Az AD FS konfigurálása

 

Érintett kiadások: Windows Azure Pack

A Windows Azure Active Directory Összevonási szolgáltatások (AD FS) Windows Azure Pack for Windows Serverhez való engedélyezésének első lépéseként konfigurálnia kell az AD FS-t az alábbi lépésekben leírtak szerint.

Az AD FS konfigurálása

1. Ha meglévő AD FS-t használ, tegye a következőket:

   1. Az AD FS-ben a következő címmel veheti fel a felügyeleti portált a rendszergazdák és a bérlők felügyeleti portálja számára függő entitásként:

      <Portál URI>/federationMetadata/2007-06/Federationmetadata.xml

      Cserélje le <a portál URI-ját> a felügyeleti portál rendszergazdák és a bérlők felügyeleti portáljának címére.

      Például: https://www.contosotenant.com/federationMetadata/2007-06/Federationmetadata.xml

   2. Alkalmazza a következő átalakítási szabályokat a bérlők felügyeleti portálján:

      • AD-csoportok átalakítása "Csoportok" jogcímekké

      • E-mail-cím átalakítása EGYSZERŰ FELHASZNÁLÓNÉV jogcímekké

   3. Hagyja ki a többi lépést, és lépjen a felügyeleti portálok konfigurálására az AD FS megbízhatóságának érdekében.

2. Ha új AD FS-t állít be, engedélyezze az AD FS szerepkört az AD FS-hez használni kívánt gépen.

3. Jelentkezzen be a számítógépre tartományi rendszergazdaként. Az AD FS konfigurálásához két lehetősége van: futtassa a Install-AdfsFarm parancsmagot, vagy futtasson egy szkriptet.

   • Futtassa a Install-AdfsFarm parancsmagot az AD FS konfigurálásához.

     Install-AdfsFarm –CertificateThumbprint <String> -FederationServiceName <String> -ServiceAccountCredential <PSCredential> -SQLConnectionString <String>
     

     A Install-AdfsFarm parancsmag futtatásához a következő adatokat kell megadnia.

     Parancsmag paramétere	Szükséges információk
     –CertificateThumbprint	Secure Socket Layer (SSL) tanúsítvány ujjlenyomata. A tanúsítványt a <local_machine>\Saját tárolóban kell telepíteni.
     -FederationServiceName	Az AD FS szolgáltatás teljes tartományneve (FQDN).
     -ServiceAccountCredential	Az AD FS futtatásához használható tartományi szolgáltatásfiók.
     -SQLConnectionString	Az SQL kapcsolati sztring egy Microsoft SQL Server egy példányára az AD FS-adatbázisok üzemeltetéséhez.

   • Vagy futtassa a következő szkriptet az AD FS konfigurálásához.

     Megjegyzés

     A szkript futtatása előtt telepítenie kell makecert.exe. Azt is megteheti, hogy az IIS használatával létrehoz egy önaláírt tanúsítványt, és átadja az ujjlenyomatot ebben a szkriptben.

     # Set these values:
     $domainName = 'contoso.com'
     $adfsPrefix = 'AzurePack-adfs'
     $username = 'username' 
     $password = 'password'
     $dnsName = ($adfsPrefix + "." + $domainName)
     
     # Generate Self Signed Certificate
     Import-Module -Name 'PKI','WebAdministration'
     # You must install makecert.exe before running this script. Alternatively use the IIS UI to create a self-signed certificate and pass the thumbprint in this script
     
     $item = Get-Item -Path 'IIS:\SslBindings\0.0.0.0!443' -ErrorAction SilentlyContinue
     if (!$item)
     {
     MakeCert.exe -n "CN=$dnsName" -r -pe -sky exchange -ss My -sr LocalMachine -eku 1.3.6.1.5.5.7.3.1
     cert = ,(Get-ChildItem 'Cert:\LocalMachine\My' | Where-Object { $_.Subject -eq "CN=$dnsName" })[0]
     }
     $thumbprint = $cert.Thumbprint
     $securePassword = ConvertTo-SecureString -String $password -Force -AsPlainText
     $adfsServiceCredential = New-Object -TypeName System.Management.Automation.PSCredential -ArgumentList ($domainname + '\' + $username), $securePassword
     
     # If you want to install AD FS with a database, provide this data. Otherwise it will install with the Windows Internal Database (which should be enabled 
     # prior to configuring AD fS)
     $dbServer = 'AzurePack-SQl'
     $dbUsername = 'sa'
     $dbPassword = '<SQL_password>'
     $adfsSqlConnectionString = [string]::Format('Data Source={0};Initial Catalog=master;User ID={1};Password={2}', $dbServer, $dbUsername, $dbPassword)
     
     # Configure AD FS
     Install-AdfsFarm `
         -CertificateThumbprint $thumbprint `
         -FederationServiceName $dnsName `
         -ServiceAccountCredential $adfsServiceCredential `
         -SQLConnectionString $adfsSqlConnectionString `
         -OverwriteConfiguration
     

   Tipp

   Ha ismétlődő egyszerű szolgáltatásnevekkel (SPN) kapcsolatos hibaüzeneteket kap, a Setspn eszközzel távolítsa el, majd adja hozzá újra az egyszerű szolgáltatásnevet az alábbiak szerint:

   1. Az AD FS-gépen található parancssorból futtassa a Setspn eszközt a duplikált egyszerű szolgáltatásnév eltávolításához:

      setspn -u -d http/$dnsname $username

   2. Az AD FS-gépen található parancssorból futtassa a Setspn eszközt egy új egyszerű szolgáltatásnév hozzáadásához:

      setspn -u -s http/$dnsname $username

   Az egyszerű szolgáltatásnévvel kapcsolatos további információkért látogasson el az MSDN szolgáltatásnevekre vonatkozó oldalára.

Következő lépések

• A felügyeleti portálok konfigurálása az AD FS megbízhatóságához