Delen via

Microsoft Entra-id instellen voor clientverificatie in Azure Portal

Voor clusters die worden uitgevoerd in Azure, kunt u Microsoft Entra ID gebruiken om de toegang tot beheereindpunten te beveiligen. In dit artikel wordt beschreven hoe u Microsoft Entra-id instelt voor het verifiëren van clients voor een Azure Service Fabric-cluster in Azure Portal.

In dit artikel verwijst de term toepassing over het algemeen naar Microsoft Entra-toepassingen, niet naar Service Fabric-toepassingen. Met Microsoft Entra ID kunnen organisaties (ook wel tenants genoemd) gebruikerstoegang tot toepassingen beheren.

Een Service Fabric-cluster biedt verschillende toegangspunten bij de management-functionaliteit, met inbegrip van de webconsoles Service Fabric Explorer en Visual Studio. Als gevolg hiervan maakt u twee Microsoft Entra-toepassingen om de toegang tot het cluster te beheren: één webtoepassing en één systeemeigen toepassing. Nadat u de toepassingen hebt gemaakt, wijst u gebruikers toe aan alleen-lezen- en beheerdersrollen.

Opmerking

Vereiste voorwaarden

In dit artikel wordt ervan uitgegaan dat u al een tenant hebt gemaakt. Als u dat nog niet hebt gedaan, begint u met het lezen van quickstart: Een tenant instellen.

Een Microsoft Entra ID-cluster-app registreren

Open het deelvenster App-registraties van Microsoft Entra ID in Azure Portal en selecteer + Nieuwe registratie.

Schermopname van het deelvenster voor cluster-app-registraties en de knop voor een nieuwe registratie.

Voer in het deelvenster Een toepassing registreren de volgende gegevens in en selecteer Registreren:

  • Naam: Voer een beschrijvende naam in. Het is handig om een registratietype in de naam te definiëren, zoals in dit voorbeeld: {{clusternaam}}_Cluster.

  • Ondersteunde accounttypen: selecteer alleen Accounts in deze organisatiemap.

  • Omleidings-URI: selecteer Web en voer de URL in waarnaar de client wordt omgeleid. In dit voorbeeld wordt de URL van Service Fabric Explorer gebruikt: https://{{cluster name}}.{{location}}.cloudapp.azure.com:19080/Explorer/index.html.

    Nadat de registratie is voltooid, kunt u meer omleidings-URI's toevoegen toevoegen doorverificatie-URI> te selecteren.

Opmerking

Voeg meer omleidings-URI's toe als u van plan bent om toegang te krijgen tot Service Fabric Explorer met behulp van een verkorte URL, zoals https://{{cluster name}}.{{location}}.cloudapp.azure.com:19080/Explorer. Er is een exacte URL vereist om deze AADSTS50011 fout te voorkomen: 'De omleidings-URI die is opgegeven in de aanvraag komt niet overeen met de omleidings-URI's die zijn geconfigureerd voor de toepassing. Zorg ervoor dat de omleidings-URI die in de aanvraag wordt verzonden, overeenkomt met de omleidings-URI die is toegevoegd aan de toepassing in Azure Portal. Meer informatie over het oplossen van deze fout.

Schermopname van de registratie van de cluster-app in de portal.

Merkidentiteit en eigenschappen

Nadat u de cluster-app hebt geregistreerd, selecteert u Huisstijl en eigenschappen en vult u extra informatie in. Voer voor de URL van de startpagina de URL van Service Fabric Explorer in.

Schermopname van de huisstijlgegevens van clusters in de portal.

Authenticatie

Selecteer Verificatie. Schakel onder Impliciete toekenning en hybride stromen het selectievakje ID-tokens (gebruikt voor impliciete en hybride stromen) in.

Schermopname van clusterverificatiegegevens in de portal.

Een API beschikbaar maken

Selecteer Een API beschikbaar maken en vervolgens de koppeling Instellen om een waarde in te voeren voor de URI van de toepassings-id. Voer de URI in van een geverifieerd domein of een URI die gebruikmaakt van de indeling van api://{{tenant Id}}/{{cluster name}}een API-schema. Voorbeeld: api://00001111-aaaa-2222-bbbb-3333cccc4444/mysftestcluster.

Zie AppId-URI in toepassingen met één tenant voor meer informatie. Hiervoor is het gebruik van het standaardschema of geverifieerde domeinen vereist.

Schermopname van het invoeren van een URI voor de toepassings-id in de portal.

Selecteer + Een bereik toevoegen en voer vervolgens de volgende gegevens in:

  • Bereiknaam: Voer user_impersonation in.
  • Wie kan toestemming geven?: Selecteer Beheerders en gebruikers.
  • Weergavenaam voor beheerderstoestemming: Geef een beschrijvende naam op. Het is handig om de clusternaam en het verificatietype te definiëren, zoals in dit voorbeeld: Access mysftestcluster_Cluster.
  • Beschrijving van beheerderstoestemming: Voer een beschrijving in zoals in dit voorbeeld: De toepassing toegang geven tot mysftestcluster_Cluster namens de aangemelde gebruiker.
  • Weergavenaam van gebruikerstoestemming: Voer een beschrijvende naam in. Het is handig om de clusternaam en het verificatietype te definiëren, zoals in dit voorbeeld: Access mysftestcluster_Cluster.
  • Beschrijving van gebruikerstoestemming: Voer een beschrijving in zoals in dit voorbeeld: De toepassing namens u toegang geven tot mysftestcluster_Cluster.
  • Status: Selecteer Ingeschakeld.

Schermopname van selecties voor het toevoegen van een bereik aan een cluster.

De app-rollen

Selecteer App-rollen>+ App-rol maken om beheerder- en alleen-lezengebruikersrollen toe te voegen.

Schermopname van het deelvenster voor het toewijzen van app-rollen in de portal.

Voer de volgende gegevens in voor een gebruiker met beheerdersrechten en selecteer Toepassen:

  • Weergavenaam: Voer Beheerder in.
  • Toegestane lidtypen: Selecteer Gebruikers/groepen.
  • Waarde: Voer beheerder in.
  • Beschrijving: Beheerders kunnen rollen beheren en alle taakacties uitvoeren.

Schermopname van selecties voor het maken van een beheerdersgebruikersrol in de portal.

Voer de volgende informatie in voor een alleen-lezen gebruiker en selecteer Toepassen:

  • Weergavenaam: Voer ReadOnly in.
  • Toegestane lidtypen: Selecteer Gebruikers/groepen.
  • Waarde: Voer gebruiker in.
  • Beschrijving: Voer ReadOnly-rollen in met beperkte toegang tot query's.

Schermopname van selecties voor het maken van een alleen-lezen gebruikersrol in de portal.

Een Microsoft Entra-client-app registreren

Open het deelvenster App-registraties van Microsoft Entra ID in Azure Portal en selecteer vervolgens + Nieuwe registratie.

Schermopname van het deelvenster voor client-app-registraties en de knop voor een nieuwe registratie.

Voer de volgende gegevens in en selecteer Registreren:

  • Naam: Voer een beschrijvende naam in. Het is handig om het registratietype in de naam te definiëren, zoals in het volgende voorbeeld: {{clusternaam}}_Client.
  • Ondersteunde accounttypen: selecteer alleen Accounts in deze organisatiemap.
  • Omleidings-URI: Selecteer openbare client/systeemeigen en voer deze in urn:ietf:wg:oauth:2.0:oob.

Schermopname van registratie van client-apps in de portal.

Authenticatie

Nadat u de client-app hebt geregistreerd, selecteert u Verificatie. Selecteer Onder Geavanceerde instellingende optie Ja voor openbare clientstromen toestaan en selecteer vervolgens Opslaan.

Schermopname van clientverificatiegegevens in de portal.

API-machtigingen

Selecteer API-machtigingen>+ Een machtiging toevoegen.

Schermopname van het deelvenster voor het aanvragen van API-machtigingen.

Selecteer Gedelegeerde machtigingen, selecteer user_impersonation machtigingen en selecteer vervolgens Machtigingen toevoegen.

Schermopname van selecties voor gedelegeerde machtigingen in de portal.

Selecteer in de lijst met API-machtigingen de optie Beheerderstoestemming verlenen voor De standaardmap.

Schermopname van de knop voor het verlenen van beheerderstoestemming voor de standaardmap.

Selecteer Ja om te bevestigen dat u beheerderstoestemming wilt verlenen.

Schermopname van het dialoogvenster dat bevestigt dat beheerderstoestemming wordt verleend.

Eigenschappen

Ga voor de registratie van de client-app alleen naar het deelvenster Bedrijfstoepassingen .

Selecteer Eigenschappen en selecteer Vervolgens Nee voor Toewijzing vereist?.

Schermopname van eigenschappen voor registratie van client-apps in de portal.

Ga voor de registratie van de cluster-app alleen naar het deelvenster Bedrijfstoepassingen .

Selecteer Eigenschappen en selecteer vervolgens Ja voor toewijzing vereist?.

Schermopname van eigenschappen voor registratie van cluster-apps in de portal.

Toepassingsrollen toewijzen aan gebruikers

Nadat u Microsoft Entra-app-registraties voor Service Fabric hebt gemaakt, kunt u Microsoft Entra-gebruikers wijzigen om app-registraties te gebruiken om verbinding te maken met een cluster met behulp van Microsoft Entra-id.

Voor zowel de alleen-lezen- als beheerdersrollen gebruikt u de registratie van de Microsoft Entra ID-cluster-app. U gebruikt geen registratie van de Microsoft Entra-client-app voor roltoewijzingen. In plaats daarvan wijst u rollen toe vanuit het deelvenster Bedrijfstoepassingen .

Filters verwijderen

Als u de bedrijfstoepassingen wilt weergeven die u tijdens het registratieproces van de app hebt gemaakt, moet u de standaardfilters voor toepassingstype en toepassings-id verwijderen uit het deelvenster Alle toepassingen in de portal. U kunt desgewenst bedrijfstoepassingen bekijken door de koppeling Bedrijfstoepassingen te openen vanuit het deelvenster API-machtigingen voor app-registratie.

In de volgende schermopname ziet u de standaardfilters die moeten worden verwijderd.

Schermopname van bedrijfs-apps met standaardfilters in de portal.

In de volgende schermopname ziet u de bedrijfs-apps waarbij de filters zijn verwijderd.

Schermopname van bedrijfsapps met filters verwijderd.

Roltoewijzingen toevoegen aan Microsoft Entra-gebruikers

Als u toepassingen wilt toevoegen aan bestaande Microsoft Entra-gebruikers, gaat u naar Bedrijfstoepassingen en zoekt u de registratie van de Microsoft Entra ID-cluster-app die u hebt gemaakt.

Selecteer Gebruikers en groepen>+ Gebruiker/groep toevoegen om een bestaande Microsoft Entra-gebruikersroltoewijzing toe te voegen.

Schermopname van selecties voor het toevoegen van een bestaande microsoft Entra-gebruikersroltoewijzing in de portal.

Selecteer onder Gebruikers de koppeling Geen geselecteerd .

Schermopname van het deelvenster voor het toevoegen van een toewijzing, zonder gebruikers geselecteerd.

Voor gebruikers die alleen-lezentoegang (weergave) nodig hebben, vindt u elke gebruiker en kiest u vervolgens onder Selecteer een rol de link Geen geselecteerd. Voeg vervolgens in het deelvenster Selecteer een rol de rol ReadOnly toe.

Schermopname van het selecteren van de rol alleen-lezen voor een gebruiker.

Voor gebruikers die volledige lees-/schrijftoegang nodig hebben, zoekt u elke gebruiker op en kiest u vervolgens onder Selecteer een rol de link Geen geselecteerd. Voeg vervolgens in het deelvenster Een rol selecteren de beheerdersrol toe.

Schermopname van het selecteren van de beheerdersrol voor een gebruiker.

Schermopname van het deelvenster voor gebruikers en groepen, met toegewezen rollen.

Clusters configureren met Microsoft Entra-registraties

Open in Azure Portal het deelvenster Service Fabric-clusters .

Configuratie van beheerde Service Fabric-clusters

Open de beheerde clusterresource en selecteer Beveiliging. Schakel het selectievakje Microsoft Entra-id inschakelen in.

Voer de volgende gegevens in en selecteer Toepassen:

  • Tenant-id: voer de tenant-id in.
  • Clustertoepassing: voer de id in voor de app-registratie van het Microsoft Entra ID-cluster. Dit wordt ook wel de webtoepassing genoemd.
  • Clienttoepassing: voer de id in voor de registratie van de Microsoft Entra-client-app. Dit wordt ook wel de systeemeigen toepassing genoemd.

Schermopname van selecties voor het inschakelen van Microsoft Entra ID voor een beheerd cluster.

Configuratie van Service Fabric-cluster

Open de clusterresource en selecteer Beveiliging. Vervolgens selecteer + Toevoegen.

Schermopname van het deelvenster Beveiliging en de knop Toevoegen.

Voer de volgende gegevens in en selecteer Vervolgens Toevoegen:

  • Verificatietype: Selecteer Microsoft Entra-id.
  • TenantID: Voer de tenant-id in.
  • Clustertoepassing: voer de id in voor de app-registratie van het Microsoft Entra ID-cluster. Dit wordt ook wel de webtoepassing genoemd.
  • Clienttoepassing: voer de id in voor de registratie van de Microsoft Entra-client-app. Dit wordt ook wel de systeemeigen toepassing genoemd.

Schermopname van selecties in het deelvenster Toevoegen.

Verbinding maken met een cluster met Microsoft Entra-id

Zie Connect-ServiceFabricCluster cmdlet voor meer informatie over de code in de volgende voorbeelden.

Verbinding maken met een Service Fabric-cluster met behulp van Microsoft Entra-verificatie via PowerShell

Als u PowerShell wilt gebruiken om verbinding te maken met een Service Fabric-cluster, moet u de opdrachten uitvoeren vanaf een computer waarop de Service Fabric SDK is geïnstalleerd. De SDK bevat knooppunten die zich momenteel in een cluster bevinden.

Gebruik het volgende PowerShell-opdrachtvoorbeeld om verbinding te maken met het Service Fabric-cluster:

Import-Module servicefabric

$clusterEndpoint = 'sftestcluster.eastus.cloudapp.azure.com'
$serverCertThumbprint = ''
Connect-ServiceFabricCluster -ConnectionEndpoint $clusterEndpoint `
  -AzureActiveDirectory `
  -ServerCertThumbprint $serverCertThumbprint `
  -Verbose

Verbinding maken met een beheerd Service Fabric-cluster met behulp van Microsoft Entra-verificatie via PowerShell

Als u verbinding wilt maken met een beheerd cluster, moet de PowerShell-module Az.Resources ook een query uitvoeren op de vingerafdruk van het dynamische clusterservercertificaat dat moet worden geïnventariseerd en gebruikt.

Gebruik het volgende PowerShell-opdrachtvoorbeeld om verbinding te maken met het Service Fabric-cluster:

Import-Module servicefabric
Import-Module Az.Resources

$clusterEndpoint = 'mysftestcluster.eastus.cloudapp.azure.com'
$clusterName = 'mysftestcluster'

$clusterResource = Get-AzResource -Name $clusterName -ResourceType 'Microsoft.ServiceFabric/managedclusters'
$serverCertThumbprint = $clusterResource.Properties.clusterCertificateThumbprints

Connect-ServiceFabricCluster -ConnectionEndpoint $clusterEndpoint `
  -AzureActiveDirectory `
  -ServerCertThumbprint $serverCertThumbprint `
  -Verbose

Problemen met het instellen van Microsoft Entra-id oplossen

Het instellen van Microsoft Entra-id en het gebruik ervan kan lastig zijn. Hier volgen enkele aanwijzingen over wat u kunt doen om problemen op te lossen.

Service Fabric Explorer vraagt u om een certificaat te selecteren

Probleem

Nadat u zich hebt aangemeld bij Microsoft Entra ID in Service Fabric Explorer, keert de browser terug naar de startpagina, maar u wordt gevraagd een certificaat te selecteren.

Schermopname van een Service Fabric Explorer-dialoogvenster voor het selecteren van een certificaat.

Reden

De gebruiker heeft geen rol toegewezen in de Microsoft Entra ID-clustertoepassing, zodat Microsoft Entra-verificatie mislukt op het Service Fabric-cluster. Service Fabric Explorer valt terug op certificaatverificatie.

" needed as the existing translation is correct.

Volg de instructies voor het instellen van Microsoft Entra-id en wijs gebruikersrollen toe. U wordt ook aangeraden de gebruikerstoewijzing in te schakelen die is vereist voor toegang tot de app, zoals SetupApplications.ps1 wel.

Verbinding met PowerShell mislukt met een fout: 'De opgegeven referenties zijn ongeldig'

Probleem

Wanneer u PowerShell gebruikt om verbinding te maken met het cluster met behulp van de AzureActiveDirectory beveiligingsmodus, mislukt de verbinding met een fout nadat u zich hebt aangemeld bij Microsoft Entra ID: 'De opgegeven referenties zijn ongeldig'.

" needed as the existing translation is correct.

Volg de instructies voor het instellen van Microsoft Entra-id en wijs gebruikersrollen toe. U wordt ook aangeraden de gebruikerstoewijzing in te schakelen die is vereist voor toegang tot de app, zoals SetupApplications.ps1 wel.

Service Fabric Explorer retourneert een fout wanneer u zich aanmeldt: 'AADSTS50011'

Probleem

Wanneer u zich probeert aan te melden bij Microsoft Entra ID in Service Fabric Explorer, retourneert de pagina een fout: 'AADSTS50011: De antwoordadres-URL <> komt niet overeen met de antwoordadressen die zijn geconfigureerd voor de toepassing: guid<'. >

Schermopname van een aanmeldingsfout in Service Fabric Explorer waarin wordt aangegeven dat de antwoordadressen niet overeenkomen.

Reden

De clustertoepassing (web) die Service Fabric Explorer vertegenwoordigt, probeert zich te verifiëren met Microsoft Entra-id. Als onderdeel van het verzoek geeft het de omleidings-retour-URL op. De URL wordt echter niet vermeld in de lijst met omleidings-URI's voor de Microsoft Entra-toepassing.

" needed as the existing translation is correct.

Selecteer Verificatie op de registratiepagina van de Microsoft Entra-app voor uw cluster. Voeg in de sectie Omleidings-URI's de URL van Service Fabric Explorer toe aan de lijst. Sla uw wijziging op.

Schermopname van het instellen van antwoord-URL voor een webtoepassing.

Verbinding maken met het cluster met behulp van Microsoft Entra-verificatie via PowerShell geeft een foutmelding wanneer u zich aanmeldt: 'AADSTS50011'

Probleem

Wanneer u verbinding probeert te maken met een Service Fabric-cluster met behulp van Microsoft Entra-id via PowerShell, retourneert de aanmeldingspagina een fout: 'AADSTS50011: De antwoord-URL die is opgegeven in de aanvraag komt niet overeen met de antwoord-URL's die zijn geconfigureerd voor de toepassing: <guid>.

Reden

PowerShell probeert te verifiëren met Microsoft Entra ID, die een omleidings-URL biedt die niet wordt vermeld in de lijst Antwoord-URI's voor de Microsoft Entra-toepassing.

" needed as the existing translation is correct.

Selecteer Verificatie op de registratiepagina van de Microsoft Entra-app voor uw cluster. Stel in de sectie Omleidings-URI's de URL in op urn:ietf:wg:oauth:2.0:oob. Deze URL is een speciale omleiding voor opdrachtregelverificatie.

Veelgestelde vragen

Kan ik dezelfde Microsoft Entra-tenant in meerdere clusters opnieuw gebruiken?

Ja. Vergeet niet om de URL van Service Fabric Explorer toe te voegen aan uw clustertoepassing (webtoepassing). Anders werkt Service Fabric Explorer niet.

Waarom heb ik nog steeds een servercertificaat nodig terwijl Microsoft Entra ID is ingeschakeld?

FabricClient en FabricGateway voeren een wederzijdse verificatie uit. Tijdens Microsoft Entra-verificatie biedt Microsoft Entra-integratie een clientidentiteit aan de server en gebruikt de client het servercertificaat om de identiteit van de server te verifiëren. Zie X.509-certificaten en Service Fabric voor meer informatie over Service Fabric-certificaten.

Volgende stappen

Nadat u Microsoft Entra-toepassingen hebt ingesteld en rollen voor gebruikers hebt ingesteld, configureert en implementeert u een cluster.

  • Last updated on