Delen via

Windows-verificatie inschakelen voor Windows Azure Pack: websites

  • Artikel

 

Van toepassing op: Windows Azure Pack

Windows Azure Pack: Websites ondersteunen integratie van websites met Active Directory voor verificatie. Met de ondersteuning voor de groep van toepassingen kan een website ook worden uitgevoerd onder een opgegeven identiteit die wordt gebruikt om verbinding te maken met databasebronnen.

Notitie

De functie Identiteit van de groep van toepassingen biedt momenteel geen ondersteuning voor alle passthrough-scenario's en werkt alleen met databases.

Om Active Directory-verificatie in te schakelen, moeten aan de volgende voorwaarden wordt voldaan:

  • Alle websitewerkrollen moeten lid zijn van hetzelfde Active Directory-domein.

  • Nadat een websitecloud is toegevoegd aan een Active Directory-domein, kunnen alleen werknemers die deel uitmaken van hetzelfde domein worden toegevoegd aan de cloud.

U kunt Active Directory-verificatie inschakelen met behulp van de beheerportal of via PowerShell-opdrachten.

Beheerportal

Active Directory-verificatieintegratie met websites met beheerders inschakelen

Active Directory inschakelen via de beheerportal

  1. Open het tabblad Cloud configureren van website.

  2. Kies in de sectie Algemeen Instellingen een van de volgende drie opties voor website-Windows-verificatie:

    Instelling

    Beschrijving

    Uit

    Schakelt Windows verificatie voor de websites in de cloud uit

    Toestaan

    Hiermee schakelt u Windows verificatie in, zodat tenants deze op hun websites kunnen inschakelen

    Vereisen

    Vereist dat alle websites in de cloud Windows verificatie gebruiken

Wanneer Windows verificatie administratief is ingesteld op Vereisen, hebben alle tenantwebsites in de websitecloud Active Directory-integratie op hun websites. Dit betekent dat een websitetenant geen niet-geverifieerde ervaring kan instellen. De instelling Vereisen biedt garanties aan de beheerder van websites dat alle websites zijn beveiligd.

Wanneer Windows verificatie administratief is ingesteld op Toestaan, kunnen tenants bepalen of hun sites moeten worden geïntegreerd met Active Directory voor verificatie. Wanneer Toestaan is ingeschakeld, kunnen tenants afzonderlijke pagina's op hun website bewerken om geen verificatie te vereisen.

Tenant inschakelen van Active Directory-verificatie voor een website

Tenants kunnen Active Directory-integratie inschakelen op het tabblad Configureren van de beheerportal voor hun website. De optie voor het configureren van Active Directory-integratie is alleen ingeschakeld als de beheerder deze heeft ingeschakeld voor de websitecloud waartoe de website behoort. Afhankelijk van de instellingen die door de cloudbeheerder zijn gemaakt, kunnen tenants Active Directory-integratie uitschakelen, inschakelen of verplicht maken.

Active Directory configureren voor een tenantwebsite in de tenantbeheerportal

  1. Open het tabblad Configureren van de website.

  2. Kies in de sectie Algemeen een van de volgende drie opties voor Windows Verificatie:

    Instelling

    Beschrijving

    Uit

    Schakelt Windows verificatie voor de website uit

    Toestaan

    Hiermee kan Windows verificatie worden gebruikt op de website

    Vereisen

    Vereist dat de hele website Windows verificatie gebruikt

Wanneer Windows verificatie is ingesteld op Vereisen, worden alle pagina's op de site beveiligd door Active Directory-verificatie. De instelling Vereisen zorgt ervoor dat de eigenaar van de website ervoor zorgt dat verificatie niet kan worden uitgeschakeld, zelfs als meerdere ontwikkelaars dezelfde website bijwerken.

Wanneer Windows verificatie is ingesteld op Toestaan, wordt de website beveiligd door Active Directory voor verificatie. Websiteontwikkelaars kunnen deze echter nog steeds uitschakelen voor afzonderlijke pagina's op de site.

Als de cloudsysteembeheerder Active Directory-verificatie heeft ingesteld op Vereisen, kan de tenant deze niet uitschakelen voor hun website.

Identiteit van groep van toepassingen op websites met beheerdersrechten inschakelen

Identiteiten van toepassingenpools kunnen alleen worden ingeschakeld als alle werknemers in de websitecloud zijn gekoppeld aan hetzelfde Active Directory-domein. Beheerders kunnen de functie identiteit van de groep van toepassingen beheren via het tabblad Cloud configureren van website.

De identiteit van de groep van toepassingen inschakelen via de cloudbeheerdersportal

  1. Open het tabblad Cloud configureren van website.

  2. Stel in de sectie Algemeen Instellingenaangepaste identiteit van toepassingsgroep in op Toestaan.

Tenant inschakelen van identiteit van groep van toepassingen

Identiteiten van toepassingsgroepen kunnen alleen worden ingeschakeld voor een website als de cloudbeheerder van de website het gebruik van aangepaste identiteiten van toepassingsgroepen heeft ingeschakeld voor de websitecloud waartoe de website behoort. Tenants kunnen de identiteit van de groep van toepassingen inschakelen op het tabblad Configureren van de beheerportal van hun website.

Aangepaste identiteiten van toepassingsgroepen inschakelen in de beheerportal van de tenantwebsite

  1. Open het tabblad Cloud configureren van website.

  2. Stel in de sectie Algemeen Instellingenaangepaste identiteit van toepassingsgroep in op Toestaan.

  3. Geef de gebruikersnaam en het wachtwoord op waaronder de website moet worden uitgevoerd.

Wanneer deze instelling is voltooid, kan de website de opgegeven identiteit gebruiken om verbinding te maken met databases die zich in hetzelfde domein bevinden als de gebruiker.

PowerShell

De PowerShell-websitesmodule importeren

Voer eerst de volgende opdracht uit om de benodigde PowerShell-opdrachten in te schakelen om de Module PowerShell-websites te importeren:

Import-Module websites

Een website maken

Als u nog geen website hebt, kunt u er een maken met behulp van de Windows Azure Pack: Beheerportal voor websites of u kunt de volgende PowerShell-cmdlet gebruiken. Vervang in het voorbeeld contoso, adatum en contoso.fabrikam.com door de naam van uw website, uw abonnements-id en de hostnaam die u gaat gebruiken.

New-WebSitesSite -Name contoso -SubscriptionId adatum -HostNames contoso.fabrikam.com

NTLM-Windows-verificatie inschakelen voor een Windows Azure Pack-website

Als u Windows verificatie wilt inschakelen voor uw website, voert u de volgende cmdlet uit op de controller met behulp van de optie Toestaan. De optie Vereist kan worden gebruikt wanneer u de secties voor verificatieconfiguratie in het applicationhost.config-bestand van de site wilt vergrendelen en voorkomen dat web.config bestand op de site, of een toepassing onder de site, deze overschrijft. Vervang in het volgende voorbeeld een datum door uw abonnements-id en contoso door de naam van uw website.

Set-WebSitesSiteConfig -SubscriptionId adatum -Name contoso –WindowsAuthEnabled {Allow | Vereist}

Kerberos-Windows-verificatie inschakelen voor een Windows Azure Pack-website

Het inschakelen van Kerberos voor een Windows Azure Pack-website omvat het volgende:

  1. Geef dezelfde opdrachten uit om Windows verificatie in te schakelen als die voor het inschakelen van verificatie op basis van NTLM Windows.

  2. Maak een domeingebruiker op de domeinserver.

  3. Voeg een SPN (Service Principal Name) toe voor elke hostnaam op de site die Kerberos ondersteunt.

  4. Wijs de domeingebruiker toe aan de appPool-identiteit voor uw abonnement.

Deze stappen worden als volgt gedetailleerd uitgelegd.

1. Windows verificatie inschakelen

Voer de volgende cmdlet uit op de controller met de optie Toestaan. Vervang in het voorbeeld adatum door uw abonnements-id en contoso door de naam van uw website.

Set-WebSitesSiteConfig -SubscriptionId adatum -Name contoso –WindowsAuthEnabled {Allow | Vereist}

2. Maak op de domeinserver een domeingebruiker

Als u een domeingebruiker wilt maken, voert u de volgende opdracht uit op de domeinserver. Vervang lowprivilegeduser en wachtwoord door waarden die geschikt zijn voor uw omgeving.

net users /add lowprivilegeduserpassword

3. Voeg een Service Principal Name (SPN) toe voor elke hostnaam in de site die Kerberos ondersteunt

Als u een Service Principal Name (SPN) wilt toevoegen voor elke hostnaam op de site die Kerberos ondersteunt, voert u de volgende opdracht uit op de domeinserver. Vervang contoso.fabrikam.com, domeinnaam en lowprivilegeduser door de waarden die overeenkomen met uw omgeving.

Setspn -S http/contoso.fabrikam.comdomeinnaam\lowprivilegeduser

4. Wijs op de Windows Azure Pack-websitecontroller de domeingebruiker toe aan de groep van toepassingen

Als u de domeingebruiker wilt toewijzen die u hebt gemaakt aan de groep van toepassingen, voert u de volgende stappen uit op de controller voor Windows Azure Pack-websites. Voer in een nieuw PowerShell-venster de volgende opdrachten uit. Vervang adatum, contoso, domeinnaam, lowprivilegeduser en wachtwoord door de waarden die overeenkomen met uw omgeving.

Add-PSSnapin WebHostingSnapin
Set-WebSitesSiteConfig -SubscriptionId adatum -Name contoso -CustomAppPoolIdentity $true -SiteRuntimeUser domainname\lowprivilegeduser -SiteRuntimeUserPassword password

Windows-verificatie uitschakelen voor een Windows Azure Pack-website

Als u Windows verificatie wilt uitschakelen, voert u de volgende PowerShell-opdracht uit. Vervang in het voorbeeld adatum door uw abonnements-id en contoso door de naam van uw website.

Set-WebSitesSiteConfig -SubscriptionId adatum -Name contoso –WindowsAuthEnabled Off

Geïntegreerde verificatie inschakelen SQL voor een Windows Azure Pack-website

Het inschakelen van SQL geïntegreerde verificatie voor een Windows Azure Pack-website omvat de volgende stappen:

  1. Maak een domeingebruiker op de domeinserver.

  2. De domeingebruiker machtigingen verlenen aan de database.

  3. Wijs de domeingebruiker toe aan de appPool-identiteit voor uw abonnement.

Deze stappen worden als volgt beschreven.

1. Maak op de domeinserver een domeingebruiker

Als u een domeingebruiker wilt maken, voert u de volgende opdracht uit op de domeinserver. Vervang lowprivilegeduser en wachtwoord door de waarden die overeenkomen met uw omgeving.

net users /add lowprivilegeduserpassword

2. Op SQL Server verleent u de databasemachtigingen voor domeingebruikers

Als u de domeingebruiker wilt verlenen die u machtigingen hebt gemaakt voor de database, voert u de volgende opdrachten uit op SQL Server. Vervang gebruikersdatabasenaam, domeinnaam\lowprivilegeduser en lowPrivilegedDBUser door de waarden die overeenkomen met uw omgeving.

gebruikersdatabasenaam gebruiken;

CREATE LOGIN [domainname\lowprivilegeduser] FROM WINDOWS;

CREATE USER lowPrivilegedDBUser FOR LOGIN [domeinnaam\lowprivilegeduser];

EXEC sp_addrolemember 'db_datareader', lowPrivilegedDBUser;

3. Wijs op de controller voor Windows Azure Pack-websites de domeingebruiker toe aan de groep van toepassingen

Als u de domeingebruiker wilt toewijzen die u hebt gemaakt aan de groep van toepassingen, voert u de volgende stappen uit op de controller voor Windows Azure Pack-websites. Voer in een nieuw PowerShell-venster de volgende opdrachten uit. Vervang adatum, contoso, domeinnaam, lowprivilegeduser en wachtwoord door de waarden die overeenkomen met uw omgeving.

Add-PSSnapin WebHostingSnapin Set-WebSitesSiteConfig -SubscriptionId adatum -Name contoso -CustomAppPoolIdentity $true -SiteRuntimeUser domainname\lowprivilegeduser -SiteRuntimeUserPassword password