Konfigurace portálů pro správu pro vztah důvěryhodnosti služby AD FS
Platí pro: Windows Azure Pack
Po konfiguraci služby Active Directory Federations Services (AD FS) musíte nakonfigurovat portál pro správu pro správce a portál pro správu pro tenanty tak, aby důvěřoval službě AD FS. Můžete spustit rutinu Set-MgmtSvcRelyingPartySettings nebo spustit Windows PowerShell skript.
Možnost 1: Spuštění rutiny Set-MgmtSvcRelyingPartySettings
Spusťte rutinu Set-MgmtSvcRelyingPartySettings na každém počítači, na kterém je nainstalovaný portál správce nebo tenanta.
Před spuštěním rutiny Set-MgmtSvcRelyingPartySettings se ujistěte, že počítač, který nakonfigurujete, má přístup ke koncovému bodu metadat webové služby AD FS. Pokud chcete ověřit přístup, otevřete prohlížeč a přejděte na stejný identifikátor URI, který chcete použít pro parametr –MetadataEndpoint. Pokud můžete zobrazit soubor .xml, můžete získat přístup ke koncovému bodu federačních metadat.
Teď spusťte rutinu Set-MgmtSvcRelyingPartySettings.
Set-MgmtSvcRelyingPartySettings -Target Tenant -MetadataEndpoint https://<fqdn>/FederationMetadata/2007-06/FederationMetadata.xml -DisableCertificateValidation -ConnectionString 'Server=<some server>;User Id=<user with write permissions to all config databases>;Password=<password>;'Následující tabulka uvádí požadované informace ke spuštění rutiny Set-MgmtSvcRelyingPartySettings.
Parametr rutiny
Požadované informace
-Target
Tento parametr slouží k označení, který portál se má konfigurovat. Možné hodnoty: Správa, tenant.
-MetadataEndpoint
Koncový bod metadat webové služby AD FS. Použijte platný, přístupný a úplný identifikátor URI v následujícím formátu: https://< AD FS>/FederationMetadata/2007-06/FederationMetadata.xml. V následujících rutinách nahraďte $fqdn plně kvalifikovaným názvem domény (FQDN).
-ConnectionString
Připojovací řetězec k instanci Microsoft SQL Server, která je hostitelem konfigurační databáze portálu pro správu.
Možnost 2: Spuštění skriptu Windows PowerShell
Místo použití rutiny můžete na každém počítači, na kterém je nainstalovaný portál správce nebo tenant, spustit následující skript Windows PowerShell.
$domainName = 'mydomain.com' $adfsPrefix = 'AzurePack-adfs' $dnsName = ($adfsPrefix + "." + $domainName) # Enter Sql Server details here $dbServer = 'AzurePack-sql' $dbUsername = 'sa' $dbPassword = '<SQL_password>' $connectionString = [string]::Format('Data Source={0};User ID={1};Password={2}', $dbServer, $dbUsername, $dbPassword) # Note: Use the \"DisableCertificateValidation\" switch only in test environments. In production environments, # all SSL certificates should be valid. Set-MgmtSvcRelyingPartySettings -Target Tenant ` -MetadataEndpoint https://$dnsName/FederationMetadata/2007-06/FederationMetadata.xml ` -DisableCertificateValidation -ConnectionString $connectionString
Přidání uživatelů, kteří mají přístup k portálu pro správu pro správce
Pokud chcete přidat uživatele, kteří mají přístup k portálu pro správu pro správce, musíte na počítači, který je hostitelem rozhraní Správa API, spustit rutinu Add-MgmtSvcAdminUser. Připojovací řetězec by měl odkazovat na konfigurační databázi portálu pro správu.
Následující příklad kódu ukazuje, jak se uživatelé přidají pro získání přístupu.
$adminuser = 'domainuser1@mydomain.com' $dbServer = 'AzurePack-sql' $dbUsername = 'sa' $dbPassword = 'SQL_Password' $connectionString = [string]::Format('Server= {0} ;Initial Catalog=Microsoft.MgmtSvc.Store;User Id={1};Password={2};',$dbServer, $dbUsername, $dbPassword) Add-MgmtSvcAdminUser -Principal $adminuser -ConnectionString $connectionstringPoznámka
-
Formát $dbuser musí odpovídat hlavnímu názvu uživatele (UPN), který služba AD FS odesílá.
-
Uživatelé správce musí být individuálními uživateli. Skupiny AD nelze přidat jako uživatele správce.
-