Konfigurace Active Directory Federation Services (AD FS) pro Windows Azure Pack
Platí pro: Windows Azure Pack
Ve výchozím nastavení Windows Azure Pack pro Windows Server používá následující ověřování.
Služba |
Výchozí ověřování |
---|---|
Portál pro správu pro správce |
Ověřování systému Windows |
Portál pro správu pro tenanty |
ASP.Net poskytovatel členství |
Místo použití těchto výchozíchtypůch služeb (AD FS) můžete místo těchto výchozích typů ověřování nakonfigurovat také Windows Sadu Azure Pack tak, aby používala službu Windows Azure Active Directory Federation Services (AD FS), jak je popsáno v následujících krocích. Tato možnost vyžaduje Windows Server 2012 R2.
Pokud chcete přepnout zpět na výchozí ověřování, přečtěte si téma Přepnutí zpět na výchozí Windows ověřovacích lokalit Azure Packu.
Poznámka
Následující informace předpokládají, že ve vašem prostředí ještě nemáte nakonfigurovanou službu AD FS. Pokud máte nakonfigurovanou službu AD FS, můžete první krok přeskočit a pokračovat přímo ke konfiguraci služby AD FS tak, aby důvěřovala portálům pro správu.
Konfigurace portálů pro správu pro vztah důvěryhodnosti služby AD FS
Konfigurace ověřovacího webu tenanta tak, aby důvěřovala službě AD FS
Konfigurace služby AD FS tak, aby důvěřovala portálům pro správu
Osvědčené postupy
Před konfigurací služby AD FS si projděte následující osvědčené postupy.
Formát skupin uživatelů, které poskytuje instalace služby AD FS, by měl odpovídat formátu zadanému v uživatelském rozhraní. Předepsané formátování pro přidání skupin AD jako spolusprávce je doména\alias.
Vlastník předplatného by měl být individuálním uživatelem, nikoli skupinou.
Obecně je vhodné jako jedinečný identifikátor použít e-mailovou adresu. Generátory vlastních deklarací identity umožňují identifikátor GUID nebo jiné jedinečné identifikátory, ale jejich použití komplikuje přidávání spolusprávců nebo přidávání jednotlivých uživatelů a obecně by se jim mělo vyhnout.
Služba AD FS ve výchozím nastavení nastaví soubor cookie na straně klienta tak, aby sledoval výběr uživatele pro metody ověřování. Tuto akci můžete zakázat spuštěním následující rutiny Windows PowerShell služby AD FS:
Set-ADFSWebConfig –HRDCookieEnabled $false
Další informace o nasazení a údržbě farmy služby AD FS najdete v přehledu Active Directory Federation Services (AD FS).