Konfigurowanie portali zarządzania w celu zaufania usług AD FS
Dotyczy: Windows Azure Pack
Po skonfigurowaniu usług Active Directory Federations Services (AD FS) należy skonfigurować portal zarządzania dla administratorów i portalu zarządzania, aby dzierżawcy ufali usługOM AD FS. Możesz uruchomić polecenie cmdlet Set-MgmtSvcRelyingPartySettings lub uruchomić skrypt Windows PowerShell.
Opcja 1. Uruchamianie polecenia cmdlet Set-MgmtSvcRelyingPartySettings
Uruchom polecenie cmdlet Set-MgmtSvcRelyingPartySettings na każdej maszynie, na której jest zainstalowany administrator lub portal dzierżawy.
Przed uruchomieniem polecenia cmdlet Set-MgmtSvcRelyingPartySettings upewnij się, że skonfigurowana maszyna może uzyskać dostęp do punktu końcowego metadanych usługi internetowej usług AD FS. Aby zweryfikować dostęp, otwórz przeglądarkę i przejdź do tego samego identyfikatora URI, którego planujesz użyć dla parametru –MetadataEndpoint. Jeśli możesz wyświetlić plik .xml, możesz uzyskać dostęp do punktu końcowego metadanych federacji.
Teraz uruchom polecenie cmdlet Set-MgmtSvcRelyingPartySettings.
Set-MgmtSvcRelyingPartySettings -Target Tenant -MetadataEndpoint https://<fqdn>/FederationMetadata/2007-06/FederationMetadata.xml -DisableCertificateValidation -ConnectionString 'Server=<some server>;User Id=<user with write permissions to all config databases>;Password=<password>;'
W poniższej tabeli przedstawiono wymagane informacje dotyczące uruchamiania polecenia cmdlet Set-MgmtSvcRelyingPartySettings.
Parametr polecenia cmdlet
Wymagane informacje
-Target
Ten parametr służy do wskazywania, który portal ma być skonfigurowany. Możliwe wartości: Administracja, Dzierżawa.
-MetadataEndpoint
Punkt końcowy metadanych usługi sieci Web usług AD FS. Użyj prawidłowego, dostępnego i kompletnego identyfikatora URI w następującym formacie: https://< AD FS>/FederationMetadata/2007-06/FederationMetadata.xml. W poniższych poleceniach cmdlet zastąp $fqdn dostępną w pełni kwalifikowaną nazwą domeny usług AD FS (FQDN).
-ConnectionString
Parametry połączenia z wystąpieniem Microsoft SQL Server hostujące bazę danych konfiguracji portalu zarządzania.
Opcja 2. Uruchamianie skryptu Windows PowerShell
Zamiast używać polecenia cmdlet, można uruchomić następujący skrypt Windows PowerShell na każdej maszynie, na której jest zainstalowany administrator lub portal dzierżawy.
$domainName = 'mydomain.com' $adfsPrefix = 'AzurePack-adfs' $dnsName = ($adfsPrefix + "." + $domainName) # Enter Sql Server details here $dbServer = 'AzurePack-sql' $dbUsername = 'sa' $dbPassword = '<SQL_password>' $connectionString = [string]::Format('Data Source={0};User ID={1};Password={2}', $dbServer, $dbUsername, $dbPassword) # Note: Use the \"DisableCertificateValidation\" switch only in test environments. In production environments, # all SSL certificates should be valid. Set-MgmtSvcRelyingPartySettings -Target Tenant ` -MetadataEndpoint https://$dnsName/FederationMetadata/2007-06/FederationMetadata.xml ` -DisableCertificateValidation -ConnectionString $connectionString
Dodawanie użytkowników w celu uzyskania dostępu do portalu zarządzania dla administratorów
Jeśli chcesz dodać użytkowników, aby mieli dostęp do portalu zarządzania dla administratorów, musisz uruchomić polecenie cmdlet Add-MgmtSvcAdminUser na maszynie hostująca interfejs API Administracja. Parametry połączenia powinny wskazywać bazę danych konfiguracji portalu zarządzania.
Poniższy przykład kodu przedstawia sposób dodawania użytkowników w celu uzyskania dostępu.
$adminuser = 'domainuser1@mydomain.com' $dbServer = 'AzurePack-sql' $dbUsername = 'sa' $dbPassword = 'SQL_Password' $connectionString = [string]::Format('Server= {0} ;Initial Catalog=Microsoft.MgmtSvc.Store;User Id={1};Password={2};',$dbServer, $dbUsername, $dbPassword) Add-MgmtSvcAdminUser -Principal $adminuser -ConnectionString $connectionstring
Uwaga
-
Format $dbuser musi być zgodny z główną nazwą użytkownika (UPN), która jest wysyłana przez usługi AD FS.
-
Użytkownicy administratora muszą być poszczególnymi użytkownikami. Nie można dodawać grup usługi AD jako użytkowników administratorów.
-