Włączanie uwierzytelniania Windows dla Windows Azure Pack: witryny sieci Web
Dotyczy: Windows Azure Pack
Windows Azure Pack: witryny sieci Web obsługują integrację witryny internetowej z usługą Active Directory na potrzeby uwierzytelniania. Obsługa puli aplikacji umożliwia również uruchamianie witryny internetowej w ramach określonej tożsamości używanej do łączenia się z zasobami bazy danych.
Uwaga
Funkcja tożsamość puli aplikacji nie obsługuje obecnie wszystkich scenariuszy przekazywania i działa tylko z bazami danych.
Aby uwierzytelnianie usługi Active Directory było włączone, muszą być spełnione następujące warunki:
Wszystkie role procesu roboczego witryny sieci Web muszą być przyłączone do tej samej domeny usługi Active Directory.
Po dołączeniu chmury witryny sieci Web do domeny usługi Active Directory tylko pracownicy, którzy są częścią tej samej domeny, można dodać do chmury.
Uwierzytelnianie usługi Active Directory można włączyć za pomocą portalu zarządzania lub poleceń programu PowerShell.
Portal zarządzania
Administracyjnie włącz integrację uwierzytelniania usługi Active Directory z witrynami sieci Web
Aby włączyć usługę Active Directory za pośrednictwem portalu administracyjnego
Otwórz kartę Konfigurowanie chmury witryn sieci Web.
W sekcji Ogólne Ustawienia wybierz spośród trzech następujących opcji uwierzytelniania Windows witryny sieci Web:
Ustawienie
Opis
Wyłączone
Wyłącza uwierzytelnianie Windows witryn internetowych w chmurze
Zezwalaj
Włącza uwierzytelnianie Windows, aby dzierżawcy mogli ją włączyć w witrynach internetowych
Wymagane
Wymaga, aby wszystkie witryny internetowe w chmurze używały uwierzytelniania Windows
Gdy Windows uwierzytelnianie jest ustawione na wartość Wymagaj, wszystkie witryny sieci Web dzierżawy w chmurze witryny sieci Web będą miały integrację usługi Active Directory w witrynach sieci Web. Oznacza to, że dzierżawa witryny sieci Web nie może ustawić nieuwierzytelnionego środowiska. Ustawienie Wymagaj zapewnia administratorowi witryn sieci Web, że wszystkie witryny sieci Web zostały zabezpieczone.
Gdy Windows uwierzytelnianie jest ustawione administracyjnym na wartość Zezwalaj, dzierżawcy mogą zdecydować, czy ich witryny mają zostać zintegrowane z usługą Active Directory na potrzeby uwierzytelniania. Po włączeniu opcji Zezwalaj dzierżawcy mogą manipulować poszczególnymi stronami w swojej witrynie sieci Web, aby nie wymagać uwierzytelniania.
Włączanie dzierżawy uwierzytelniania usługi Active Directory dla witryny sieci Web
Dzierżawcy mogą włączyć integrację usługi Active Directory na karcie Konfigurowanie portalu zarządzania dla swojej witryny sieci Web. Opcja konfigurowania integracji usługi Active Directory jest włączona tylko wtedy, gdy administrator włączył go dla chmury witryn sieci Web, do której należy witryna sieci Web. W zależności od ustawień wprowadzonych przez administratora chmury dzierżawcy mogą wyłączyć integrację usługi Active Directory, włączyć ją lub udostępnić.
Aby skonfigurować usługę Active Directory dla witryny sieci Web dzierżawy w portalu zarządzania dzierżawą
Otwórz kartę Konfigurowanie witryny sieci Web.
W sekcji Ogólne wybierz spośród trzech następujących opcji uwierzytelniania Windows:
Ustawienie
Opis
Wyłączone
Wyłącza uwierzytelnianie Windows dla witryny sieci Web
Zezwalaj
Umożliwia korzystanie z uwierzytelniania Windows w witrynie internetowej
Wymagane
Wymaga, aby cała witryna internetowa korzystała z uwierzytelniania Windows
Gdy Windows uwierzytelnianie jest ustawione na wartość Wymagaj, wszystkie strony w witrynie są chronione przez uwierzytelnianie usługi Active Directory. Ustawienie Wymagaj gwarantuje, że właściciel witryny sieci Web nie może być wyłączony, nawet jeśli wielu deweloperów zaktualizuje tę samą witrynę sieci Web.
Po ustawieniu ustawienia Windows Authentication (Zezwalaj) witryna sieci Web jest chroniona przez usługę Active Directory na potrzeby uwierzytelniania. Jednak deweloperzy witryn sieci Web nadal mogą wyłączyć ją dla poszczególnych stron w witrynie.
Jeśli administrator systemu w chmurze ustawił opcję Uwierzytelnianie usługi Active Directory na wartość Wymagaj, dzierżawa nie może ją wyłączyć dla swojej witryny sieci Web.
Administracyjnie włącz tożsamość puli aplikacji dla witryn sieci Web
Tożsamości puli aplikacji można włączyć tylko wtedy, gdy wszyscy pracownicy w chmurze witryn internetowych są przyłączone do tej samej domeny usługi Active Directory. Administratorzy mogą zarządzać funkcją tożsamości puli aplikacji na karcie Konfigurowanie chmury witryny sieci Web.
Aby włączyć tożsamość puli aplikacji za pośrednictwem portalu administracyjnego chmury
Otwórz kartę Konfigurowanie chmury witryn sieci Web.
W sekcji Ogólne Ustawienia ustaw opcję Tożsamość puli aplikacji niestandardowych na wartość Zezwalaj.
Włączanie dzierżawy tożsamości puli aplikacji
Tożsamości puli aplikacji można włączyć dla witryny sieci Web tylko wtedy, gdy administrator chmury witryny sieci Web włączył korzystanie z niestandardowych tożsamości puli aplikacji dla chmury witryny sieci Web, do której należy witryna internetowa. Dzierżawcy mogą włączyć tożsamość puli aplikacji na karcie Konfigurowanie portalu zarządzania witryny sieci Web.
Aby włączyć niestandardowe tożsamości puli aplikacji w portalu zarządzania witrynami sieci Web dzierżawy
Otwórz kartę Konfigurowanie chmury witryn sieci Web.
W sekcji Ogólne Ustawienia ustaw opcję Tożsamość puli aplikacji niestandardowych na wartość Zezwalaj.
Podaj nazwę użytkownika i hasło, w ramach którego ma być uruchamiana witryna internetowa.
Po zakończeniu tego ustawienia witryna internetowa może używać tożsamości udostępnionej do łączenia się z bazami danych, w których znajdują się lub z tą samą domeną co użytkownik.
PowerShell
Importowanie modułu WebSites programu PowerShell
Najpierw, aby włączyć niezbędne polecenia programu PowerShell, uruchom następujące polecenie, aby zaimportować moduł WebSites programu PowerShell:
Import-Module witrynach sieci Web
Tworzenie witryny sieci Web
Jeśli nie masz jeszcze witryny sieci Web, możesz utworzyć tę witrynę przy użyciu Windows Azure Pack: Portal zarządzania witrynami sieci Web lub użyć następującego polecenia cmdlet programu PowerShell. W tym przykładzie zastąp ciąg contoso, adatum i contoso.fabrikam.com nazwą witryny internetowej, identyfikatorem subskrypcji i nazwą hosta, której będziesz używać.
New-WebSitesSite -Name contoso -SubscriptionId adatum -HostNames contoso.fabrikam.com
Włączanie uwierzytelniania Windows NTLM dla witryny sieci Web Windows Azure Pack
Aby włączyć uwierzytelnianie Windows dla witryny sieci Web, uruchom następujące polecenie cmdlet na kontrolerze przy użyciu opcji Zezwalaj. Opcja Wymagana może być używana, gdy chcesz zablokować sekcje konfiguracji uwierzytelniania w pliku applicationhost.config lokacji i uniemożliwić zastąpienie wszystkich plików web.config w lokacji lub dowolnej aplikacji w lokacji. W poniższym przykładzie zastąp element adatum identyfikatorem subskrypcji i nazwą witryny internetowej contoso.
Set-WebSitesSiteConfig -SubscriptionId adatum -Name contoso –WindowsAuthEnabled {Zezwalaj | Wymagane}
Włączanie uwierzytelniania kerberos Windows dla witryny internetowej Windows Azure Pack
Włączenie protokołu Kerberos dla witryny internetowej Windows Azure Pack obejmuje następujące elementy:
Wydaj te same polecenia, aby włączyć uwierzytelnianie Windows co w przypadku włączania uwierzytelniania opartego na protokole NTLM Windows.
Utwórz użytkownika domeny na serwerze domeny.
Dodaj nazwę główną usługi (SPN) dla każdej nazwy hosta w lokacji, która będzie obsługiwać protokół Kerberos.
Przypisz użytkownika domeny do tożsamości puli aplikacji dla subskrypcji.
Te kroki zostały szczegółowo wyjaśnione w następujący sposób.
1. Włączanie uwierzytelniania Windows
Uruchom następujące polecenie cmdlet na kontrolerze przy użyciu opcji Zezwalaj. W tym przykładzie zastąp element adatum identyfikatorem subskrypcji i nazwą witryny internetowej contoso .
Set-WebSitesSiteConfig -SubscriptionId adatum -Name contoso –WindowsAuthEnabled {Zezwalaj | Wymagane}
2. Na serwerze domeny utwórz użytkownika domeny
Aby utworzyć użytkownika domeny, uruchom następujące polecenie na serwerze domeny. Zastąp wartość lowprivilegeduser i password wartościami odpowiednimi dla danego środowiska.
net users /add lowprivilegeduserpassword
3. Dodaj nazwę główną usługi (SPN) dla każdej nazwy hosta w lokacji, która będzie obsługiwać protokół Kerberos
Aby dodać nazwę główną usługi (SPN) dla każdej nazwy hosta w lokacji, która będzie obsługiwać protokół Kerberos, uruchom następujące polecenie na serwerze domeny. Zastąp wartości contoso.fabrikam.com, domainname i lowprivilegeduser wartościami odpowiadającymi środowisku.
Setspn -S http/contoso.fabrikam.comnazwa\ domenylowprivilegeduser
4. Na kontrolerze witryn sieci Web Windows Azure Pack przypisz użytkownika domeny do puli aplikacji
Aby przypisać użytkownika domeny utworzonego do puli aplikacji, wykonaj następujące kroki na kontrolerze witryn sieci Web Windows Azure Pack. W nowym oknie programu PowerShell uruchom następujące polecenia. Zastąp wartości adatum, contoso, domainname, lowprivilegeduser i password wartościami odpowiadającymi środowisku.
Add-PSSnapin WebHostingSnapin
Set-WebSitesSiteConfig -SubscriptionId adatum -Name contoso -CustomAppPoolIdentity $true -SiteRuntimeUser domainname\lowprivilegeduser -SiteRuntimeUserPassword password
Wyłączanie uwierzytelniania Windows dla witryny internetowej Windows Azure Pack
Jeśli musisz wyłączyć uwierzytelnianie Windows, uruchom następujące polecenie programu PowerShell. W tym przykładzie zastąp ciąg adatum identyfikatorem subskrypcji i contoso nazwą witryny internetowej.
Set-WebSitesSiteConfig -SubscriptionId adatum -Name contoso –WindowsAuthEnabled Wyłączone
Włączanie zintegrowanego uwierzytelniania SQL dla witryny internetowej pakietu Azure Pack Windows
Włączenie SQL zintegrowanego uwierzytelniania dla witryny sieci Web Windows Azure Pack obejmuje następujące kroki:
Utwórz użytkownika domeny na serwerze domeny.
Przyznaj użytkownikowi domeny uprawnienia do bazy danych.
Przypisz użytkownika domeny do tożsamości puli aplikacji dla subskrypcji.
Te kroki zostały szczegółowo wyjaśnione w następujący sposób.
1. Na serwerze domeny utwórz użytkownika domeny
Aby utworzyć użytkownika domeny, uruchom następujące polecenie na serwerze domeny. Zastąp ciąg lowprivilegeduser i password wartościami odpowiadającymi środowisku.
net users /add lowprivilegeduserpassword
2. W SQL Server przyznaj uprawnienia bazy danych użytkownika domeny
Aby przyznać użytkownikowi domeny utworzone uprawnienia do bazy danych, uruchom następujące polecenia w SQL Server. Zastąp wartości usersdatabasename, domainname\lowprivilegeduser i lowPrivilegedDBUser wartościami odpowiadającymi środowisku.
use usersdatabasename;
CREATE LOGIN [domainname\lowprivilegeduser] FROM WINDOWS;
CREATE USER lowPrivilegedDBUser FOR LOGIN [domainname\lowprivilegeduser];
EXEC sp_addrolemember "db_datareader", lowPrivilegedDBUser;
3. Na kontrolerze witryn sieci Web pakietu Windows Azure Pack przypisz użytkownika domeny do puli aplikacji
Aby przypisać użytkownika domeny utworzonego do puli aplikacji, wykonaj następujące kroki w Windows Kontroler witryn sieci Web pakietu Azure Pack. W nowym oknie programu PowerShell uruchom następujące polecenia. Zastąp wartości adatum, contoso, domainname, lowprivilegeduser i password wartościami odpowiadającymi środowisku.
Add-PSSnapin WebHostingSnapin Set-WebSitesSiteConfig -SubscriptionId adatum -Name contoso -CustomAppPoolIdentity $true -SiteRuntimeUser domainname\lowprivilegeduser -SiteRuntimeUserPassword password