Konfigurowanie usług AD FS
Dotyczy: Windows Azure Pack
Pierwszym krokiem włączania usług Windows Azure Active Directory Federation Services (AD FS) Windows Azure Pack for Windows Server, należy skonfigurować usługi AD FS zgodnie z opisem w poniższych krokach.
Aby skonfigurować usługi AD FS
Jeśli używasz istniejących usług AD FS, wykonaj następujące czynności:
W usługach AD FS użyj następującego adresu, aby dodać portal zarządzania dla administratorów i portalu zarządzania dzierżawców jako jednostki uzależnione:
<Identyfikator URI>/federationMetadata/2007-06/Federationmetadata.xml
Zastąp <identyfikator URI> portalu adresami portalu zarządzania dla administratorów i portalu zarządzania dla dzierżaw.
Na przykład https://www.contosotenant.com/federationMetadata/2007-06/Federationmetadata.xml
Zastosuj następujące reguły przekształcania do portalu zarządzania dla dzierżaw:
Przekształcanie grup usługi AD na oświadczenia "grupy"
Przekształcanie adresu e-mail na oświadczenia UPN
Pomiń pozostałe kroki i przejdź do sekcji Konfigurowanie portali zarządzania w celu zaufania usług AD FS.
Jeśli konfigurujesz nowe usługi AD FS, na maszynie, która ma być używana dla usług AD FS, włącz rolę usług AD FS.
Zaloguj się na maszynie jako administrator domeny. Istnieją dwie opcje konfigurowania usług AD FS: uruchom polecenie cmdlet Install-AdfsFarm lub uruchom skrypt.
Uruchom polecenie cmdlet Install-AdfsFarm, aby skonfigurować usługi AD FS.
Install-AdfsFarm –CertificateThumbprint <String> -FederationServiceName <String> -ServiceAccountCredential <PSCredential> -SQLConnectionString <String>
Aby uruchomić polecenie cmdlet Install-AdfsFarm, należy podać następujące informacje.
Parametr polecenia cmdlet
Wymagane informacje
–CertificateThumbprint
Odcisk palca certyfikatu secure Socket Layer (SSL). Certyfikat powinien być zainstalowany w <local_machine>\Mój sklep.
-FederationServiceName
W pełni kwalifikowana nazwa domeny (FQDN) usługi AD FS.
-ServiceAccountCredential
Konto usługi domeny do uruchamiania usług AD FS.
-SQLConnectionString
SQL parametry połączenia z wystąpieniem Microsoft SQL Server hostowania baz danych usług AD FS.
Możesz też uruchomić następujący skrypt, aby skonfigurować usługi AD FS.
Uwaga
Przed uruchomieniem tego skryptu należy zainstalować makecert.exe. Alternatywnie możesz użyć usług IIS do utworzenia certyfikatu z podpisem własnym i przekazania odcisku palca w tym skrycie.
# Set these values: $domainName = 'contoso.com' $adfsPrefix = 'AzurePack-adfs' $username = 'username' $password = 'password' $dnsName = ($adfsPrefix + "." + $domainName) # Generate Self Signed Certificate Import-Module -Name 'PKI','WebAdministration' # You must install makecert.exe before running this script. Alternatively use the IIS UI to create a self-signed certificate and pass the thumbprint in this script $item = Get-Item -Path 'IIS:\SslBindings\0.0.0.0!443' -ErrorAction SilentlyContinue if (!$item) { MakeCert.exe -n "CN=$dnsName" -r -pe -sky exchange -ss My -sr LocalMachine -eku 1.3.6.1.5.5.7.3.1 cert = ,(Get-ChildItem 'Cert:\LocalMachine\My' | Where-Object { $_.Subject -eq "CN=$dnsName" })[0] } $thumbprint = $cert.Thumbprint $securePassword = ConvertTo-SecureString -String $password -Force -AsPlainText $adfsServiceCredential = New-Object -TypeName System.Management.Automation.PSCredential -ArgumentList ($domainname + '\' + $username), $securePassword # If you want to install AD FS with a database, provide this data. Otherwise it will install with the Windows Internal Database (which should be enabled # prior to configuring AD fS) $dbServer = 'AzurePack-SQl' $dbUsername = 'sa' $dbPassword = '<SQL_password>' $adfsSqlConnectionString = [string]::Format('Data Source={0};Initial Catalog=master;User ID={1};Password={2}', $dbServer, $dbUsername, $dbPassword) # Configure AD FS Install-AdfsFarm ` -CertificateThumbprint $thumbprint ` -FederationServiceName $dnsName ` -ServiceAccountCredential $adfsServiceCredential ` -SQLConnectionString $adfsSqlConnectionString ` -OverwriteConfiguration
Porada
Jeśli wystąpią komunikaty o błędach dotyczące zduplikowanych nazw głównych usługi (SPN), użyj narzędzia Setspn, aby usunąć, a następnie ponownie dodać nazwę SPN w następujący sposób:
-
W wierszu polecenia na maszynie usług AD FS uruchom narzędzie Setspn, aby usunąć zduplikowaną nazwę SPN:
setspn -u -d http/$dnsname $username
-
W wierszu polecenia na maszynie usług AD FS uruchom narzędzie Setspn, aby dodać nową nazwę SPN:
setspn -u -s http/$dnsname $username
Aby uzyskać więcej informacji na temat nazwy SPN, odwiedź stronę MSDN dotyczącą głównych nazw usługi.