Partilhar via

Ativar Windows autenticação para Windows Azure Pack: Web Sites

  • Artigo

 

Aplica-se a: Windows Azure Pack

Windows Azure Pack: Web Sites suporta a integração do web site com Ative Directory para autenticação. O suporte do Pool de Aplicação também permite que um web site seja executado sob uma identidade especificada que é usada para ligar aos recursos de base de dados.

Nota

A funcionalidade Identidade do Conjunto de Aplicações não suporta atualmente todos os cenários de passagem e funciona apenas com bases de dados.

Para permitir a autenticação do Diretório Ativo, devem ser verdadeiras as seguintes condições:

  • Todas as funções de Trabalhador do Web Site devem ser de domínio associado ao mesmo domínio do Diretório Ativo.

  • Depois de uma nuvem do Web Site ser unida a um domínio ative directory, apenas os trabalhadores que fazem parte do mesmo domínio podem ser adicionados à nuvem.

Pode ativar a autenticação do Ative Directory utilizando o Portal de Gestão ou através dos comandos PowerShell.

Portal de Gestão

Permitir administrativamente a integração de autenticação do Ative Directory com Web Sites

Para ativar o Ative Directory através do Portal de Administração

  1. Abra o separador Cloud Configure do Web Site.

  2. Na secção Definições Geral, escolha entre as três opções seguintes para Website Windows Autenticação:

    Definições

    Descrição

    Desligado

    Desativa Windows autenticação para os sites na nuvem

    Permitir

    Permite Windows autenticação para que os inquilinos possam capacitá-lo nos seus sites

    Requerer

    Requer que todos os sites na nuvem utilizem a autenticação Windows

Quando Windows autenticação é definida administrativamente como Requere, todos os sites de inquilinos na nuvem do site terão integração ative Directory nos seus sites. Isto significa que um inquilino do site não pode definir uma experiência não autenticada. A definição "Exigir " fornece garantias ao administrador dos Web Sites de que todos os sites foram protegidos.

Quando Windows autenticação é definida administrativamente para Permitir, os inquilinos podem decidir se querem que os seus sites se integrem com o Ative Diretório para autenticação. Quando o Allow está ativado, os inquilinos podem manipular páginas individuais no seu site para não exigirem autenticação.

Habilitação do Inquilino da Autenticação do Ative Directory para um site

Os inquilinos podem permitir a integração do Ative Directory no separador Configurar do Portal de Gestão para o seu site. A opção de configurar a integração do Ative Directory só é ativada se o administrador o tiver ativado para a Cloud do Web Site a que o web site pertence. Dependendo das configurações feitas pelo administrador de nuvem, os inquilinos podem desativar a integração do Ative Directory, capacitá-la ou torná-la necessária.

Para configurar o Ative Directory para um site de inquilinos no Portal de Gestão de Inquilinos

  1. Abra o separador Configure do site.

  2. Na secção Geral, escolha entre as três opções seguintes para Windows Autenticação:

    Definições

    Descrição

    Desligado

    Desativa Windows autenticação para o site

    Permitir

    Permite Windows autenticação seja usada no site

    Requerer

    Requer que todo o site utilize a autenticação Windows

Quando Windows Autenticação estiver definida para Exigir, todas as páginas do site estão protegidas pela autenticação ative.. A definição "Exigir " garante ao proprietário do site que a autenticação não pode ser desativada, mesmo que vários desenvolvedores atualizem o mesmo web site.

Quando Windows Autenticação estiver definida para Permitir, o web site está protegido pelo Ative Directory para autenticação. No entanto, os desenvolvedores do site ainda podem desativá-lo para páginas individuais no site.

Se o administrador do sistema de nuvem tiver definido a autenticação ative directy para exigir, então o inquilino não pode desativá-lo para o seu web site.

Ativar administrativamente a identidade do Pool de Aplicações para Web Sites

As identidades do pool de aplicações só podem ser ativadas se todos os trabalhadores da nuvem de sites se juntarem ao mesmo domínio ative directory. Os administradores podem gerir a funcionalidade de identidade do conjunto de aplicações a partir do separador Cloud Configure do Web Site.

Para ativar a identidade do pool de aplicações através do portal de administração em nuvem

  1. Abra o separador Cloud Configure do Web Site.

  2. Na secção Definições Geral, desa estale a identidade do conjunto de aplicações personalizadas para permitir.

Habilitação do inquilino da identidade do Pool de Aplicação

As identidades do pool de aplicações só podem ser ativadas para um web site se o administrador da nuvem do site tiver permitido a utilização de identidades personalizadas do pool de aplicações para a nuvem do site a que o web site pertence. Os inquilinos podem ativar a identidade do pool de aplicações no separador Configurar do Portal de Gestão do seu site.

Para ativar identidades personalizadas do pool de aplicações no portal de gestão do site do inquilino

  1. Abra o separador Cloud Configure do Web Site.

  2. Na secção Definições Geral, desa estale a identidade do conjunto de aplicações personalizadas para permitir.

  3. Forneça o nome de utilizador e a palavra-passe que o web site deve executar.

Quando esta definição estiver concluída, o web site pode utilizar a identidade fornecida para ligar às bases de dados que se encontram ou federam para o mesmo domínio que o utilizador.

PowerShell

Importar o Módulo PowerShell WebSites

Em primeiro lugar, para permitir os comandos PowerShell necessários, executar o seguinte comando para importar o módulo PowerShell WebSites:

WebSites Import-Module

Criar um Web Site

Se ainda não tiver um web site, pode criar um utilizando o Windows Azure Pack: Web Sites Management Portal, ou pode utilizar o seguinte cmdlet PowerShell. No exemplo, substitua o contoso, o adatum e o contoso.fabrikam.com com o nome do seu site, o seu ID de subscrição e o nome de anfitrião que irá utilizar.

New-WebSitesSite -Nome contoso -SubscriptionId adatum -HostNames contoso.fabrikam.com

Ativar a autenticação Windows NTLM para um web site do Azure Pack Windows

Para ativar Windows autenticação para o seu web site, execute o seguinte cmdlet no Controlador utilizando a opção Permitir. A opção Requerida pode ser utilizada quando pretende bloquear as secções de configuração de autenticação no ficheiro applicationhost.config do site e impedir que qualquer ficheiro web.config no site, ou qualquer aplicação no site, o sobretensão. No exemplo que se segue, substitua o adatum pelo seu ID de subscrição e contoso pelo nome do seu site.

Set-WebSitesSiteConfig -SubscriptionId adatum -Name contoso –WindowsAuthEnabled {Allow | Requerido}

Ativar a autenticação Windows de Kerberos para um web site do Azure Pack Windows

Permitir que kerberos para um web site Windows Azure Pack envolve o seguinte:

  1. Emita os mesmos comandos para permitir a autenticação Windows que os que permitem a autenticação Windows baseada em NTLM.

  2. Crie um utilizador de domínio no servidor de domínio.

  3. Adicione um nome principal de serviço (SPN) para cada nome de anfitrião no site que apoiará Kerberos.

  4. Atribua o utilizador de domínio à identidade do appPool para a sua subscrição.

Estes passos são explicados em detalhe da seguinte forma.

1. Ativar a autenticação Windows

Executar o seguinte cmdlet no Controlador utilizando a opção Permitir. No exemplo, substitua o adatum pelo seu ID de subscrição e contoso pelo nome do seu site.

Set-WebSitesSiteConfig -SubscriptionId adatum -Name contoso –WindowsAuthEnabled {Allow | Requerido}

2. No servidor de domínio, crie um utilizador de domínio

Para criar um utilizador de domínio, executar o seguinte comando no servidor de domínio. Substitua o lowpripriprilegeduser e a palavra-passe por valores adequados ao seu ambiente.

utilizadores líquidos /adicionar palavra-passelowpripripriprilegeduser

3. Adicione um nome principal de serviço (SPN) para cada nome de anfitrião no site que apoiará Kerberos

Para adicionar um Nome Principal de Serviço (SPN) para cada nome de anfitrião no site que irá suportar Kerberos, executar o seguinte comando no servidor de domínio. Substitua contoso.fabrikam.com, nome de domínio e lowprivilegeduser pelos valores correspondentes ao seu ambiente.

Setspn -S http/contoso.fabrikam.comdomínio nome\lowpriprilegeduser

4. No controlador de web sites Azure Pack Windows, atribua o utilizador de domínio ao conjunto de aplicações

Para atribuir o utilizador de domínio que criou para o pool de aplicações, execute os seguintes passos no Windows Controlador de Web Sites Azure Pack. Numa nova janela PowerShell, executar os seguintes comandos. Substitua o adatum, o contoso, o nome de domínio, o lowprivilegeduser e a palavra-passe pelos valores correspondentes ao seu ambiente.

Add-PSSnapin WebHostingSnapin
Set-WebSitesSiteConfig -SubscriptionId adatum -Name contoso -CustomAppPoolIdentity $true -SiteRuntimeUser domainname\lowprivilegeduser -SiteRuntimeUserPassword password

Desativar a autenticação Windows para um site do Azure Pack Windows

Se precisar de desativar Windows autenticação, executar o seguinte comando PowerShell. No exemplo, substitua o adatum pelo seu ID de subscrição e contoso pelo nome do seu site.

Set-WebSitesSiteConfig -SubscriptionId adatum -Name contoso –WindowsAuthEnabled Off

Ativar SQL autenticação integrada para um web site do Azure Pack Windows

Ativar SQL autenticação integrada para um web site Windows Azure Pack envolve os seguintes passos:

  1. Crie um utilizador de domínio no servidor de domínio.

  2. Conceda as permissões do utilizador de domínio à base de dados.

  3. Atribua o utilizador de domínio à identidade do appPool para a sua subscrição.

Estes passos são explicados em detalhe da seguinte forma.

1. No servidor de domínio, crie um utilizador de domínio

Para criar um utilizador de domínio, executar o seguinte comando no servidor de domínio. Substitua o lowpripripriprilegeduser e a palavra-passe pelos valores correspondentes ao seu ambiente.

utilizadores líquidos /adicionar palavra-passelowpripripriprilegeduser

2. No SQL Server, conceda as permissões de base de dados de utilizadores de domínio

Para conceder ao utilizador de domínio que criou permissões na base de dados, execute os seguintes comandos no SQL Server. Substitua o nome de base de dados dos utilizadores, o nome de domínio\lowprivilegeduser e o lowPrivilegedDBUser pelos valores correspondentes ao seu ambiente.

utilizar o nome de database dos utilizadores;

CRIAR LOGIN [nome de domínio\lowpripripriprilegeduser] FROM WINDOWS;

CREATE USER lowPriprilegedDBUser FOR LOGIN [domainname\lowpripriprilegeduser];

SP_ADDROLEMEMBER "db_datareader", lowPrivilegedDBUser;

3. No Windows controlador de web sites Azure Pack, atribua o utilizador de domínio ao conjunto de aplicações

Para atribuir o utilizador de domínio que criou para o pool de aplicações, execute os seguintes passos no Windows Controlador de Web Sites Azure Pack. Numa nova janela PowerShell, executar os seguintes comandos. Substitua o adatum, o contoso, o nome de domínio, o lowprivilegeduser e a palavra-passe pelos valores correspondentes ao seu ambiente.

Add-PSSnapin WebHostingSnapin Set-WebSitesSiteConfig -SubscriptionId adatum -Name contoso -CustomAppPoolIdentity $true -SiteRuntimeUser domainname\lowprivilegeduser -SiteRuntimeUserPassword password