Configurer les portails de gestion pour la confiance AD FS
S’applique à : Windows Azure Pack
Après avoir configuré les services de fédération Active Directory (AD FS), vous devez configurer le portail de gestion pour les administrateurs et le portail de gestion pour que les locataires approuvent AD FS. Vous pouvez exécuter l’applet de commande Set-MgmtSvcRelyingPartySettings ou exécuter un script Windows PowerShell.
Option 1 : exécuter l'applet de commande Set-MgmtSvcRelyingPartySettings
Exécutez l’applet de commande Set-MgmtSvcRelyingPartySettings sur chaque ordinateur sur lequel l’administrateur ou le portail client est installé.
Avant d’exécuter l’applet de commande Set-MgmtSvcRelyingPartySettings, vérifiez que la machine que vous configurez peut accéder au point de terminaison de métadonnées du service web AD FS. Pour vérifier l'accès, ouvrez un navigateur et accédez au même URI que vous planifiez d'utiliser pour le paramètre – MetadataEndpoint. Si vous voyez le fichier .xml, vous pouvez accéder au point de terminaison des métadonnées de la fédération.
À présent, exécutez l’applet de commande Set-MgmtSvcRelyingPartySettings.
Set-MgmtSvcRelyingPartySettings -Target Tenant -MetadataEndpoint https://<fqdn>/FederationMetadata/2007-06/FederationMetadata.xml -DisableCertificateValidation -ConnectionString 'Server=<some server>;User Id=<user with write permissions to all config databases>;Password=<password>;'
Le tableau suivant présente les informations requises pour exécuter l’applet de commande Set-MgmtSvcRelyingPartySettings.
Paramètre d’applet de commande
Informations requises
-Target
Ce paramètre est utilisé pour indiquer le portail à configurer. Valeurs possibles : Administration, Locataire.
-MetadataEndpoint
Point de terminaison des métadonnées du service Web AD FS. Utilisez un URI valide, accessible et complet, au format suivant : https://< AD FS>/FederationMetadata/2007-06/FederationMetadata.xml. Dans les applets de commande suivantes, remplacez $fqdn par un nom de domaine complet AD FS (FQDN).
-ConnectionString
Chaîne de connexion à l'instance de Microsoft SQL Server qui héberge la base de données de configuration du portail de gestion.
Option 2 : exécuter un fichier de script Windows PowerShell
Au lieu d'utiliser cette applet de commande, vous pouvez exécuter le script Windows PowerShell suivant sur chaque machine sur laquelle le portail d'administrateur ou de locataire est installé.
$domainName = 'mydomain.com' $adfsPrefix = 'AzurePack-adfs' $dnsName = ($adfsPrefix + "." + $domainName) # Enter Sql Server details here $dbServer = 'AzurePack-sql' $dbUsername = 'sa' $dbPassword = '<SQL_password>' $connectionString = [string]::Format('Data Source={0};User ID={1};Password={2}', $dbServer, $dbUsername, $dbPassword) # Note: Use the \"DisableCertificateValidation\" switch only in test environments. In production environments, # all SSL certificates should be valid. Set-MgmtSvcRelyingPartySettings -Target Tenant ` -MetadataEndpoint https://$dnsName/FederationMetadata/2007-06/FederationMetadata.xml ` -DisableCertificateValidation -ConnectionString $connectionString
Ajouter des utilisateurs pour avoir accès au portail de gestion pour les administrateurs
Si vous souhaitez ajouter des utilisateurs à accéder au portail de gestion pour les administrateurs, vous devez exécuter l’applet de commande Add-MgmtSvcAdminUser sur l’ordinateur hébergeant l’API Administration. La chaîne de connexion doit pointer sur la base de données de configuration du portail de gestion.
L'exemple de code suivant montre comment ajouter des utilisateurs afin qu'ils disposent d'un accès.
$adminuser = 'domainuser1@mydomain.com' $dbServer = 'AzurePack-sql' $dbUsername = 'sa' $dbPassword = 'SQL_Password' $connectionString = [string]::Format('Server= {0} ;Initial Catalog=Microsoft.MgmtSvc.Store;User Id={1};Password={2};',$dbServer, $dbUsername, $dbPassword) Add-MgmtSvcAdminUser -Principal $adminuser -ConnectionString $connectionstring
Notes
-
Le format de $dbuser doit correspondre au nom d'utilisateur principal (UPN) qui est envoyé par AD FS.
-
Les utilisateurs qui sont des administrateurs doivent être des utilisateurs individuels. Vous ne pouvez pas ajouter des groupes AD en tant qu'administrateur.
-