Delen via

Active Directory Federation Services configureren voor Windows Azure Pack

  • Artikel

 

Van toepassing op: Windows Azure Pack

Standaard gebruikt Windows Azure Pack voor Windows Server de volgende verificatie.

Service

Standaardverificatie

Beheerportal voor beheerders

Windows-verificatie

Beheerportal voor tenants

ASP.Net lidmaatschapsprovider

In plaats van deze standaardverificatietypen te gebruiken, kunt u ook Windows Azure Pack configureren voor het gebruik van Windows Azure Active Directory Federation Services (AD FS) voor verificatie, zoals beschreven in de volgende stappen. Voor deze optie is Windows Server 2012 R2 vereist.

Als u wilt terugkeren naar de standaardverificatie, raadpleegt u Teruggaan naar de standaard-Windows Azure Pack-verificatiesites

Notitie

In de volgende informatie wordt ervan uitgegaan dat u AD FS nog niet hebt geconfigureerd in uw omgeving. Als u AD FS hebt geconfigureerd, kunt u de eerste stap overslaan en rechtstreeks doorgaan naar AD FS configureren om de beheerportals te vertrouwen.

  1. AD FS configureren

  2. De beheerportals configureren om AD FS te vertrouwen

  3. De tenantverificatiesite configureren om AD FS te vertrouwen

  4. AD FS configureren om de beheerportals te vertrouwen

Aanbevolen procedures

Bekijk de volgende aanbevolen procedures voordat u AD FS configureert.

  • De indeling van gebruikersgroepen die worden geleverd door de AD FS-installatie moet overeenkomen met de indeling die is ingevoerd in de gebruikersinterface. De voorgeschreven indeling voor het toevoegen van AD-groepen als co-beheerders is domein\alias.

  • De eigenaar van het abonnement moet een afzonderlijke gebruiker zijn en geen groep.

  • Het is over het algemeen een goede gewoonte om een e-mailadres te gebruiken als de unieke id. Aangepaste claimgeneratoren staan een GUID of andere unieke id's toe, maar het gebruik ervan maakt het toevoegen van medebeheerders of het toevoegen van afzonderlijke gebruikers ingewikkeld en moet over het algemeen worden vermeden.

  • AD FS stelt standaard een cookie in op het clienteindeinde om de selectie van de gebruiker voor verificatiemethoden bij te houden. U kunt deze actie uitschakelen door de volgende AD FS-Windows PowerShell cmdlet uit te voeren:

    Set-ADFSWebConfig –HRDCookieEnabled $false

Ga naar het Active Directory Federation Services Overzicht voor meer informatie over de implementatie en het onderhoud van een AD FS-farm.