Konfigurowanie usług AD FS

 

Dotyczy: Windows Azure Pack

Pierwszym krokiem włączania usług Windows Azure Active Directory Federation Services (AD FS) Windows Azure Pack for Windows Server, należy skonfigurować usługi AD FS zgodnie z opisem w poniższych krokach.

Aby skonfigurować usługi AD FS

1. Jeśli używasz istniejących usług AD FS, wykonaj następujące czynności:

   1. W usługach AD FS użyj następującego adresu, aby dodać portal zarządzania dla administratorów i portalu zarządzania dzierżawców jako jednostki uzależnione:

      <Identyfikator URI>/federationMetadata/2007-06/Federationmetadata.xml

      Zastąp <identyfikator URI> portalu adresami portalu zarządzania dla administratorów i portalu zarządzania dla dzierżaw.

      Na przykład https://www.contosotenant.com/federationMetadata/2007-06/Federationmetadata.xml

   2. Zastosuj następujące reguły przekształcania do portalu zarządzania dla dzierżaw:

      • Przekształcanie grup usługi AD na oświadczenia "grupy"

      • Przekształcanie adresu e-mail na oświadczenia UPN

   3. Pomiń pozostałe kroki i przejdź do sekcji Konfigurowanie portali zarządzania w celu zaufania usług AD FS.

2. Jeśli konfigurujesz nowe usługi AD FS, na maszynie, która ma być używana dla usług AD FS, włącz rolę usług AD FS.

3. Zaloguj się na maszynie jako administrator domeny. Istnieją dwie opcje konfigurowania usług AD FS: uruchom polecenie cmdlet Install-AdfsFarm lub uruchom skrypt.

   • Uruchom polecenie cmdlet Install-AdfsFarm, aby skonfigurować usługi AD FS.

     Install-AdfsFarm –CertificateThumbprint <String> -FederationServiceName <String> -ServiceAccountCredential <PSCredential> -SQLConnectionString <String>
     

     Aby uruchomić polecenie cmdlet Install-AdfsFarm, należy podać następujące informacje.

     Parametr polecenia cmdlet	Wymagane informacje
     –CertificateThumbprint	Odcisk palca certyfikatu secure Socket Layer (SSL). Certyfikat powinien być zainstalowany w <local_machine>\Mój sklep.
     -FederationServiceName	W pełni kwalifikowana nazwa domeny (FQDN) usługi AD FS.
     -ServiceAccountCredential	Konto usługi domeny do uruchamiania usług AD FS.
     -SQLConnectionString	SQL parametry połączenia z wystąpieniem Microsoft SQL Server hostowania baz danych usług AD FS.

   • Możesz też uruchomić następujący skrypt, aby skonfigurować usługi AD FS.

     Uwaga

     Przed uruchomieniem tego skryptu należy zainstalować makecert.exe. Alternatywnie możesz użyć usług IIS do utworzenia certyfikatu z podpisem własnym i przekazania odcisku palca w tym skrycie.

     # Set these values:
     $domainName = 'contoso.com'
     $adfsPrefix = 'AzurePack-adfs'
     $username = 'username' 
     $password = 'password'
     $dnsName = ($adfsPrefix + "." + $domainName)
     
     # Generate Self Signed Certificate
     Import-Module -Name 'PKI','WebAdministration'
     # You must install makecert.exe before running this script. Alternatively use the IIS UI to create a self-signed certificate and pass the thumbprint in this script
     
     $item = Get-Item -Path 'IIS:\SslBindings\0.0.0.0!443' -ErrorAction SilentlyContinue
     if (!$item)
     {
     MakeCert.exe -n "CN=$dnsName" -r -pe -sky exchange -ss My -sr LocalMachine -eku 1.3.6.1.5.5.7.3.1
     cert = ,(Get-ChildItem 'Cert:\LocalMachine\My' | Where-Object { $_.Subject -eq "CN=$dnsName" })[0]
     }
     $thumbprint = $cert.Thumbprint
     $securePassword = ConvertTo-SecureString -String $password -Force -AsPlainText
     $adfsServiceCredential = New-Object -TypeName System.Management.Automation.PSCredential -ArgumentList ($domainname + '\' + $username), $securePassword
     
     # If you want to install AD FS with a database, provide this data. Otherwise it will install with the Windows Internal Database (which should be enabled 
     # prior to configuring AD fS)
     $dbServer = 'AzurePack-SQl'
     $dbUsername = 'sa'
     $dbPassword = '<SQL_password>'
     $adfsSqlConnectionString = [string]::Format('Data Source={0};Initial Catalog=master;User ID={1};Password={2}', $dbServer, $dbUsername, $dbPassword)
     
     # Configure AD FS
     Install-AdfsFarm `
         -CertificateThumbprint $thumbprint `
         -FederationServiceName $dnsName `
         -ServiceAccountCredential $adfsServiceCredential `
         -SQLConnectionString $adfsSqlConnectionString `
         -OverwriteConfiguration
     

   Porada

   Jeśli wystąpią komunikaty o błędach dotyczące zduplikowanych nazw głównych usługi (SPN), użyj narzędzia Setspn, aby usunąć, a następnie ponownie dodać nazwę SPN w następujący sposób:

   1. W wierszu polecenia na maszynie usług AD FS uruchom narzędzie Setspn, aby usunąć zduplikowaną nazwę SPN:

      setspn -u -d http/$dnsname $username

   2. W wierszu polecenia na maszynie usług AD FS uruchom narzędzie Setspn, aby dodać nową nazwę SPN:

      setspn -u -s http/$dnsname $username

   Aby uzyskać więcej informacji na temat nazwy SPN, odwiedź stronę MSDN dotyczącą głównych nazw usługi.

Następne kroki

• Konfigurowanie portali zarządzania w celu zaufania usług AD FS