Pré-requisitos para implantar o Serviço de Aplicativo no Azure Stack Hub
Importante
Atualize o Azure Stack Hub para uma versão com suporte (ou implante o kit de desenvolvimento mais recente do Azure Stack), se necessário, antes de implantar ou atualizar o RP (provedor de recursos) do Serviço de Aplicativo. Certifique-se de ler as notas sobre a versão do RP para saber mais sobre novas funcionalidades, correções e quaisquer problemas conhecidos que possam afetar sua implantação.
Versão mínima do Azure Stack Hub com suporte Serviço de Aplicativo versão RP 2301 e mais recente Instalador 2302 (notas sobre a versão)
Antes de implantar Serviço de Aplicativo do Azure no Azure Stack Hub, você deve concluir as etapas de pré-requisito neste artigo.
Antes de começar
Esta seção lista os pré-requisitos para implantações integradas do sistema e do ASDK (Azure Stack Development Kit).
Pré-requisitos do provedor de recursos
Se você já instalou um provedor de recursos, provavelmente concluiu os pré-requisitos a seguir e pode ignorar esta seção. Caso contrário, conclua estas etapas antes de continuar:
Registre sua instância do Azure Stack Hub com o Azure, caso ainda não tenha feito isso. Essa etapa é necessária, pois você se conectará e baixará itens para o marketplace do Azure.
Se você não estiver familiarizado com o recurso de Gerenciamento do Marketplace do portal do administrador do Azure Stack Hub, examine Baixar itens do marketplace do Azure e publique no Azure Stack Hub. O artigo explica o processo de download de itens do Azure para o marketplace do Azure Stack Hub. Ele abrange cenários conectados e desconectados. Se a instância do Azure Stack Hub estiver desconectada ou parcialmente conectada, haverá pré-requisitos adicionais a serem concluídos na preparação para a instalação.
Atualize seu Microsoft Entra diretório base. A partir do build 1910, um novo aplicativo deve ser registrado em seu locatário do diretório base. Esse aplicativo permitirá que o Azure Stack Hub crie e registre com êxito provedores de recursos mais recentes (como Hubs de Eventos e outros) com seu locatário Microsoft Entra. Essa é uma ação única que precisa ser feita após a atualização para o build 1910 ou mais recente. Se essa etapa não for concluída, as instalações do provedor de recursos do marketplace falharão.
- Depois de atualizar com êxito sua instância do Azure Stack Hub para 1910 ou superior, siga as instruções para clonar/baixar o repositório ferramentas do Azure Stack Hub.
- Em seguida, siga as instruções para Atualizar o Azure Stack Hub Microsoft Entra Home Directory (depois de instalar atualizações ou novos Provedores de Recursos).
Scripts auxiliares e instalador
Baixe o Serviço de Aplicativo em scripts auxiliares de implantação do Azure Stack Hub.
Observação
Os scripts auxiliares de implantação exigem o módulo do PowerShell do AzureRM. Confira Instalar o módulo AzureRM do PowerShell para o Azure Stack Hub para obter detalhes de instalação.
Baixe o Serviço de Aplicativo no instalador do Azure Stack Hub.
Extraia os arquivos dos scripts auxiliares .zip arquivo. Os seguintes arquivos e pastas são extraídos:
- Common.ps1
- Create-AADIdentityApp.ps1
- Create-ADFSIdentityApp.ps1
- Create-AppServiceCerts.ps1
- Get-AzureStackRootCert.ps1
- BCDR
- ReACL.cmd
- Pasta dos módulos
- GraphAPI.psm1
Configuração de certificados e servidor (Sistemas Integrados)
Esta seção lista os pré-requisitos para implantações integradas do sistema.
Requisitos de certificado
Para executar o provedor de recursos em produção, você deve fornecer os seguintes certificados:
- Certificado de domínio padrão
- Certificado de API
- Publicando certificado
- Certificado de identidade
Além dos requisitos específicos listados nas seções a seguir, você também usará uma ferramenta posteriormente para testar os requisitos gerais. Confira Validar certificados PKI do Azure Stack Hub para obter a lista completa de validações, incluindo:
- Formato de arquivo de . PFX
- Uso de chave definido como autenticação de servidor e cliente
- e vários outros
Certificado de domínio padrão
O certificado de domínio padrão é colocado na função de front-end. Aplicativos de usuário para solicitação de domínio curinga ou padrão para Serviço de Aplicativo do Azure usar esse certificado. O certificado também é usado para operações de controle do código-fonte (Kudu).
O certificado deve estar no formato .pfx e deve ser um certificado curinga de três entidades. Esse requisito permite que um certificado cubra o domínio padrão e o ponto de extremidade SCM para operações de controle do código-fonte.
Formato | Exemplo |
---|---|
*.appservice.<region>.<DomainName>.<extension> |
*.appservice.redmond.azurestack.external |
*.scm.appservice.<region>.<DomainName>.<extension> |
*.scm.appservice.redmond.azurestack.external |
*.sso.appservice.<region>.<DomainName>.<extension> |
*.sso.appservice.redmond.azurestack.external |
Certificado de API
O certificado de API é colocado na função Gerenciamento. O provedor de recursos o usa para ajudar a proteger chamadas à API. O certificado para publicação deve conter um assunto que corresponda à entrada DNS da API.
Formato | Exemplo |
---|---|
api.appservice.<região>.<DomainName>.<Extensão> | api.appservice.redmond.azurestack.external |
Publicando certificado
O certificado para a função Publicador protege o tráfego FTPS para proprietários de aplicativos quando eles carregam conteúdo. O certificado para publicação deve conter um assunto que corresponda à entrada DNS do FTPS.
Formato | Exemplo |
---|---|
ftp.appservice.<região>.<DomainName>.<Extensão> | ftp.appservice.redmond.azurestack.external |
Certificado de identidade
O certificado para o aplicativo de identidade habilita:
- Integração entre o diretório Microsoft Entra ID ou Serviços de Federação do Active Directory (AD FS) (AD FS), o Azure Stack Hub e Serviço de Aplicativo para dar suporte à integração com o provedor de recursos de computação.
- Cenários de logon único para ferramentas avançadas para desenvolvedores no Serviço de Aplicativo do Azure no Azure Stack Hub.
O certificado de identidade deve conter um assunto que corresponda ao formato a seguir.
Formato | Exemplo |
---|---|
sso.appservice.<região>.<DomainName>.<Extensão> | sso.appservice.redmond.azurestack.external |
Validar certificados
Antes de implantar o provedor de recursos Serviço de Aplicativo, você deve validar os certificados a serem usados usando a ferramenta Verificador de Preparação do Azure Stack Hub disponível no Galeria do PowerShell. A Ferramenta de Verificação de Preparação do Azure Stack Hub valida se os certificados PKI gerados são adequados para Serviço de Aplicativo implantação.
Como prática recomendada, ao trabalhar com qualquer um dos certificados PKI necessários do Azure Stack Hub, você deve planejar tempo suficiente para testar e reemissar certificados, se necessário.
Preparar o servidor de arquivos
Serviço de Aplicativo do Azure requer o uso de um servidor de arquivos. Para implantações de produção, o servidor de arquivos deve ser configurado para ser altamente disponível e capaz de lidar com falhas.
Modelo de início rápido para servidor de arquivos altamente disponível e SQL Server
Agora está disponível um modelo de início rápido de arquitetura de referência que implantará um servidor de arquivos e SQL Server. Este modelo dá suporte à infraestrutura do Active Directory em uma rede virtual configurada para dar suporte a uma implantação altamente disponível de Serviço de Aplicativo do Azure no Azure Stack Hub.
Importante
Esse modelo é oferecido como uma referência ou exemplo de como você pode implantar os pré-requisitos. Como o Operador do Azure Stack Hub gerencia esses servidores, especialmente em ambientes de produção, você deve configurar o modelo conforme necessário ou exigido pela sua organização.
Observação
A instância integrada do sistema deve ser capaz de baixar recursos do GitHub para concluir a implantação.
Etapas para implantar um servidor de arquivos personalizado
Importante
Se você optar por implantar Serviço de Aplicativo em uma rede virtual existente, o servidor de arquivos deverá ser implantado em uma sub-rede separada de Serviço de Aplicativo.
Observação
Se você optou por implantar um servidor de arquivos usando um dos modelos de Início Rápido mencionados acima, ignore esta seção, pois os servidores de arquivos são configurados como parte da implantação do modelo.
Provisionar grupos e contas no Active Directory
Crie os seguintes grupos de segurança global do Active Directory:
- FileShareOwners
- FileShareUsers
Crie as seguintes contas do Active Directory como contas de serviço:
- FileShareOwner
- FileShareUser
Como prática recomendada de segurança, os usuários dessas contas (e para todas as funções da Web) devem ser exclusivos e ter nomes de usuário e senhas fortes. Defina as senhas com as seguintes condições:
- Habilitar Senha nunca expira.
- Habilitar Usuário não pode alterar senha.
- Desabilitar O usuário deve alterar a senha no próximo logon.
Adicionar as contas às associações de grupo, desta forma:
- Adicione FileShareOwner ao grupo FileShareOwners .
- Adicione FileShareUser ao grupo FileShareUsers .
Provisionar grupos e contas em um grupo de trabalho
Observação
Ao configurar um servidor de arquivos, execute todos os comandos a seguir em um Prompt de Comando do Administrador.
Não use o PowerShell.
Quando você usa o modelo de Resource Manager do Azure, os usuários já são criados.
Execute os seguintes comandos para criar as contas FileShareOwner e FileShareUser. Substitua
<password>
pelos seus próprios valores.net user FileShareOwner <password> /add /expires:never /passwordchg:no net user FileShareUser <password> /add /expires:never /passwordchg:no
Defina as senhas para que as contas nunca expirem executando os seguintes comandos WMIC:
WMIC USERACCOUNT WHERE "Name='FileShareOwner'" SET PasswordExpires=FALSE WMIC USERACCOUNT WHERE "Name='FileShareUser'" SET PasswordExpires=FALSE
Crie os grupos locais FileShareUsers e FileShareOwners e adicione as contas na primeira etapa a eles:
net localgroup FileShareUsers /add net localgroup FileShareUsers FileShareUser /add net localgroup FileShareOwners /add net localgroup FileShareOwners FileShareOwner /add
Provisionar o compartilhamento de conteúdo
O compartilhamento de conteúdo contém o conteúdo do site do locatário. O procedimento para provisionar o compartilhamento de conteúdo em um único servidor de arquivos é o mesmo para ambientes do Active Directory e do grupo de trabalho. Mas é diferente para um cluster de failover no Active Directory.
Provisionar o compartilhamento de conteúdo em um único servidor de arquivos (Active Directory ou grupo de trabalho)
Em um único servidor de arquivos, execute os comandos a seguir em um prompt de comando elevado. Substitua o valor de pelos C:\WebSites
caminhos correspondentes em seu ambiente.
set WEBSITES_SHARE=WebSites
set WEBSITES_FOLDER=C:\WebSites
md %WEBSITES_FOLDER%
net share %WEBSITES_SHARE% /delete
net share %WEBSITES_SHARE%=%WEBSITES_FOLDER% /grant:Everyone,full
Configurar controle de acesso para os compartilhamentos
Execute os comandos a seguir em um prompt de comando com privilégios elevados no servidor de arquivos ou no nó de cluster de failover, que é o proprietário do recurso de cluster atual. Substitua valores em itálico por valores específicos ao seu ambiente.
Active Directory
set DOMAIN=<DOMAIN>
set WEBSITES_FOLDER=C:\WebSites
icacls %WEBSITES_FOLDER% /reset
icacls %WEBSITES_FOLDER% /grant Administrators:(OI)(CI)(F)
icacls %WEBSITES_FOLDER% /grant %DOMAIN%\FileShareOwners:(OI)(CI)(M)
icacls %WEBSITES_FOLDER% /inheritance:r
icacls %WEBSITES_FOLDER% /grant %DOMAIN%\FileShareUsers:(CI)(S,X,RA)
icacls %WEBSITES_FOLDER% /grant *S-1-1-0:(OI)(CI)(IO)(RA,REA,RD)
Grupo de trabalho
set WEBSITES_FOLDER=C:\WebSites
icacls %WEBSITES_FOLDER% /reset
icacls %WEBSITES_FOLDER% /grant Administrators:(OI)(CI)(F)
icacls %WEBSITES_FOLDER% /grant FileShareOwners:(OI)(CI)(M)
icacls %WEBSITES_FOLDER% /inheritance:r
icacls %WEBSITES_FOLDER% /grant FileShareUsers:(CI)(S,X,RA)
icacls %WEBSITES_FOLDER% /grant *S-1-1-0:(OI)(CI)(IO)(RA,REA,RD)
Prepare a instância do SQL Server
Observação
Se você optou por implantar o modelo de Início Rápido para Servidor de Arquivos Altamente Disponível e SQL Server, ignore esta seção à medida que o modelo implanta e configura SQL Server em uma configuração de HA.
Para o Serviço de Aplicativo do Azure nos bancos de dados de hospedagem e medição do Azure Stack Hub, você deve preparar uma instância de SQL Server para manter os bancos de dados Serviço de Aplicativo.
Para fins de produção e alta disponibilidade, você deve usar uma versão completa do SQL Server 2014 SP2 ou posterior, habilitar a autenticação de modo misto e implantar em uma configuração altamente disponível.
A instância SQL Server para Serviço de Aplicativo do Azure no Azure Stack Hub deve estar acessível de todas as funções Serviço de Aplicativo. Você pode implantar SQL Server na Assinatura do Provedor Padrão no Azure Stack Hub. Ou você pode usar a infraestrutura existente em sua organização (desde que haja conectividade com o Azure Stack Hub). Se você estiver usando uma imagem Azure Marketplace, lembre-se de configurar o firewall adequadamente.
Observação
Várias imagens de VM IaaS do SQL estão disponíveis por meio do recurso Gerenciamento do Marketplace. Certifique-se de sempre baixar a versão mais recente da Extensão iaaS do SQL antes de implantar uma VM usando um item do Marketplace. As imagens SQL são iguais às VMs do SQL que estão disponíveis no Azure. Para VMs SQL criadas a partir dessas imagens, a extensão de IaaS e os aprimoramentos correspondentes do portal fornecem recursos como aplicação automática de patch e recursos de backup.
Para qualquer função do SQL Server, você pode usar uma instância padrão ou uma instância nomeada. Se você usar uma instância nomeada, inicie manualmente o serviço SQL Server Browser e abra a porta 1434.
O instalador Serviço de Aplicativo marcar para garantir que o SQL Server tenha a contenção de banco de dados habilitada. Para habilitar a contenção de banco de dados no SQL Server que hospedará os bancos de dados Serviço de Aplicativo, execute estes comandos SQL:
sp_configure 'contained database authentication', 1;
GO
RECONFIGURE;
GO
Certificados e configuração de servidor (ASDK)
Esta seção lista os pré-requisitos para implantações do ASDK.
Certificados necessários para a implantação do ASDK de Serviço de Aplicativo do Azure
O scriptCreate-AppServiceCerts.ps1 funciona com a autoridade de certificação do Azure Stack Hub para criar os quatro certificados que Serviço de Aplicativo precisa.
Nome do arquivo | Uso |
---|---|
_.appservice.local.azurestack.external.pfx | Serviço de Aplicativo certificado SSL padrão |
api.appservice.local.azurestack.external.pfx | certificado SSL da API Serviço de Aplicativo |
ftp.appservice.local.azurestack.external.pfx | Serviço de Aplicativo certificado SSL do editor |
sso.appservice.local.azurestack.external.pfx | Serviço de Aplicativo certificado de aplicativo de identidade |
Para criar os certificados, siga estas etapas:
- Entre no host do ASDK usando a conta AzureStack\AzureStackAdmin.
- Abra uma sessão do PowerShell elevada.
- Execute o scriptCreate-AppServiceCerts.ps1 da pasta em que você extraiu os scripts auxiliares. Esse script cria quatro certificados na mesma pasta que o script que Serviço de Aplicativo precisa para criar certificados.
- Insira uma senha para proteger os arquivos .pfx e anote-os. Você deve inseri-lo posteriormente, no Serviço de Aplicativo no instalador do Azure Stack Hub.
parâmetros de script Create-AppServiceCerts.ps1
Parâmetro | Obrigatório ou opcional | Valor padrão | Descrição |
---|---|---|---|
pfxPassword | Obrigatório | Null | Senha que ajuda a proteger a chave privada do certificado |
DomainName | Obrigatório | local.azurestack.external | Sufixo de domínio e região do Azure Stack Hub |
Modelo de início rápido para servidor de arquivos para implantações de Serviço de Aplicativo do Azure no ASDK.
Somente para implantações do ASDK, você pode usar o modelo de implantação de Resource Manager do Azure de exemplo para implantar um servidor de arquivos de nó único configurado. O servidor de arquivos de nó único estará em um grupo de trabalho.
Observação
A instância do ASDK deve ser capaz de baixar recursos do GitHub para concluir a implantação.
Instância do SQL Server
Para o Serviço de Aplicativo do Azure nos bancos de dados de hospedagem e medição do Azure Stack Hub, você deve preparar uma instância de SQL Server para manter os bancos de dados Serviço de Aplicativo.
Para implantações do ASDK, você pode usar SQL Server Express 2014 SP2 ou posterior. SQL Server deve ser configurado para dar suporte à autenticação de Modo Misto porque Serviço de Aplicativo no Azure Stack Hub NÃO dá suporte à Autenticação do Windows.
A instância de SQL Server para Serviço de Aplicativo do Azure no Azure Stack Hub deve estar acessível de todas as funções Serviço de Aplicativo. Você pode implantar SQL Server na Assinatura do Provedor Padrão no Azure Stack Hub. Ou você pode usar a infraestrutura existente em sua organização (desde que haja conectividade com o Azure Stack Hub). Se você estiver usando uma imagem Azure Marketplace, lembre-se de configurar o firewall adequadamente.
Observação
Várias imagens de VM IaaS do SQL estão disponíveis por meio do recurso Gerenciamento do Marketplace. Certifique-se de sempre baixar a versão mais recente da Extensão IaaS do SQL antes de implantar uma VM usando um item do Marketplace. As imagens SQL são as mesmas que as VMs do SQL disponíveis no Azure. Para VMs do SQL criadas a partir dessas imagens, a extensão iaaS e os aprimoramentos correspondentes do portal fornecem recursos como aplicação automática de patch e recursos de backup.
Para qualquer função do SQL Server, você pode usar uma instância padrão ou uma instância nomeada. Se você usar uma instância nomeada, inicie manualmente o serviço navegador SQL Server e abra a porta 1434.
O instalador do Serviço de Aplicativo marcar para garantir que o SQL Server tenha a contenção do banco de dados habilitada. Para habilitar a contenção de banco de dados no SQL Server que hospedará os bancos de dados Serviço de Aplicativo, execute estes comandos SQL:
sp_configure 'contained database authentication', 1;
GO
RECONFIGURE;
GO
Questões de licenciamento para o servidor de arquivos e SQL Server necessários
Serviço de Aplicativo do Azure no Azure Stack Hub requer um servidor de arquivos e SQL Server para operar. Você está livre para usar recursos pré-existentes localizados fora da implantação do Azure Stack Hub ou implantar recursos em sua Assinatura do Provedor Padrão do Azure Stack Hub.
Se você optar por implantar os recursos em sua Assinatura do Provedor Padrão do Azure Stack Hub, as licenças desses recursos (Licenças do Windows Server e Licenças de SQL Server) serão incluídas no custo de Serviço de Aplicativo do Azure no Azure Stack Hub, sujeitos às seguintes restrições:
- a infraestrutura é implantada na Assinatura do Provedor Padrão;
- a infraestrutura é usada exclusivamente pelo Serviço de Aplicativo do Azure no provedor de recursos do Azure Stack Hub. Nenhuma outra carga de trabalho, administrativa (outros provedores de recursos, por exemplo: SQL-RP) ou locatário (por exemplo: aplicativos de locatário, que exigem um banco de dados), têm permissão para fazer uso dessa infraestrutura.
Responsabilidade operacional dos servidores de arquivos e sql
Os operadores de nuvem são responsáveis pela manutenção e operação do Servidor de Arquivos e SQL Server. O provedor de recursos não gerencia esses recursos. O operador de nuvem é responsável por fazer backup dos bancos de dados Serviço de Aplicativo e do compartilhamento de arquivos de conteúdo do locatário.
Recuperar o certificado raiz do Azure Resource Manager para o Azure Stack Hub
Abra uma sessão do PowerShell com privilégios elevados em um computador que possa alcançar o ponto de extremidade privilegiado no Sistema Integrado do Azure Stack Hub ou host ASDK.
Execute o script Get-AzureStackRootCert.ps1 da pasta em que você extraiu os scripts auxiliares. O script cria um certificado raiz na mesma pasta que o script que Serviço de Aplicativo precisa para a criação de certificados.
Ao executar o comando do PowerShell a seguir, você precisa fornecer o ponto de extremidade privilegiado e as credenciais para o AzureStack\CloudAdmin.
Get-AzureStackRootCert.ps1
parâmetros de script Get-AzureStackRootCert.ps1
Parâmetro | Obrigatório ou opcional | Valor padrão | Descrição |
---|---|---|---|
PrivilegedEndpoint | Obrigatório | AzS-ERCS01 | Ponto de extremidade privilegiado |
CloudAdminCredential | Obrigatório | AzureStack\CloudAdmin | Credencial de conta de domínio para administradores de nuvem do Azure Stack Hub |
Configuração de rede e identidade
Rede virtual
Observação
A pré-criação de uma rede virtual personalizada é opcional, pois o Serviço de Aplicativo do Azure no Azure Stack Hub pode criar a rede virtual necessária, mas precisará se comunicar com o SQL e o Servidor de Arquivos por meio de endereços IP públicos. Se você usar o servidor de arquivos de HA Serviço de Aplicativo e SQL Server modelo de Início Rápido para implantar os recursos de SQL e Servidor de Arquivos pré-requisitos, o modelo também implantará uma rede virtual.
Serviço de Aplicativo do Azure no Azure Stack Hub permite implantar o provedor de recursos em uma rede virtual existente ou permite criar uma rede virtual como parte da implantação. O uso de uma rede virtual existente permite o uso de IPs internos para se conectar ao servidor de arquivos e SQL Server exigidos pelo Serviço de Aplicativo do Azure no Azure Stack Hub. A rede virtual deve ser configurada com o seguinte intervalo de endereços e sub-redes antes de instalar Serviço de Aplicativo do Azure no Azure Stack Hub:
Rede virtual – /16
Sub-redes
- ControllersSubnet /24
- ManagementServersSubnet /24
- FrontEndsSubnet /24
- PublishersSubnet /24
- /21 WorkersSubnet
Importante
Se você optar por implantar Serviço de Aplicativo em uma rede virtual existente, o SQL Server deverá ser implantado em uma Sub-rede separada do Serviço de Aplicativo e do Servidor de Arquivos.
Criar um aplicativo de identidade para habilitar cenários de SSO
Serviço de Aplicativo do Azure usa um aplicativo de identidade (entidade de serviço) para dar suporte às seguintes operações:
- Integração do conjunto de dimensionamento de máquinas virtuais em camadas de trabalho.
- SSO para o portal do Azure Functions e ferramentas avançadas para desenvolvedores (Kudu).
Dependendo de qual provedor de identidade o Azure Stack Hub está usando, Microsoft Entra ID ou Serviços de Federação do Active Directory (AD FS) (ADFS), você deve seguir as etapas apropriadas abaixo para criar a entidade de serviço para uso pelo Serviço de Aplicativo do Azure no provedor de recursos do Azure Stack Hub.
Criar um aplicativo Microsoft Entra
Siga estas etapas para criar a entidade de serviço em seu locatário Microsoft Entra:
- Abra uma instância do PowerShell como azurestack\AzureStackAdmin.
- Vá para o local dos scripts baixados e extraídos na etapa de pré-requisito.
- Instalar o PowerShell para o Azure Stack Hub.
- Execute o script deCreate-AADIdentityApp.ps1 . Quando solicitado, insira o Microsoft Entra ID de locatário que você está usando para a implantação do Azure Stack Hub. Por exemplo, insira myazurestack.onmicrosoft.com.
- Na janela Credencial, insira sua conta de administrador de serviço Microsoft Entra e a senha. Selecione OK.
- Insira o caminho do arquivo de certificado e a senha do certificado criado anteriormente. O certificado criado para essa etapa por padrão é sso.appservice.local.azurestack.external.pfx.
- Anote a ID do aplicativo retornada na saída do PowerShell. Use a ID nas etapas a seguir para fornecer consentimento para as permissões do aplicativo e durante a instalação.
- Abra uma nova janela do navegador e entre no portal do Azure como administrador do serviço Microsoft Entra.
- Abra o serviço Microsoft Entra.
- Selecione Registros de Aplicativo no painel esquerdo.
- Pesquise a ID do aplicativo que você anotou na etapa 7.
- Selecione o registro do aplicativo Serviço de Aplicativo na lista.
- Selecione Permissões de API no painel de navegação esquerdo.
- Selecione Conceder consentimento do administrador para <o locatário>, em <que tenant> é o nome do locatário Microsoft Entra. Confirme a concessão de consentimento selecionando Sim.
Create-AADIdentityApp.ps1
Parâmetro | Obrigatório ou opcional | Valor padrão | Descrição |
---|---|---|---|
DirectoryTenantName | Obrigatório | Null | Microsoft Entra ID do locatário. Forneça o GUID ou a cadeia de caracteres. Um exemplo é myazureaaddirectory.onmicrosoft.com. |
AdminArmEndpoint | Obrigatório | Null | Administração ponto de extremidade de Resource Manager do Azure. Um exemplo é adminmanagement.local.azurestack.external. |
TenantARMEndpoint | Obrigatório | Null | Ponto de extremidade de Resource Manager do Locatário do Azure. Um exemplo é management.local.azurestack.external. |
AzureStackAdminCredential | Obrigatório | Null | Microsoft Entra credencial de administrador de serviço. |
CertificateFilePath | Obrigatório | Null | Caminho completo para o arquivo de certificado do aplicativo de identidade gerado anteriormente. |
CertificatePassword | Obrigatório | Null | Senha que ajuda a proteger a chave privada do certificado. |
Ambiente | Opcional | AzureCloud | O nome do Ambiente de Nuvem com suporte no qual o Serviço de Grafo do Azure Active Directory de destino está disponível. Valores permitidos: 'AzureCloud', 'AzureChinaCloud', 'AzureUSGovernment', 'AzureGermanCloud'. |
Criar um aplicativo ADFS
- Abra uma instância do PowerShell como azurestack\AzureStackAdmin.
- Vá para o local dos scripts baixados e extraídos na etapa de pré-requisito.
- Instalar o PowerShell para o Azure Stack Hub.
- Execute o scriptCreate-ADFSIdentityApp.ps1 .
- Na janela Credencial , insira sua conta de administrador de nuvem do AD FS e a senha. Selecione OK.
- Forneça o caminho do arquivo de certificado e a senha do certificado criado anteriormente. O certificado criado para essa etapa por padrão é sso.appservice.local.azurestack.external.pfx.
Create-ADFSIdentityApp.ps1
Parâmetro | Obrigatório ou opcional | Valor padrão | Descrição |
---|---|---|---|
AdminArmEndpoint | Obrigatório | Null | Administração ponto de extremidade de Resource Manager do Azure. Um exemplo é adminmanagement.local.azurestack.external. |
PrivilegedEndpoint | Obrigatório | Null | Ponto de extremidade privilegiado. Um exemplo é AzS-ERCS01. |
CloudAdminCredential | Obrigatório | Null | Credencial de conta de domínio para administradores de nuvem do Azure Stack Hub. Um exemplo é Azurestack\CloudAdmin. |
CertificateFilePath | Obrigatório | Null | Caminho completo para o arquivo PFX de certificado do aplicativo de identidade. |
CertificatePassword | Obrigatório | Null | Senha que ajuda a proteger a chave privada do certificado. |
Baixar itens do Azure Marketplace
Serviço de Aplicativo do Azure no Azure Stack Hub exige que os itens sejam baixados do Azure Marketplace, disponibilizando-os no Azure Stack Hub Marketplace. Esses itens devem ser baixados antes de iniciar a implantação ou atualização de Serviço de Aplicativo do Azure no Azure Stack Hub:
Importante
O Windows Server Core não é uma imagem de plataforma com suporte para uso com Serviço de Aplicativo do Azure no Azure Stack Hub.
Não use imagens de avaliação para implantações de produção.
- A versão mais recente da imagem da VM do Datacenter do Windows Server 2022.
Imagem de VM completa do Datacenter do Windows Server 2022 com Microsoft.Net 3.5.1 SP1 ativado. Serviço de Aplicativo do Azure no Azure Stack Hub exige que o Microsoft .NET 3.5.1 SP1 seja ativado na imagem usada para implantação. As imagens do Windows Server 2022 sindicalizados pelo Marketplace não têm esse recurso habilitado e, em ambientes desconectados, não é possível acessar o Microsoft Update para baixar os pacotes a serem instalados por meio do DISM. Portanto, você deve criar e usar uma imagem do Windows Server 2022 com esse recurso pré-habilitado com implantações desconectadas.
Consulte Adicionar uma imagem de VM personalizada ao Azure Stack Hub para obter detalhes sobre como criar uma imagem personalizada e adicionar ao Marketplace. Especifique as seguintes propriedades ao adicionar a imagem ao Marketplace:
- Publisher = MicrosoftWindowsServer
- Oferta = WindowsServer
- SKU = AppService
- Versão = Especificar a versão "mais recente"
- Extensão de Script Personalizado v1.9.1 ou superior. Este item é uma extensão de VM.