Konfigurieren der Mandantenauthentifizierungswebsite, um AD FS zu vertrauen
Gilt für: Windows Azure Pack
Der nächste Schritt besteht darin, Informationen über Windows Azure-Active Directory-Verbunddienste (AD FS) zu den Mandantenauthentifizierungswebsites hinzuzufügen. Standardmäßig verwendet das Verwaltungsportal für Mandanten ASP.NET Mitgliedschaftsanbieterauthentifizierung. Sie können wählen, ob Sie den gleichen ASP.NET-Mitgliedschaftsanbieter als Anspruchsanbieter in AD FS verwenden möchten. Dazu müssen Sie das Cmdlet Set-MgmtSvcIdentityProviderSettings auf jedem Computer ausführen, auf dem die Mandantenauthentifizierungswebsite installiert ist.
Option 1: Cmdlet "Set-MgmtSvcIdentityProviderSettings" ausführen
Stellen Sie sicher, dass der Computer, den Sie konfigurieren, auf den AD FS-Webdienstmetadatenendpunkt zugreifen kann. Um den Zugriff zu überprüfen, öffnen Sie einen Browser, und gehen Sie zu der URI, die Sie für den -MetadataEndpoint-Parameter verwenden möchten. Wenn Sie die XML-Datei anzeigen können, können Sie auf den Verbund-Metadatenendpunkt zugreifen.
Führen Sie das Cmdlet Set-MgmtSvcIdentityProviderSettings auf jedem Computer aus, auf dem die Authentifizierungswebsite installiert ist.
Set-MgmtSvcIdentityProviderSettings -Target Membership -MetadataEndpoint https://< fqdn>/FederationMetadata/2007-06/FederationMetadata.xml -DisableCertificateValidation -ConnectionString 'Server=<some server>;User Id=<user with write permissions to all config databases>;Password=<password>;'
In der folgenden Tabelle sind erforderliche Informationen zum Ausführen des Cmdlets Set- MgmtSvcIdentityProviderSettings aufgeführt.
Cmdlet-Parameter
Erforderliche Informationen
-Target
Dieser Parameter wird verwendet, um anzugeben, welche Komponente konfiguriert werden muss. Mögliche Werte: Mitgliedschaft, Windows.
-MetadataEndpoint
Der AD FS-Webdienst-Metadatenendpunkt. Verwenden Sie einen gültigen, barrierefreien und vollständigen URI im folgenden Format: https://< AD FS>/FederationMetadata2007-06/FederationMetadata.xml. Ersetzen Sie in den folgenden Cmdlets $fqdn durch einen verfügbaren vollqualifizierten AD FS-Domänennamen (FQDN).
-ConnectionString
Die Verbindungszeichenfolge zur Instanz von Microsoft SQL Server, die das Portal und die API-Datenbank hostet.
Option 2: Windows PowerShell-Skript ausführen
Stellen Sie sicher, dass der Computer, den Sie konfigurieren, auf den AD FS-Webdienstmetadatenendpunkt zugreifen kann. Um den Zugriff zu überprüfen, öffnen Sie einen Browser, und gehen Sie zu der URI, die Sie für den -MetadataEndpoint-Parameter verwenden möchten. Wenn Sie die XML-Datei anzeigen können, können Sie auf den Verbund-Metadatenendpunkt zugreifen.
Statt das Cmdlet zu verwenden, können Sie folgendes Windows PowerShell-Skript ausführen.
$domainName = 'mydomain.com' $adfsPrefix = 'AzurePack-adfs' $dnsName = ($adfsPrefix + "." + $domainName) # Enter Sql Server details here $dbServer = 'AzurePack-sql' $dbUsername = 'sa' $dbPassword = '<SQL_password>' $connectionString = [string]::Format('Data Source={0};User ID={1};Password={2}', $dbServer, $dbUsername, $dbPassword) # Note: Use the \"DisableCertificateValidation\" switch only in test environments. In production environments, all # SSL certificates should be valid. Set-MgmtSvcIdentityProviderSettings -Target Membership ` -MetadataEndpoint https://$dnsName/FederationMetadata/2007-06/FederationMetadata.xml ` -DisableCertificateValidation ` -ConnectionString $connectionString `