Teljes tartománynevek és portok újrakonfigurálása Windows Azure Packben
Érintett kiadások: Windows Azure Pack
Windows Windows Serverhez készült Azure Pack jogcímalapú hitelesítési rendszert használ a felhasználók hitelesítéséhez és engedélyezéséhez. Ezt a hitelesítést egy külső identitásszolgáltató biztonsági jogkivonat-szolgáltatása (IdP-STS) végzi. A rendszer megbízik az IdP-STS-ben, hogy ellenőrizze a felhasználók identitását, és megbízható jogcímeket biztosítson az egyes felhasználókról. Kétirányú megbízhatósági kapcsolatot kell létesíteni az IdP-STS szolgáltatással Windows Azure Pack-konfiguráció során, hogy a végpont módosításai megfelelően kommunikáljanak az érintett összetevőkkel.
A megbízhatósági kapcsolat létrehozásához az alábbi Windows Azure Pack-összetevők metaadatokkal szolgálnak.
Felügyeleti portál bérlők számára
Felügyeleti portál rendszergazdáknak
Bérlői hitelesítési webhely
Rendszergazda hitelesítési hely
A közzétett adatok tartalmazzák az összes szükséges megbízhatósági információt, beleértve a különböző összetevők végpontadatait is. A végpontinformációk segítségével a rendszer átirányítja a felhasználókat az IdP-STS-hez, majd visszairányítja a felhasználókat Windows Azure Packbe.
Ezért minden alkalommal, amikor egy összetevő végpontkonfigurációja megváltozik, frissíteni kell a metaadatok adatait, és újra létre kell hozni a megbízhatósági kapcsolatot a frissített metaadatok használatával.
Windows Azure Pack telepítése és konfigurálása alapértelmezett értékeket biztosít a közzétett metaadatokhoz és végpontadatokhoz. Alapértelmezés szerint Windows Azure Pack az egyes összetevők teljes tartományneveként használja a gépet és a tartománynevet. Emellett előre definiált portszámokat is beállít az egyes összetevőkhöz.
Ha például a bérlői gép gazdaneve "mytenantmachine", a tartománya pedig "contoso.com", a bérlői portál alapértelmezett konfigurációja a következő lesz https://mytenantmachine.contoso.com:30081: .
Bizonyos esetekben az alapértelmezett végpontértékeket módosítani kell. Például:
Ha egy összetevő alapértelmezett önaláírt SSL-tanúsítványát valós tanúsítványra frissíti, az összetevő teljes tartománynevének meg kell egyeznie a tanúsítvány teljes tartománynevével.
Ha egy összetevő több példányában használ terheléselosztót, akkor a terheléselosztó végpontját kell használnia az egyes összetevőpéldányok végpontja helyett.
Ha módosítja az előre definiált portokat, frissítenie kell az Windows Azure Pack portbeállításokat. Ha például az alapértelmezett 443-os HTTPS-portra vált, frissítenie kell az Windows Azure Pack portbeállítását.
Ilyen esetekben a metaadatok adatait frissíteni kell, és a megbízhatósági kapcsolatot újra létre kell hozni az alábbi lépésekben leírtak szerint.
A teljes tartománynév és a port beállításainak frissítése
Futtassa a Set–MgmtSvcFqdn parancsmagot a frissíteni kívánt gépen.
Set-MgmtSvcFqdn –Namespace <Namsepace Token> -ConnectionString <Connection String> [-FQDN <FQDN>] [-Port <port>] [-Verbose]
Paraméter
Kötelező/nem kötelező
Részletek
-ConnectionString
Kötelező
Ez a paraméter határozza meg a Windows Azure Pack konfigurációs tárolóit üzemeltető SQL Server kapcsolati sztring.
Nincs szükség adatbázisnévre (kezdeti katalógus).
A sztringben szereplő hitelesítő adatoknak írási engedélyekkel kell rendelkezniük a konfigurációs tárolókhoz.
Például:
$connectionString = “Data Source=$server;User ID=$userId;Password=$password”
$server – A felügyeleti portál konfigurációs adatbázisait üzemeltető SQL Server címe.
$userId – A felügyeleti portál konfigurációs adatbázisaihoz írási engedéllyel rendelkező SQL-felhasználó.
$password – A $userId-fiók jelszava.
-FQDN
Választható
Ez a paraméter a gép új teljes tartománynevének megadására szolgál. Cserélje le a $fqdn az új teljes tartománynévre, a protokollelőtag nélkül. Például mynewfqdn.contoso.com.
Ezt a paramétert kihagyhatja, ha nem módosítja az FQDN-t.
-Névtér
Kötelező
Ez a paraméter jelzi, hogy melyik összetevőt kell konfigurálni. Lehetséges értékek: "AdminSite", "TenantSite", "AuthSite", "WindowsAuthSite".
-Port
Választható
Ez a paraméter határozza meg az új portot. Cserélje le $port az új portra. Például: 443. Megjegyzés: Az alapértelmezett 443-es HTTPS-port használatával eltávolítja a portszakaszt a végpontról.
Ezt a paramétert kihagyhatja, ha nem módosítja a portot.
A Internet Information Services Managerben győződjön meg arról, hogy a teljes tartománynév és a portértékek frissültek. Győződjön meg arról is, hogy az FQDN megegyezik az SSL-tanúsítvánnyal.
A frissített teljes tartománynév és portértékek végül propagálva lesznek a megcélzott összetevőkre. Annak érdekében, hogy ez azonnal megtörténhessen, indítsa újra a webhelyet.
Ismételje meg a 2. és a 3. lépést az összetevőt üzemeltető összes gépen.
Szükség esetén állítsa be a DNS-t, hogy a kéréseket a megfelelő helyre továbbítsa.
A következő szakaszban leírtak szerint hozzon létre újra megbízhatóságot az összes érintett összetevő között.
Megbízhatóság újbóli létrehozása
Windows Azure Pack egy jogcímbarát alkalmazás, amely jogkivonatokat és jogcímeket használ a végfelhasználók hitelesítéséhez és engedélyezéséhez. Az ilyen alkalmazások nem használják a jogkivonat kiállítójának identitását, feltéve, hogy a jogkivonat megfelel bizonyos feltételeknek, például egy megbízható kulccsal van aláírva. További információ: Jogcímbarát alkalmazások.
A jogcímalapú hitelesítéssel a rendszer megbízik egy STS-ben, hogy kiadja a jogkivonatait. Ez azonban nem feltétlenül jelenti azt, hogy ez az STS ténylegesen elvégzi a felhasználói hitelesítést. Lehetséges, hogy az STS delegálja a felhasználói hitelesítési kérést (vagy összevonást) egy másik STS-nek, amelyet az első STS megbízhatónak tekint. Az STS-k ezen lánca, amely megbízik egymásban, és a kérések delegálása gyakori és rugalmas. A bizalmi kapcsolatoknak végtelen lehetséges topológiái vannak. A rendszergazdáknak ki kell választaniuk az üzleti követelményeknek leginkább megfelelő topológiát.
Konfigurálhat például Windows Azure Pack felügyeleti portálokat úgy, hogy megbízzanak az AD FS-ben a felhasználók hitelesítéséhez. Az AD FS konfigurációjától függően az AD FS ezután az alábbi műveletek egyikét végezheti el:
Az AD FS közvetlenül hitelesítheti a felhasználókat a felügyeleti portál Active Directory hitelesítő adataival.
Az AD FS összevonhatja a kérést egy másik STS-hez.
A második esetben az Windows Azure Access Active Directory Control Service (ACS) használható más STS-ként, például. Az ACS ezután újra összevonhatja a kérést egy másik STS-be, például Windows Live szolgáltatásba. Ebben az esetben Windows Live ténylegesen hitelesíti a felhasználót Windows élő hitelesítő adatokkal. Ez az egyik módja annak, hogy Windows Live, Google vagy Facebook hitelesítést engedélyezhessen Windows Azure Packben.
Fontos
Mivel a végpontokkal a rendszer átirányítja a felhasználókat a megbízhatósági lánc következő összetevőjére, az összevonás sikerességének biztosításához minden végpontot megfelelően kell konfigurálni az összes összetevőben.
Ha módosít egy felügyeleti portál végpontját, frissítenie kell azt az STS-t, amelyet a portál azonnal megbízhatónak tekint.
Győződjön meg arról, hogy frissíti az STS teljes tartománynevét és portváltozásait a függő entitások összevonási metaadatainak URL-címéhez, majd frissítse a metaadatokat.
Ha módosít egy STS-végpontot, frissítenie kell az általa közvetlenül megbízhatónak minősülő összes összetevőt, például a felügyeleti portálokat és más STS-eket.
A rendszergazdának ismernie kell a megbízhatósági láncot annak megértéséhez, hogy mely összetevőket kell frissíteni a konfiguráció módosítása után.
A felügyeleti portálok megbízhatóságának újbóli létrehozása
Ha a Windows Azure Pack felügyeleti portál által közvetlenül megbízható STS-végpontot módosították, frissítenie kell a portálokat az új végpontadatokkal. Ezt a Set-MgmtSvcRelyingPartySettings PowerShell-parancsmaggal teheti meg a megfelelő gépeken.
Set-MgmtSvcRelyingPartySettings -Target <Targets> –MetadataEndpoint <Metadata Endpoint Full URL> [-ConnectionString <Connection String>] [-DisableCertificateValidation] [-PortalConnectionString <Portal Configuration Store Connection String>] [-ManagementConnectionString <Management Store Connection String>]
Paraméter
Kötelező/nem kötelező
Részletek
Cél
Kötelező
Ez a paraméter határozza meg, hogy mely összetevőket kell frissíteni.
Célok megengedett<> értékei:
Bérlő – Ezzel konfigurálhatja a felügyeleti portált a bérlőkhöz, a bérlői API-réteghez és a rendszergazdai API-réteghez.
Rendszergazda – Ezzel konfigurálhatja a felügyeleti portált a rendszergazdák és a rendszergazdai API-réteg számára.
Egyetlen célt vagy céltömböt is megadhat.
MetadataEndpoint
Kötelező
Ez a paraméter határozza meg a megbízható IdP-STS metaadat-végpont teljes URL-címét.
A metaadat-végpont teljes URL-címének<> megengedett értékei:
Érvényes URL-cím, például:
http://mysts.contoso.com:1234/FederationMetadata/2007-06/FederationMetadata.xml
ConnectionString
Kötelező, kivéve, ha a PortalConnectionString és a ManagementConnectionString van használatban.
Ez a paraméter határozza meg az Windows Azure Pack Portál konfigurációs tárolóit és felügyeleti tárolóját üzemeltető SQL Server kapcsolati sztring.
Nincs szükség adatbázisnévre (kezdeti katalógus).
Ha a portál konfigurációs tárolói vagy felügyeleti tárolói különböző SQL Server példányokon vannak tárolva, vagy nem alapértelmezett adatbázisneveket használnak, használja helyette a PortalConnectionString és a ManagementConnectionString paramétereket.
DisableCertificateValidation
Választható
Éles környezetekhez nem ajánlott
Ez a paraméter letiltja az SSL-tanúsítványok érvényesítését.
Ha nem használja ezt a paramétert, a parancsmag nem fogja lekérni a metaadatok adatait, ha a metaadat-végpont önaláírt SSL-tanúsítványt használ.
PortalConnectionString
Nem kötelező, kivéve, ha a ConnectionString nincs megadva
Ezzel a paraméternel felülbírálhatja az alapértelmezett kapcsolati sztring csak a konfigurációs tárolóhoz.
Ezt akkor kell megtennie, ha
– A portál konfigurációs tárolója egy másik SQL-példányon található.
– A portál konfigurációs tárolója különböző hitelesítő adatokat használ.
– Nem szeretné az alapértelmezett kapcsolati sztring használni.
ManagementConnectionString
Nem kötelező, kivéve, ha a ConnectionString nincs megadva
Ezzel a paramétersel felülbírálhatja az alapértelmezett kapcsolati sztring csak a felügyeleti tár esetében.
Ezt akkor kell megtennie, ha
– A WAP felügyeleti tároló egy másik SQL-példányon található.
– A felügyeleti tár különböző hitelesítő adatokat használ.
– Nem szeretné az alapértelmezett kapcsolati sztring használni.
Példaparancsmag:
Set-MgmtSvcRelyingPartySettings –Target Tenant –MetadataEndpoint ‘https://mysts.contoso.com:12345/FederationMetadata/2007-06/FederationMetadata.xml’ -ConnectionString “Data Source=mysqlserver.contoso.com;User ID=myprivilegeduser;Password=mypassword”
Tipp
-
Ez a parancsmag bármely olyan gépen használható, amelyen telepítve vannak az Azure Pack Windows Windows Azure PowerShell frissítései.
-
A frissített beállítások végül propagálva lesznek az összes érintett összetevőre. A gyorsabb propagálás érdekében manuálisan indítsa újra az érintett összetevőket, hogy azonnal lekérje az új konfigurációs értékeket. Ha a cél "Bérlő", indítsa újra a bérlők, a bérlői API és a rendszergazdai API-összetevők felügyeleti portáljait. Ha a cél a "Rendszergazda", indítsa újra az összes felügyeleti portált a rendszergazdák és a rendszergazdai API-összetevők számára.
-
A hitelesítési helyek megbízhatóságának újbóli létrehozása
Ha egy Windows Azure Pack hitelesítési hely által azonnal megbízható STS-végpont megváltozott, frissítenie kell a hitelesítési helyeket az új végpontadatokkal. Ehhez használja a PowerShell-parancsmagot Set-MgmtSvcIdentityProviderSettings PowerShell-parancsmagot a megfelelő gépeken.
Set-MgmtSvcIdentityProviderSettings -Target <Targets> –MetadataEndpoint <Metadata Endpoint Full URL> [-ConfigureSecondary] [-ConnectionString <Connection String>] [-DisableCertificateValidation] [-PortalConnectionString <Portal Configuration Store Connection String>]
Paraméter
Kötelező/nem kötelező
Részletek
Cél
Kötelező
Ez a paraméter határozza meg, hogy mely összetevőket kell frissíteni.
Célok megengedett<> értékei:
Tagság – Ezzel konfigurálhatja a bérlői (tagsági) hitelesítési webhelyet.
Windows – Ezzel konfigurálhatja a rendszergazdai (Windows) hitelesítési helyet.
Egyetlen célt vagy céltömböt is megadhat.
MetadataEndpoint
Kötelező
Ez a paraméter határozza meg a megbízható összetevő metaadat-végpontjának teljes URL-címét.
A metaadat-végpont teljes URL-címének<> megengedett értékei:
Érvényes URL-cím, például:
http://mysts.contoso.com:1234/FederationMetadata/2007-06/FederationMetadata.xml
ASecondary konfigurálása
Választható
Minden hitelesítési hely legfeljebb két megbízható függő entitást támogat.
Adja meg ezt a paramétert egy második függő entitás konfigurálásához az alapértelmezett függő entitás felülírása helyett.
ConnectionString
Kötelező, hacsak a PortalConnectionString nincs használatban
Ez a paraméter határozza meg a Windows Azure Pack Portál konfigurációs tárolóit üzemeltető SQL Server kapcsolati sztring.
Nincs szükség adatbázisnévre (kezdeti katalógus).
Ha a portálkonfigurációs tároló nem alapértelmezett adatbázisnevet használ, használja helyette a PortalConnectionString paramétert.
DisableCertificateValidation
Választható
Éles környezetekhez nem ajánlott
Ez a paraméter letiltja az SSL-tanúsítványok érvényesítését.
Ha nem használja ezt a paramétert, a parancsmag nem fogja lekérni a metaadatok adatait, ha a metaadat-végpont önaláírt SSL-tanúsítványt használ.
PortalConnectionString
Nem kötelező, kivéve, ha a ConnectionString nincs megadva
Ezzel a paraméternel felülbírálhatja az alapértelmezett kapcsolati sztring csak a konfigurációs tárolóhoz.
Ezt akkor kell megtennie, ha
– A portál konfigurációs tárolója különböző hitelesítő adatokat használ.
– Nem szeretné az alapértelmezett kapcsolati sztring használni.
Példaparancsmag:
Set-MgmtSvcIdentityProviderSettings –Target Membership –MetadataEndpoint ‘https://mytenantportal.contoso.com:23456/FederationMetadata/2007-06/FederationMetadata.xml’ -ConnectionString “Data Source=mysqlserver.contoso.com;User ID=myprivilegeduser;Password=mypassword”
Tipp
-
Ez a parancsmag bármely olyan gépen használható, amelyen telepítve vannak az Azure Pack Windows Windows Azure PowerShell frissítései.
-
A frissített beállítások végül propagálva lesznek az összes érintett összetevőre. A gyorsabb propagálás érdekében manuálisan indítsa újra az érintett összetevőket, hogy azonnal lekérje az új konfigurációs értékeket. Ha a cél a "Tagság", indítsa újra az összes bérlői (tagsági) hitelesítési webhelyet. Ha a cél a "Rendszergazda", indítsa újra az összes rendszergazdai (Windows) hitelesítési webhelyet.
-