser domainname\lowprivilegeduser -SiteRuntimeUserPassword password