A felügyeleti portálok konfigurálása az AD FS megbízhatóságához
Érintett kiadások: Windows Azure Pack
Az Active Directory összevonási szolgáltatások (AD FS) konfigurálása után konfigurálnia kell a felügyeleti portált a rendszergazdák és a felügyeleti portál számára, hogy a bérlők megbízzanak az AD FS-ben. Futtathatja a Set-MgmtSvcRelyingPartySettings parancsmagot, vagy futtathat egy Windows PowerShell szkriptet.
1. lehetőség: A Set-MgmtSvcRelyingPartySettings parancsmag futtatása
Futtassa a Set-MgmtSvcRelyingPartySettings parancsmagot minden olyan gépen, amelyen a rendszergazda vagy a bérlői portál telepítve van.
A Set-MgmtSvcRelyingPartySettings parancsmag futtatása előtt győződjön meg arról, hogy a konfigurált gép hozzáfér az AD FS webszolgáltatás metaadat-végpontjához. A hozzáférés ellenőrzéséhez nyisson meg egy böngészőt, és lépjen arra az URI-ra, amelyet a –MetadataEndpoint paraméterhez szeretne használni. Ha meg tudja tekinteni a .xml fájlt, hozzáférhet az összevonási metaadat-végponthoz.
Most futtassa a Set-MgmtSvcRelyingPartySettings parancsmagot.
Set-MgmtSvcRelyingPartySettings -Target Tenant -MetadataEndpoint https://<fqdn>/FederationMetadata/2007-06/FederationMetadata.xml -DisableCertificateValidation -ConnectionString 'Server=<some server>;User Id=<user with write permissions to all config databases>;Password=<password>;'
Az alábbi táblázat a Set-MgmtSvcRelyingPartySettings parancsmag futtatásához szükséges információkat mutatja be.
Parancsmag paramétere
Szükséges adatok
-Cél
Ez a paraméter jelzi, hogy melyik portált kell konfigurálni. Lehetséges értékek: Rendszergazda, bérlő.
-MetadataEndpoint
Az AD FS webszolgáltatás metaadatainak végpontja. Használjon érvényes, hozzáférhető és teljes URI-t a következő formátumban: https://< AD FS>/FederationMetadata/2007-06/FederationMetadata.xml. Az alábbi parancsmagokban cserélje le a $fqdn egy akadálymentes AD FS teljes tartománynévre (FQDN).
-ConnectionString
A felügyeleti portál konfigurációs adatbázisát üzemeltető Microsoft SQL Server példányának kapcsolati sztring.
2. lehetőség: Windows PowerShell szkript futtatása
A parancsmag használata helyett a következő Windows PowerShell szkriptet futtathatja minden olyan gépen, amelyen a rendszergazda vagy a bérlői portál telepítve van.
$domainName = 'mydomain.com' $adfsPrefix = 'AzurePack-adfs' $dnsName = ($adfsPrefix + "." + $domainName) # Enter Sql Server details here $dbServer = 'AzurePack-sql' $dbUsername = 'sa' $dbPassword = '<SQL_password>' $connectionString = [string]::Format('Data Source={0};User ID={1};Password={2}', $dbServer, $dbUsername, $dbPassword) # Note: Use the \"DisableCertificateValidation\" switch only in test environments. In production environments, # all SSL certificates should be valid. Set-MgmtSvcRelyingPartySettings -Target Tenant ` -MetadataEndpoint https://$dnsName/FederationMetadata/2007-06/FederationMetadata.xml ` -DisableCertificateValidation -ConnectionString $connectionString
Felhasználók hozzáadása a felügyeleti portálhoz való hozzáféréshez rendszergazdák számára
Ha felhasználókat szeretne hozzáadni, hogy hozzáférhessenek a felügyeleti portálhoz a rendszergazdák számára, futtatnia kell a Add-MgmtSvcAdminUser parancsmagot a Rendszergazda API-t futtató gépen. A kapcsolati sztring a felügyeleti portál konfigurációs adatbázisára kell mutatnia.
Az alábbi példakód bemutatja, hogyan lesznek hozzáadva a felhasználók a hozzáféréshez.
$adminuser = 'domainuser1@mydomain.com' $dbServer = 'AzurePack-sql' $dbUsername = 'sa' $dbPassword = 'SQL_Password' $connectionString = [string]::Format('Server= {0} ;Initial Catalog=Microsoft.MgmtSvc.Store;User Id={1};Password={2};',$dbServer, $dbUsername, $dbPassword) Add-MgmtSvcAdminUser -Principal $adminuser -ConnectionString $connectionstring
Megjegyzés
-
A $dbuser formátumának meg kell egyeznie az AD FS által küldött egyszerű felhasználónévvel (UPN).
-
A rendszergazdai felhasználóknak egyéni felhasználóknak kell lenniük. Az AD-csoportok nem vehetők fel rendszergazdai felhasználókként.
-