Udostępnij za pośrednictwem

Włączanie uwierzytelniania Windows dla Windows Azure Pack: witryny sieci Web

  • Artykuł

 

Dotyczy: Windows Azure Pack

Windows Azure Pack: witryny sieci Web obsługują integrację witryny internetowej z usługą Active Directory na potrzeby uwierzytelniania. Obsługa puli aplikacji umożliwia również uruchamianie witryny internetowej w ramach określonej tożsamości używanej do łączenia się z zasobami bazy danych.

Uwaga

Funkcja tożsamość puli aplikacji nie obsługuje obecnie wszystkich scenariuszy przekazywania i działa tylko z bazami danych.

Aby uwierzytelnianie usługi Active Directory było włączone, muszą być spełnione następujące warunki:

  • Wszystkie role procesu roboczego witryny sieci Web muszą być przyłączone do tej samej domeny usługi Active Directory.

  • Po dołączeniu chmury witryny sieci Web do domeny usługi Active Directory tylko pracownicy, którzy są częścią tej samej domeny, można dodać do chmury.

Uwierzytelnianie usługi Active Directory można włączyć za pomocą portalu zarządzania lub poleceń programu PowerShell.

Portal zarządzania

Administracyjnie włącz integrację uwierzytelniania usługi Active Directory z witrynami sieci Web

Aby włączyć usługę Active Directory za pośrednictwem portalu administracyjnego

  1. Otwórz kartę Konfigurowanie chmury witryn sieci Web.

  2. W sekcji Ogólne Ustawienia wybierz spośród trzech następujących opcji uwierzytelniania Windows witryny sieci Web:

    Ustawienie

    Opis

    Wyłączone

    Wyłącza uwierzytelnianie Windows witryn internetowych w chmurze

    Zezwalaj

    Włącza uwierzytelnianie Windows, aby dzierżawcy mogli ją włączyć w witrynach internetowych

    Wymagane

    Wymaga, aby wszystkie witryny internetowe w chmurze używały uwierzytelniania Windows

Gdy Windows uwierzytelnianie jest ustawione na wartość Wymagaj, wszystkie witryny sieci Web dzierżawy w chmurze witryny sieci Web będą miały integrację usługi Active Directory w witrynach sieci Web. Oznacza to, że dzierżawa witryny sieci Web nie może ustawić nieuwierzytelnionego środowiska. Ustawienie Wymagaj zapewnia administratorowi witryn sieci Web, że wszystkie witryny sieci Web zostały zabezpieczone.

Gdy Windows uwierzytelnianie jest ustawione administracyjnym na wartość Zezwalaj, dzierżawcy mogą zdecydować, czy ich witryny mają zostać zintegrowane z usługą Active Directory na potrzeby uwierzytelniania. Po włączeniu opcji Zezwalaj dzierżawcy mogą manipulować poszczególnymi stronami w swojej witrynie sieci Web, aby nie wymagać uwierzytelniania.

Włączanie dzierżawy uwierzytelniania usługi Active Directory dla witryny sieci Web

Dzierżawcy mogą włączyć integrację usługi Active Directory na karcie Konfigurowanie portalu zarządzania dla swojej witryny sieci Web. Opcja konfigurowania integracji usługi Active Directory jest włączona tylko wtedy, gdy administrator włączył go dla chmury witryn sieci Web, do której należy witryna sieci Web. W zależności od ustawień wprowadzonych przez administratora chmury dzierżawcy mogą wyłączyć integrację usługi Active Directory, włączyć ją lub udostępnić.

Aby skonfigurować usługę Active Directory dla witryny sieci Web dzierżawy w portalu zarządzania dzierżawą

  1. Otwórz kartę Konfigurowanie witryny sieci Web.

  2. W sekcji Ogólne wybierz spośród trzech następujących opcji uwierzytelniania Windows:

    Ustawienie

    Opis

    Wyłączone

    Wyłącza uwierzytelnianie Windows dla witryny sieci Web

    Zezwalaj

    Umożliwia korzystanie z uwierzytelniania Windows w witrynie internetowej

    Wymagane

    Wymaga, aby cała witryna internetowa korzystała z uwierzytelniania Windows

Gdy Windows uwierzytelnianie jest ustawione na wartość Wymagaj, wszystkie strony w witrynie są chronione przez uwierzytelnianie usługi Active Directory. Ustawienie Wymagaj gwarantuje, że właściciel witryny sieci Web nie może być wyłączony, nawet jeśli wielu deweloperów zaktualizuje tę samą witrynę sieci Web.

Po ustawieniu ustawienia Windows Authentication (Zezwalaj) witryna sieci Web jest chroniona przez usługę Active Directory na potrzeby uwierzytelniania. Jednak deweloperzy witryn sieci Web nadal mogą wyłączyć ją dla poszczególnych stron w witrynie.

Jeśli administrator systemu w chmurze ustawił opcję Uwierzytelnianie usługi Active Directory na wartość Wymagaj, dzierżawa nie może ją wyłączyć dla swojej witryny sieci Web.

Administracyjnie włącz tożsamość puli aplikacji dla witryn sieci Web

Tożsamości puli aplikacji można włączyć tylko wtedy, gdy wszyscy pracownicy w chmurze witryn internetowych są przyłączone do tej samej domeny usługi Active Directory. Administratorzy mogą zarządzać funkcją tożsamości puli aplikacji na karcie Konfigurowanie chmury witryny sieci Web.

Aby włączyć tożsamość puli aplikacji za pośrednictwem portalu administracyjnego chmury

  1. Otwórz kartę Konfigurowanie chmury witryn sieci Web.

  2. W sekcji Ogólne Ustawienia ustaw opcję Tożsamość puli aplikacji niestandardowych na wartość Zezwalaj.

Włączanie dzierżawy tożsamości puli aplikacji

Tożsamości puli aplikacji można włączyć dla witryny sieci Web tylko wtedy, gdy administrator chmury witryny sieci Web włączył korzystanie z niestandardowych tożsamości puli aplikacji dla chmury witryny sieci Web, do której należy witryna internetowa. Dzierżawcy mogą włączyć tożsamość puli aplikacji na karcie Konfigurowanie portalu zarządzania witryny sieci Web.

Aby włączyć niestandardowe tożsamości puli aplikacji w portalu zarządzania witrynami sieci Web dzierżawy

  1. Otwórz kartę Konfigurowanie chmury witryn sieci Web.

  2. W sekcji Ogólne Ustawienia ustaw opcję Tożsamość puli aplikacji niestandardowych na wartość Zezwalaj.

  3. Podaj nazwę użytkownika i hasło, w ramach którego ma być uruchamiana witryna internetowa.

Po zakończeniu tego ustawienia witryna internetowa może używać tożsamości udostępnionej do łączenia się z bazami danych, w których znajdują się lub z tą samą domeną co użytkownik.

PowerShell

Importowanie modułu WebSites programu PowerShell

Najpierw, aby włączyć niezbędne polecenia programu PowerShell, uruchom następujące polecenie, aby zaimportować moduł WebSites programu PowerShell:

Import-Module witrynach sieci Web

Tworzenie witryny sieci Web

Jeśli nie masz jeszcze witryny sieci Web, możesz utworzyć tę witrynę przy użyciu Windows Azure Pack: Portal zarządzania witrynami sieci Web lub użyć następującego polecenia cmdlet programu PowerShell. W tym przykładzie zastąp ciąg contoso, adatum i contoso.fabrikam.com nazwą witryny internetowej, identyfikatorem subskrypcji i nazwą hosta, której będziesz używać.

New-WebSitesSite -Name contoso -SubscriptionId adatum -HostNames contoso.fabrikam.com

Włączanie uwierzytelniania Windows NTLM dla witryny sieci Web Windows Azure Pack

Aby włączyć uwierzytelnianie Windows dla witryny sieci Web, uruchom następujące polecenie cmdlet na kontrolerze przy użyciu opcji Zezwalaj. Opcja Wymagana może być używana, gdy chcesz zablokować sekcje konfiguracji uwierzytelniania w pliku applicationhost.config lokacji i uniemożliwić zastąpienie wszystkich plików web.config w lokacji lub dowolnej aplikacji w lokacji. W poniższym przykładzie zastąp element adatum identyfikatorem subskrypcji i nazwą witryny internetowej contoso.

Set-WebSitesSiteConfig -SubscriptionId adatum -Name contoso –WindowsAuthEnabled {Zezwalaj | Wymagane}

Włączanie uwierzytelniania kerberos Windows dla witryny internetowej Windows Azure Pack

Włączenie protokołu Kerberos dla witryny internetowej Windows Azure Pack obejmuje następujące elementy:

  1. Wydaj te same polecenia, aby włączyć uwierzytelnianie Windows co w przypadku włączania uwierzytelniania opartego na protokole NTLM Windows.

  2. Utwórz użytkownika domeny na serwerze domeny.

  3. Dodaj nazwę główną usługi (SPN) dla każdej nazwy hosta w lokacji, która będzie obsługiwać protokół Kerberos.

  4. Przypisz użytkownika domeny do tożsamości puli aplikacji dla subskrypcji.

Te kroki zostały szczegółowo wyjaśnione w następujący sposób.

1. Włączanie uwierzytelniania Windows

Uruchom następujące polecenie cmdlet na kontrolerze przy użyciu opcji Zezwalaj. W tym przykładzie zastąp element adatum identyfikatorem subskrypcji i nazwą witryny internetowej contoso .

Set-WebSitesSiteConfig -SubscriptionId adatum -Name contoso –WindowsAuthEnabled {Zezwalaj | Wymagane}

2. Na serwerze domeny utwórz użytkownika domeny

Aby utworzyć użytkownika domeny, uruchom następujące polecenie na serwerze domeny. Zastąp wartość lowprivilegeduser i password wartościami odpowiednimi dla danego środowiska.

net users /add lowprivilegeduserpassword

3. Dodaj nazwę główną usługi (SPN) dla każdej nazwy hosta w lokacji, która będzie obsługiwać protokół Kerberos

Aby dodać nazwę główną usługi (SPN) dla każdej nazwy hosta w lokacji, która będzie obsługiwać protokół Kerberos, uruchom następujące polecenie na serwerze domeny. Zastąp wartości contoso.fabrikam.com, domainname i lowprivilegeduser wartościami odpowiadającymi środowisku.

Setspn -S http/contoso.fabrikam.comnazwa\ domenylowprivilegeduser

4. Na kontrolerze witryn sieci Web Windows Azure Pack przypisz użytkownika domeny do puli aplikacji

Aby przypisać użytkownika domeny utworzonego do puli aplikacji, wykonaj następujące kroki na kontrolerze witryn sieci Web Windows Azure Pack. W nowym oknie programu PowerShell uruchom następujące polecenia. Zastąp wartości adatum, contoso, domainname, lowprivilegeduser i password wartościami odpowiadającymi środowisku.

Add-PSSnapin WebHostingSnapin
Set-WebSitesSiteConfig -SubscriptionId adatum -Name contoso -CustomAppPoolIdentity $true -SiteRuntimeUser domainname\lowprivilegeduser -SiteRuntimeUserPassword password

Wyłączanie uwierzytelniania Windows dla witryny internetowej Windows Azure Pack

Jeśli musisz wyłączyć uwierzytelnianie Windows, uruchom następujące polecenie programu PowerShell. W tym przykładzie zastąp ciąg adatum identyfikatorem subskrypcji i contoso nazwą witryny internetowej.

Set-WebSitesSiteConfig -SubscriptionId adatum -Name contoso –WindowsAuthEnabled Wyłączone

Włączanie zintegrowanego uwierzytelniania SQL dla witryny internetowej pakietu Azure Pack Windows

Włączenie SQL zintegrowanego uwierzytelniania dla witryny sieci Web Windows Azure Pack obejmuje następujące kroki:

  1. Utwórz użytkownika domeny na serwerze domeny.

  2. Przyznaj użytkownikowi domeny uprawnienia do bazy danych.

  3. Przypisz użytkownika domeny do tożsamości puli aplikacji dla subskrypcji.

Te kroki zostały szczegółowo wyjaśnione w następujący sposób.

1. Na serwerze domeny utwórz użytkownika domeny

Aby utworzyć użytkownika domeny, uruchom następujące polecenie na serwerze domeny. Zastąp ciąg lowprivilegeduser i password wartościami odpowiadającymi środowisku.

net users /add lowprivilegeduserpassword

2. W SQL Server przyznaj uprawnienia bazy danych użytkownika domeny

Aby przyznać użytkownikowi domeny utworzone uprawnienia do bazy danych, uruchom następujące polecenia w SQL Server. Zastąp wartości usersdatabasename, domainname\lowprivilegeduser i lowPrivilegedDBUser wartościami odpowiadającymi środowisku.

use usersdatabasename;

CREATE LOGIN [domainname\lowprivilegeduser] FROM WINDOWS;

CREATE USER lowPrivilegedDBUser FOR LOGIN [domainname\lowprivilegeduser];

EXEC sp_addrolemember "db_datareader", lowPrivilegedDBUser;

3. Na kontrolerze witryn sieci Web pakietu Windows Azure Pack przypisz użytkownika domeny do puli aplikacji

Aby przypisać użytkownika domeny utworzonego do puli aplikacji, wykonaj następujące kroki w Windows Kontroler witryn sieci Web pakietu Azure Pack. W nowym oknie programu PowerShell uruchom następujące polecenia. Zastąp wartości adatum, contoso, domainname, lowprivilegeduser i password wartościami odpowiadającymi środowisku.

Add-PSSnapin WebHostingSnapin Set-WebSitesSiteConfig -SubscriptionId adatum -Name contoso -CustomAppPoolIdentity $true -SiteRuntimeUser domainname\lowprivilegeduser -SiteRuntimeUserPassword password