Konfigurowanie Active Directory Federation Services dla Windows Azure Pack
Dotyczy: Windows Azure Pack
Domyślnie Windows pakiet Azure Pack dla serwera Windows używa następującego uwierzytelniania.
Usługa |
Domyślne uwierzytelnianie |
---|---|
Portal zarządzania dla administratorów |
Uwierzytelnianie Windows |
Portal zarządzania dla dzierżaw |
dostawca członkostwa ASP.Net |
Zamiast używać tych domyślnych typów uwierzytelniania, możesz również skonfigurować Windows Azure Pack do używania usług Windows Azure Active Directory Federation Services (AD FS) do uwierzytelniania zgodnie z opisem w poniższych krokach. Ta opcja wymaga Windows Server 2012 R2.
Jeśli chcesz wrócić do domyślnego uwierzytelniania, zobacz Przełączanie z powrotem do domyślnych witryn uwierzytelniania Windows Azure Pack
Uwaga
Poniższe informacje zakładają, że nie masz jeszcze skonfigurowanych usług AD FS w środowisku. Jeśli skonfigurowano usługi AD FS, możesz pominąć pierwszy krok i przejść bezpośrednio do konfigurowania usług AD FS, aby ufać portalom zarządzania.
Konfigurowanie portali zarządzania w celu zaufania usług AD FS
Konfigurowanie lokacji uwierzytelniania dzierżawy w celu zaufania usług AD FS
Konfigurowanie usług AD FS w celu zaufania portalom zarządzania
Najlepsze rozwiązania
Przed skonfigurowaniem usług AD FS zapoznaj się z poniższymi najlepszymi rozwiązaniami.
Format grup użytkowników udostępnianych przez instalację usług AD FS powinien być zgodny z formatem wprowadzonym w interfejsie użytkownika. Zalecany format dodawania grup usługi AD jako współadministratorzy to domena\alias.
Właściciel subskrypcji powinien być indywidualnym użytkownikiem, a nie grupą.
Zazwyczaj dobrym rozwiązaniem jest użycie adresu e-mail jako unikatowego identyfikatora. Generatory oświadczeń niestandardowych zezwalają na identyfikator GUID lub inne unikatowe identyfikatory, ale ich użycie komplikuje dodawanie współadministratorów lub dodawanie poszczególnych użytkowników i powinno być zwykle unikane.
Domyślnie usługi AD FS ustawia plik cookie na końcu klienta, aby śledzić wybór użytkownika na potrzeby metod uwierzytelniania. Tę akcję można wyłączyć, uruchamiając następujące polecenie cmdlet Windows PowerShell usług AD FS:
Set-ADFSWebConfig –HRDCookieEnabled $false
Aby uzyskać więcej informacji na temat wdrażania i konserwacji farmy usług AD FS, odwiedź Active Directory Federation Services Przegląd.