Activer l'authentification Windows pour Microsoft Azure Pack : Sites web
S’applique à : Windows Azure Pack
Windows Azure Pack : Les sites web prennent en charge l’intégration de sites web à Active Directory pour l’authentification. La prise en charge de pool d'application permet également à un site web de s'exécuter sous une identité spécifiée pour se connecter aux ressources de base de données.
Notes
Actuellement, la fonction Identité du pool d'applications ne prend pas en charge tous les scénarios directs et fonctionne uniquement avec les bases de données.
Pour que l'authentification Active Directory soit activée, les conditions suivantes doivent être remplies :
Tous les rôles de travail de site web doivent être joints au même domaine Active Directory.
Une fois qu'un cloud de site web est joint à un domaine Active Directory, seuls les threads de travail qui font partie du même domaine peuvent être ajoutés au cloud.
Vous pouvez activer l'authentification Active Directory à l'aide du portail de gestion ou de commandes PowerShell.
Portail de gestion
Activer de manière administrative l'intégration de l'authentification Active Directory à Sites Web
Pour activer Active Directory via le portail d'administration
Ouvrez l’onglet Configuration cloud du site web.
Dans la section Général Paramètres, choisissez parmi les trois options suivantes pour l’authentification Windows site web :
Paramètre
Description
Désactivé
Désactive l'authentification Windows pour les sites web dans le cloud
Autoriser
Active l'authentification Windows pour que les clients puissent l'activer sur leurs sites web
Exiger
Exige que tous les sites web dans le cloud utilisent l'authentification Windows
Lorsque Authentification Windows est défini de manière administrative sur Exiger, tous les sites web clients dans le cloud de site web disposent de l’intégration d’Active Directory sur leurs sites web. Cela signifie qu'un locataire de site web ne peut pas définir d'expérience non authentifiée. Le paramètre Require garantit à l’administrateur des sites web que tous les sites web ont été sécurisés.
Lorsque Authentification Windows est définie de manière administrative sur Autoriser, les locataires peuvent décider s’ils souhaitent que leurs sites s’intègrent à Active Directory pour l’authentification. Lorsque l’option Autoriser est activée, les locataires peuvent manipuler des pages individuelles sur leur site web pour ne pas exiger d’authentification.
Activation par le locataire de l'authentification Active Directory pour un site web
Les locataires peuvent activer l’intégration d’Active Directory sous l’onglet Configurer du portail de gestion pour leur site web. L'option permettant de configurer l'intégration à Active Directory est activée uniquement si l'administrateur l'a activé pour le cloud de site web auquel appartient le site web. En fonction des paramètres définis par l'administrateur du cloud, les locataires peuvent désactiver l'intégration à Active Directory, l'activer ou la rendre obligatoire.
Pour configurer Active Directory pour le site web d'un locataire dans le portail de gestion de locataire
Ouvrez l’onglet Configurer du site web.
Dans la section Général, choisissez parmi les trois options suivantes pour l’authentification Windows :
Paramètre
Description
Désactivé
Désactive l'authentification Windows pour le site web
Autoriser
Active l'authentification Windows sur le site web
Exiger
Exige que l'ensemble du site web utilise l'authentification Windows
Lorsque Windows’authentification est définie sur Exiger, toutes les pages du site sont protégées par l’authentification Active Directory. Le paramètre Require garantit que le propriétaire du site web ne peut pas être désactivé, même si plusieurs développeurs mettent à jour le même site web.
Lorsque Windows’authentification est définie sur Autoriser, le site web est protégé par Active Directory pour l’authentification. Toutefois, les développeurs de sites web peuvent toujours la désactiver pour certaines pages du site.
Si l’administrateur du système cloud a défini l’authentification Active Directory sur Exiger, le locataire ne peut pas le désactiver pour son site web.
Activer de manière administrative l'identité du pool d'applications pour Sites Web
Vous pouvez activer les identités du pool d'applications uniquement si tous les threads de travail dans le cloud de sites web sont joints au même domaine Active Directory. Les administrateurs peuvent gérer la fonctionnalité d’identité du pool d’applications à partir de l’onglet Web Site Cloud Configure .
Pour activer l'identité du pool d'applications via le portal d'administration du cloud
Ouvrez l’onglet Configuration cloud du site web.
Dans la section Général Paramètres, définissez l’identité du pool d’applications personnalisée sur Autoriser.
Activation par le locataire de l'identité du pool d'applications
Les identités du pool d'applications peuvent être activées pour un site web uniquement si l'administrateur du cloud de site web a activé l'utilisation des identités de pool d'application personnalisées pour le cloud de site web auquel appartient le site web. Les locataires peuvent activer l’identité du pool d’applications sous l’onglet Configurer du portail de gestion de leur site web.
Pour activer des identités de pool d'applications personnalisées dans le portail de gestion de site web de locataire
Ouvrez l’onglet Configuration cloud du site web.
Dans la section Général Paramètres, définissez l’identité du pool d’applications personnalisée sur Autoriser.
Spécifiez le nom d'utilisateur et le mot de passe sous lesquels le site web doit s'exécuter.
Quand ce paramètre est validé, le site web peut utiliser l'identité fournie pour se connecter aux bases de données qui se trouvent dans le même domaine que l'utilisateur (ou qui y sont fédérées).
PowerShell
Importer le module WebSites PowerShell
Tout d'abord, pour activer les commandes PowerShell nécessaires, exécutez la commande suivante pour importer le module WebSites PowerShell :
sites web Import-Module
Création d'un site web
Si vous n’avez pas encore de site web, vous pouvez en créer un à l’aide de l’Windows Azure Pack : Portail de gestion des sites web, ou vous pouvez utiliser l’applet de commande PowerShell suivante. Dans l’exemple, remplacez contoso, adatum et contoso.fabrikam.com par le nom de votre site web, votre ID d’abonnement et le nom d’hôte que vous utiliserez.
New-WebSitesSite -Name contoso -SubscriptionId adatum -HostNames contoso.fabrikam.com
Activer l'authentification Windows NTLM pour un site web Microsoft Azure Pack
Pour activer Authentification Windows pour votre site web, exécutez l’applet de commande suivante sur le contrôleur à l’aide de l’option Autoriser. L’option Obligatoire peut être utilisée lorsque vous souhaitez verrouiller les sections de configuration d’authentification dans le fichier applicationhost.config du site et empêcher tout fichier web.config sur le site, ou toute application sous le site, de la remplacer. Dans l’exemple suivant, remplacez adatum par votre ID d’abonnement et contoso par le nom de votre site web.
Set-WebSitesSiteConfig -SubscriptionId adatum -Name contoso –WindowsAuthEnabled {Allow | Obligatoire}
Activer l'authentification Windows Kerberos pour un site web Microsoft Azure Pack
Pour activer Kerberos pour un site web Microsoft Azure Pack, vous devez effectuer les étapes suivantes :
Exécuter les mêmes commandes pour activer l'authentification Windows que celles exécutées pour activer l'authentification Windows NTLM.
Créer un utilisateur de domaine sur le serveur de domaine.
Ajouter un nom de principal du service (SPN) pour chaque nom d'hôte dans le site qui prendra en charge Kerberos.
Affecter l'utilisateur de domaine à l'identité appPool pour votre abonnement.
Ces étapes sont expliquées en détail ci-dessous.
1. Activer Authentification Windows
Exécutez l’applet de commande suivante sur le contrôleur à l’aide de l’option Autoriser. Dans l’exemple, remplacez adatum par votre ID d’abonnement et contoso par le nom de votre site web.
Set-WebSitesSiteConfig -SubscriptionId adatum -Name contoso –WindowsAuthEnabled {Allow | Obligatoire}
2. Sur le serveur de domaine, créez un utilisateur de domaine
Pour créer un utilisateur de domaine, exécutez la commande suivante sur le serveur de domaine. Remplacez lowprivilegeduser et password par des valeurs appropriées à votre environnement.
net users /add lowprivilegeduserpassword
3. Ajouter un nom de principal de service (SPN) pour chaque nom d’hôte du site qui prendra en charge Kerberos
Pour ajouter un nom de principal du service (SPN) pour chaque nom d'hôte dans le site qui prendra en charge Kerberos, exécutez la commande suivante sur le serveur de domaine. Remplacez contoso.fabrikam.com, domainname et lowprivilegeduser par les valeurs correspondant à votre environnement.
Setspn -S http/contoso.fabrikam.comdomainname\lowprivilegeduser
4. Sur la Windows contrôleur de sites web Azure Pack, affectez l’utilisateur de domaine au pool d’applications.
Pour affecter l'utilisateur de domaine que vous avez créé au pool d'applications, procédez comme suit sur le contrôleur Microsoft Azure Pack Sites Web. Dans une nouvelle fenêtre PowerShell, exécutez les commandes suivantes. Remplacez adatum, contoso, domainname, lowprivilegeduser et password par les valeurs correspondant à votre environnement.
Add-PSSnapin WebHostingSnapin
Set-WebSitesSiteConfig -SubscriptionId adatum -Name contoso -CustomAppPoolIdentity $true -SiteRuntimeUser domainname\lowprivilegeduser -SiteRuntimeUserPassword password
Désactivation de l'authentification Windows pour un site web Microsoft Azure Pack
Si vous devez désactiver l'authentification Windows, exécutez la commande PowerShell suivante. Dans l’exemple, remplacez adatum par votre ID d’abonnement et contoso par le nom de votre site web.
Set-WebSitesSiteConfig -SubscriptionId adatum -Name contoso –WindowsAuthEnabled Off
Activer l'authentification intégrée SQL pour un site web Microsoft Azure Pack
Pour activer l'authentification intégrée SQL pour un site web Microsoft Azure Pack, vous devez effectuer les étapes suivantes :
Créer un utilisateur de domaine sur le serveur de domaine.
Accorder à l'utilisateur du domaine des autorisations d'accès à la base de données.
Affecter l'utilisateur de domaine à l'identité appPool pour votre abonnement.
Ces étapes sont expliquées en détail ci-dessous.
1. Sur le serveur de domaine, créez un utilisateur de domaine
Pour créer un utilisateur de domaine, exécutez la commande suivante sur le serveur de domaine. Remplacez lowprivilegeduser et password par les valeurs correspondant à votre environnement.
net users /add lowprivilegeduserpassword
2. Sur SQL Server, accordez les autorisations de base de données utilisateur du domaine
Pour accorder à l'utilisateur du domaine que vous avez créé des autorisations d'accès à la base de données, exécutez les commandes suivantes sur SQL Server. Remplacez usersdatabasename, domainname\lowprivilegeduser etlowPrivilegedDBUser par les valeurs correspondant à votre environnement.
utiliser usersdatabasename ;
CREATE LOGIN [domainname\lowprivilegeduser] FROM WINDOWS ;
CREATE USER lowPrivilegedDBUser FOR LOGIN [domainname\lowprivilegeduser];
EXEC sp_addrolemember 'db_datareader', lowPrivilegedDBUser;
3. Sur le contrôleur de sites web Azure Pack Windows, affectez l’utilisateur de domaine au pool d’applications
Pour affecter l'utilisateur de domaine que vous avez créé au pool d'applications, procédez comme suit sur le contrôleur Microsoft Azure Pack Sites Web. Dans une nouvelle fenêtre PowerShell, exécutez les commandes suivantes. Remplacez adatum, contoso, domainname, lowprivilegeduser et password par les valeurs correspondant à votre environnement.
Add-PSSnapin WebHostingSnapin Set-WebSitesSiteConfig -SubscriptionId adatum -Name contoso -CustomAppPoolIdentity $true -SiteRuntimeUser domainname\lowprivilegeduser -SiteRuntimeUserPassword password