Udostępnij za pośrednictwem

Konfigurowanie Active Directory Federation Services dla Windows Azure Pack

  • Artykuł

 

Dotyczy: Windows Azure Pack

Domyślnie Windows pakiet Azure Pack dla serwera Windows używa następującego uwierzytelniania.

Usługa

Domyślne uwierzytelnianie

Portal zarządzania dla administratorów

Uwierzytelnianie Windows

Portal zarządzania dla dzierżaw

dostawca członkostwa ASP.Net

Zamiast używać tych domyślnych typów uwierzytelniania, możesz również skonfigurować Windows Azure Pack do używania usług Windows Azure Active Directory Federation Services (AD FS) do uwierzytelniania zgodnie z opisem w poniższych krokach. Ta opcja wymaga Windows Server 2012 R2.

Jeśli chcesz wrócić do domyślnego uwierzytelniania, zobacz Przełączanie z powrotem do domyślnych witryn uwierzytelniania Windows Azure Pack

Uwaga

Poniższe informacje zakładają, że nie masz jeszcze skonfigurowanych usług AD FS w środowisku. Jeśli skonfigurowano usługi AD FS, możesz pominąć pierwszy krok i przejść bezpośrednio do konfigurowania usług AD FS, aby ufać portalom zarządzania.

  1. Konfigurowanie usług AD FS

  2. Konfigurowanie portali zarządzania w celu zaufania usług AD FS

  3. Konfigurowanie lokacji uwierzytelniania dzierżawy w celu zaufania usług AD FS

  4. Konfigurowanie usług AD FS w celu zaufania portalom zarządzania

Najlepsze rozwiązania

Przed skonfigurowaniem usług AD FS zapoznaj się z poniższymi najlepszymi rozwiązaniami.

  • Format grup użytkowników udostępnianych przez instalację usług AD FS powinien być zgodny z formatem wprowadzonym w interfejsie użytkownika. Zalecany format dodawania grup usługi AD jako współadministratorzy to domena\alias.

  • Właściciel subskrypcji powinien być indywidualnym użytkownikiem, a nie grupą.

  • Zazwyczaj dobrym rozwiązaniem jest użycie adresu e-mail jako unikatowego identyfikatora. Generatory oświadczeń niestandardowych zezwalają na identyfikator GUID lub inne unikatowe identyfikatory, ale ich użycie komplikuje dodawanie współadministratorów lub dodawanie poszczególnych użytkowników i powinno być zwykle unikane.

  • Domyślnie usługi AD FS ustawia plik cookie na końcu klienta, aby śledzić wybór użytkownika na potrzeby metod uwierzytelniania. Tę akcję można wyłączyć, uruchamiając następujące polecenie cmdlet Windows PowerShell usług AD FS:

    Set-ADFSWebConfig –HRDCookieEnabled $false

Aby uzyskać więcej informacji na temat wdrażania i konserwacji farmy usług AD FS, odwiedź Active Directory Federation Services Przegląd.