設定 AD FS 信任管理入口網站
適用于:Windows Azure Pack
Windows Azure Pack Windows Azure Active Directory Federation Services (AD FS) 組態的最後一個步驟是將 AD FS 設定為信任管理入口網站。
設定 AD FS 信任管理入口網站
請確定您設定的電腦可以存取系統管理員管理入口網站的 AD FS Web 服務中繼資料端點。 若要驗證存取權,請開啟瀏覽器並移至 HTTPs:// < AdminPortal_endpoint > /FederationMetadata/2007-06/FederationMetadata.xml,其中 < AdminPortal_endpoint > 是系統管理員管理入口網站的完整功能變數名稱 (FQDN) 。 如果您可以檢視 .xml 檔案,就表示您可以存取同盟中繼資料端點。
請確定您設定的電腦可以存取租使用者管理入口網站的 AD FS Web 服務中繼資料端點。 若要確認存取權,請開啟瀏覽器並移至 HTTPs:// < TenantPortal_endpoint > /FederationMetadata/2007-06/FederationMetadata.xml,其中 < TenantPortal_endpoint > 是租使用者管理入口網站的 FQDN。 如果您可以檢視 .xml 檔案,就表示您可以存取同盟中繼資料端點。
選擇性。 如果您想要使用 ASP.NET 成員資格提供者作為 AD FS 中租使用者管理入口網站的預設宣告提供者,請確定您設定的電腦可以存取租使用者驗證網站的 AD FS Web 服務中繼資料端點。 若要驗證存取權,請開啟瀏覽器並移至 HTTPs:// < TenantAuth_endpoint > /FederationMetadata/2007-06/FederationMetadata.xml,其中 < TenantAuth_endpoint > 是租使用者驗證網站的 FQDN。 如果您可以檢視 .xml 檔案,就表示您可以存取同盟中繼資料端點。
在 C:\Program Files\Management Service\MgmtSvc-PowerShellAPI\Samples\Authentication\中找出與 Windows Azure Pack 一起安裝的configure-adfs.ps1組態腳本。
在安裝 AD FS 的電腦上執行 configure-adfs.ps1 指令碼。
$tenantSite = 'tenant-AzurePack.contoso.com:30081' $adminSite = 'admin-AzurePack.contoso.com:30091' $authSite = 'auth-AzurePack.contoso.com:30071' # Note: Use the \"allowSelfSignCertificates\" switch only in test environments. In production environments, all # SSL certificates should be valid. & "C:\Program Files\Management Service\MgmtSvc-PowerShellAPI\Samples\configure-adfs.ps1" ` –identityProviderMetadataEndpoint "https://$authSite/federationmetadata/2007-06/federationmetadata.xml" ` -tenantRelyingPartyMetadataEndpoint "https://$tenantSite/federationmetadata/2007-06/federationmetadata.xml" ` -adminRelyingPartyMetadataEndpoint "https://$adminSite/federationmetadata/2007-06/federationmetadata.xml" ` –allowSelfSignCertificates
將 tenantSite > 和 < adminSite > 取代 < 為租使用者管理入口網站的位置,以及系統管理員的管理入口網站。 如果您想要使用 ASP.NET 成員資格提供者作為 AD FS 中租使用者管理入口網站的預設宣告提供者,請將 authSite > 取代 < 為驗證網站的位置。
請提供以下參數資訊。
參數
必要資訊
-identityProviderMetadataEndpoint
選擇性:取得租用戶驗證網站之同盟中繼資料的端點。 如果您不想要使用 ASP.NET 成員資格提供者來提供租用戶身分識別,請修改指令碼,不要使用此參數。 也請移除 Add-AdfsClaimsProviderTrust 指令程式。 這會為租使用者設定管理入口網站的信任,以及系統管理員的管理入口網站。
-tenantRelyingPartyMetadataEndpoint
取得租使用者管理入口網站同盟中繼資料的端點。
-adminRelyingPartyMetadataEndpoint
取得系統管理員管理入口網站同盟中繼資料的端點。