Pré-requisitos para implantar o Serviço de Aplicativo no Azure Stack Hub
Importante
Atualize o Azure Stack Hub para uma versão com suporte (ou implante o Azure Stack Development Kit mais recente), se necessário, antes de implantar ou atualizar o RP (provedor de recursos) do Serviço de Aplicativo. Leia as notas de versão do RP para saber mais sobre novas funcionalidades, correções e quaisquer problemas conhecidos que possam afetar sua implantação.
Versão mínima do Azure Stack Hub com suporte Versão do RP do Serviço de Aplicativo 2301 e mais recente Instalador 2302 (notas de versão)
Antes de implantar o Serviço de Aplicativo do Azure no Azure Stack Hub, você deve concluir as etapas de pré-requisito neste artigo.
Antes de começar
Esta seção lista os pré-requisitos para implantações de sistema integrado e ASDK (Azure Stack Development Kit).
Pré-requisitos do provedor de recursos
Se você já instalou um provedor de recursos, provavelmente concluiu os pré-requisitos a seguir e pode ignorar esta seção. Caso contrário, conclua estas etapas antes de continuar:
Registre sua instância do Azure Stack Hub no Azure, caso ainda não tenha feito isso. Esta etapa é necessária, pois você se conectará e baixará itens para o marketplace do Azure.
Se você não estiver familiarizado com o recurso Gerenciamento do Marketplace do portal do administrador do Azure Stack Hub, examine Baixar itens do marketplace do Azure e publicar no Azure Stack Hub. O artigo orienta você pelo processo de download de itens do Azure para o marketplace do Azure Stack Hub. Abrange cenários conectados e desconectados. Se a instância do Azure Stack Hub estiver desconectada ou parcialmente conectada, há pré-requisitos adicionais a serem concluídos na preparação para a instalação.
Atualize o diretório inicial do Microsoft Entra. A partir do build 1910, um novo aplicativo deve ser registrado no locatário do diretório inicial. Esse aplicativo permitirá que o Azure Stack Hub crie e registre com êxito provedores de recursos mais recentes (como Hubs de Eventos e outros) com seu locatário do Microsoft Entra. Essa é uma ação única que precisa ser feita após a atualização para a compilação 1910 ou mais recente. Se essa etapa não for concluída, as instalações do provedor de recursos do marketplace falharão.
- Depois de atualizar com êxito sua instância do Azure Stack Hub para 1910 ou superior, siga as instruções para clonar/baixar o repositório de Ferramentas do Azure Stack Hub.
- Em seguida, siga as instruções para atualizar o diretório inicial do Microsoft Entra do Azure Stack Hub (depois de instalar atualizações ou novos provedores de recursos).
Scripts de instalador e auxiliar
Baixe os scripts auxiliares de implantação do Serviço de Aplicativo no Azure Stack Hub.
Observação
Os scripts auxiliares de implantação exigem o módulo AzureRM PowerShell. Consulte Instalar o módulo AzureRM do PowerShell para Azure Stack Hub para obter detalhes de instalação.
Baixe o instalador do Serviço de Aplicativo no Azure Stack Hub.
Extraia os arquivos dos scripts auxiliares .zip arquivo. Os seguintes arquivos e pastas são extraídos:
- Common.ps1
- Criar-AADIdentityApp.ps1
- Criar-ADFSIdentityApp.ps1
- Criar-AppServiceCerts.ps1
- Get-AzureStackRootCert.ps1
- BCDR
- ReACL.cmd
- Pasta dos módulos
- GraphAPI.psm1
Certificados e configuração do servidor (Sistemas Integrados)
Esta seção lista os pré-requisitos para implantações de sistemas integrados.
Requisitos de certificado
Para executar o provedor de recursos em produção, você deve fornecer os seguintes certificados:
- Certificado de domínio padrão
- Certificado API
- Certificado de publicação
- Certificado de identidade
Além dos requisitos específicos listados nas seções a seguir, você também usará uma ferramenta posteriormente para testar os requisitos gerais. Consulte Validar certificados PKI do Azure Stack Hub para obter a lista completa de validações, incluindo:
- Formato de arquivo de . PFX
- Uso da chave definido para autenticação de servidor e cliente
- e vários outros
Certificado de domínio padrão
O certificado de domínio padrão é colocado na função de front-end. Os aplicativos de usuário para solicitação de domínio padrão ou curinga para o Serviço de Aplicativo do Azure usam esse certificado. O certificado também é usado para operações de controle do código-fonte (Kudu).
O certificado deve estar no formato .pfx e deve ser um certificado curinga de três assuntos. Esse requisito permite que um certificado cubra o domínio padrão e o ponto de extremidade do SCM para operações de controle do código-fonte.
| Formatar | Exemplo |
|---|---|
*.appservice.<region>.<DomainName>.<extension> |
*.appservice.redmond.azurestack.external |
*.scm.appservice.<region>.<DomainName>.<extension> |
*.scm.appservice.redmond.azurestack.external |
*.sso.appservice.<region>.<DomainName>.<extension> |
*.sso.appservice.redmond.azurestack.external |
Certificado API
O certificado de API é colocado na função Gerenciamento. O provedor de recursos o usa para ajudar a proteger chamadas de API. O certificado para publicação deve conter um assunto que corresponda à entrada DNS da API.
| Formatar | Exemplo |
|---|---|
| api.appservice.<região>.<Nome de domínio>.<extensão> | api.appservice.redmond.azurestack.external |
Certificado de publicação
O certificado para a função Publicador protege o tráfego FTPS para proprietários de aplicativos quando eles carregam conteúdo. O certificado para publicação deve conter um assunto que corresponda à entrada DNS do FTPS.
| Formatar | Exemplo |
|---|---|
| ftp.appservice.<região>.<Nome de domínio>.<extensão> | ftp.appservice.redmond.azurestack.external |
Certificado de identidade
O certificado do aplicativo de identidade permite:
- Integração entre a ID do Microsoft Entra ou o diretório dos Serviços de Federação do Active Directory (AD FS), o Azure Stack Hub e o Serviço de Aplicativo para dar suporte à integração com o provedor de recursos de computação.
- Cenários de logon único para ferramentas avançadas de desenvolvedor no Serviço de Aplicativo do Azure no Azure Stack Hub.
O certificado de identidade deve conter um assunto que corresponda ao formato a seguir.
| Formatar | Exemplo |
|---|---|
| sso.app.<região>.<Nome de domínio>.<extensão> | sso.appservice.redmond.azurestack.external |
Validar certificados
Antes de implantar o provedor de recursos do Serviço de Aplicativo, você deve validar os certificados a serem usados usando a ferramenta Verificador de Preparação do Azure Stack Hub disponível na Galeria do PowerShell. A Ferramenta de Verificação de Preparação do Azure Stack Hub valida se os certificados PKI gerados são adequados para a implantação do Serviço de Aplicativo.
Como prática recomendada, ao trabalhar com qualquer um dos certificados PKI necessários do Azure Stack Hub, você deve planejar tempo suficiente para testar e reemitir certificados, se necessário.
Preparar o servidor de arquivos
O Serviço de Aplicativo do Azure requer o uso de um servidor de arquivos. Para implantações de produção, o servidor de arquivos deve ser configurado para ser altamente disponível e capaz de lidar com falhas.
Modelo de início rápido para servidor de arquivos altamente disponível e SQL Server
Um modelo de início rápido de arquitetura de referência agora está disponível para implantar um servidor de arquivos e o SQL Server. Este modelo dá suporte à infraestrutura do Active Directory em uma rede virtual configurada para dar suporte a uma implantação altamente disponível do Serviço de Aplicativo do Azure no Azure Stack Hub.
Importante
Este modelo é oferecido como uma referência ou exemplo de como você pode implantar os pré-requisitos. Como o Operador do Azure Stack Hub gerencia esses servidores, especialmente em ambientes de produção, você deve configurar o modelo conforme necessário ou exigido por sua organização.
Observação
A instância do sistema integrado deve ser capaz de baixar recursos do GitHub para concluir a implantação.
Etapas para implantar um servidor de arquivos personalizado
Importante
Se você optar por implantar o Serviço de Aplicativo em uma rede virtual existente, o servidor de arquivos deverá ser implantado em uma sub-rede separada do Serviço de Aplicativo.
Observação
Se você optou por implantar um servidor de arquivos usando um dos modelos de início rápido mencionados acima, ignore esta seção, pois os servidores de arquivos são configurados como parte da implantação do modelo.
Provisionar grupos e contas no Active Directory
Crie os seguintes grupos de segurança global do Active Directory:
- FileShareOwners
- FileShareUsers
Crie as seguintes contas do Active Directory como contas de serviço:
- FileShareOwner
- FileShareUser
Como prática recomendada de segurança, os usuários dessas contas (e de todas as funções Web) devem ser exclusivos e ter nomes de usuário e senhas fortes. Defina as senhas com as seguintes condições:
- Ativar senha nunca expira.
- Ativar usuário não pode alterar a senha.
- Desabilitar O usuário deve alterar a senha no próximo logon.
Adicionar as contas às associações de grupo, desta forma:
- Adicione FileShareOwner ao grupo FileShareOwners .
- Adicione FileShareUser ao grupo FileShareUsers .
Provisionar grupos e contas em um grupo de trabalho
Observação
Ao configurar um servidor de arquivos, execute todos os comandos a seguir em um Prompt de Comando do Administrador.
Não use o PowerShell.
Quando você usa o modelo do Azure Resource Manager, os usuários já são criados.
Execute os seguintes comandos para criar as contas FileShareOwner e FileShareUser. Substitua
<password>pelos seus próprios valores.net user FileShareOwner <password> /add /expires:never /passwordchg:no net user FileShareUser <password> /add /expires:never /passwordchg:noDefina as senhas das contas para nunca expirar executando os seguintes comandos WMIC:
WMIC USERACCOUNT WHERE "Name='FileShareOwner'" SET PasswordExpires=FALSE WMIC USERACCOUNT WHERE "Name='FileShareUser'" SET PasswordExpires=FALSECrie os grupos locais FileShareUsers e FileShareOwners e adicione as contas na primeira etapa a eles:
net localgroup FileShareUsers /add net localgroup FileShareUsers FileShareUser /add net localgroup FileShareOwners /add net localgroup FileShareOwners FileShareOwner /add
Provisionar o compartilhamento de conteúdo
O compartilhamento de conteúdo contém conteúdo do site do locatário. O procedimento para provisionar o compartilhamento de conteúdo em um único servidor de arquivos é o mesmo para ambientes do Active Directory e de grupo de trabalho. Mas é diferente para um cluster de failover no Active Directory.
Provisionar o compartilhamento de conteúdo em um único servidor de arquivos (Active Directory ou grupo de trabalho)
Em um único servidor de arquivos, execute os comandos a seguir em um prompt de comando elevado. Substitua o valor for C:\WebSites pelos caminhos correspondentes em seu ambiente.
set WEBSITES_SHARE=WebSites
set WEBSITES_FOLDER=C:\WebSites
md %WEBSITES_FOLDER%
net share %WEBSITES_SHARE% /delete
net share %WEBSITES_SHARE%=%WEBSITES_FOLDER% /grant:Everyone,full
Configurar controle de acesso para os compartilhamentos
Execute os comandos a seguir em um prompt de comando com privilégios elevados no servidor de arquivos ou no nó do cluster de failover, que é o proprietário atual do recurso de cluster. Substitua valores em itálico por valores específicos do seu ambiente.
Active Directory
set DOMAIN=<DOMAIN>
set WEBSITES_FOLDER=C:\WebSites
icacls %WEBSITES_FOLDER% /reset
icacls %WEBSITES_FOLDER% /grant Administrators:(OI)(CI)(F)
icacls %WEBSITES_FOLDER% /grant %DOMAIN%\FileShareOwners:(OI)(CI)(M)
icacls %WEBSITES_FOLDER% /inheritance:r
icacls %WEBSITES_FOLDER% /grant %DOMAIN%\FileShareUsers:(CI)(S,X,RA)
icacls %WEBSITES_FOLDER% /grant *S-1-1-0:(OI)(CI)(IO)(RA,REA,RD)
Grupo de trabalho
set WEBSITES_FOLDER=C:\WebSites
icacls %WEBSITES_FOLDER% /reset
icacls %WEBSITES_FOLDER% /grant Administrators:(OI)(CI)(F)
icacls %WEBSITES_FOLDER% /grant FileShareOwners:(OI)(CI)(M)
icacls %WEBSITES_FOLDER% /inheritance:r
icacls %WEBSITES_FOLDER% /grant FileShareUsers:(CI)(S,X,RA)
icacls %WEBSITES_FOLDER% /grant *S-1-1-0:(OI)(CI)(IO)(RA,REA,RD)
Prepare a instância do SQL Server
Observação
Se você optou por implantar o modelo de Início Rápido para Servidor de Arquivos de Alta Disponibilidade e SQL Server, poderá ignorar esta seção à medida que o modelo implanta e configura o SQL Server em uma configuração de HA.
Para o Serviço de Aplicativo do Azure em bancos de dados de hospedagem e medição do Azure Stack Hub, você deve preparar uma instância do SQL Server para manter os bancos de dados do Serviço de Aplicativo.
Para fins de produção e alta disponibilidade, você deve usar uma versão completa do SQL Server 2014 SP2 ou posterior, habilitar a autenticação de modo misto e implantar em uma configuração altamente disponível.
A instância do SQL Server para o Serviço de Aplicativo do Azure no Azure Stack Hub deve ser acessível de todas as funções do Serviço de Aplicativo. Você pode implantar o SQL Server na Assinatura do Provedor Padrão no Azure Stack Hub. Ou você pode usar a infraestrutura existente em sua organização (desde que haja conectividade com o Azure Stack Hub). Se você estiver usando uma imagem do Azure Marketplace, lembre-se de configurar o firewall adequadamente.
Observação
Várias imagens de VM de IaaS do SQL estão disponíveis por meio do recurso Gerenciamento do Marketplace. Certifique-se de sempre baixar a versão mais recente da Extensão de IaaS do SQL antes de implantar uma VM usando um item do Marketplace. As imagens SQL são as mesmas que as VMs SQL disponíveis no Azure. Para VMs SQL criadas a partir dessas imagens, a extensão IaaS e os aprimoramentos do portal correspondentes fornecem recursos como aplicação automática de patches e recursos de backup.
Para qualquer função do SQL Server, você pode usar uma instância padrão ou uma instância nomeada. Se você usar uma instância nomeada, inicie manualmente o serviço Navegador do SQL Server e abra a porta 1434.
O instalador do Serviço de Aplicativo verificará se o SQL Server tem a contenção do banco de dados habilitada. Para habilitar a contenção de banco de dados no SQL Server que hospedará os bancos de dados do Serviço de Aplicativo, execute estes comandos SQL:
sp_configure 'contained database authentication', 1;
GO
RECONFIGURE;
GO
Certificados e configuração do servidor (ASDK)
Esta seção lista os pré-requisitos para implantações do ASDK.
Certificados necessários para a implantação do ASDK do Serviço de Aplicativo do Azure
O script Create-AppServiceCerts.ps1 funciona com a autoridade de certificação do Azure Stack Hub para criar os quatro certificados de que o Serviço de Aplicativo precisa.
| Nome do arquivo | Usar |
|---|---|
| _.appservice.local.azurestack.external.pfx | Certificado SSL padrão do Serviço de Aplicativo |
| api.appservice.local.azurestack.external.pfx | Certificado SSL da API do Serviço de Aplicativo |
| ftp.appservice.local.azurestack.external.pfx | Certificado SSL do editor do Serviço de Aplicativo |
| sso.appservice.local.azurestack.external.pfx | Certificado de aplicativo de identidade do Serviço de Aplicativo |
Para criar os certificados, siga estas etapas:
- Entre no host do ASDK usando a conta AzureStack\AzureStackAdmin.
- Abra uma sessão do PowerShell elevada.
- Execute o script Create-AppServiceCerts.ps1 da pasta em que você extraiu os scripts auxiliares. Esse script cria quatro certificados na mesma pasta que o script que o Serviço de Aplicativo precisa para criar certificados.
- Digite uma senha para proteger os arquivos .pfx e anote-a. Você deve inseri-lo mais tarde, no instalador do Serviço de Aplicativo no Azure Stack Hub.
Parâmetros de script Create-AppServiceCerts.ps1
| Parâmetro | Obrigatório ou opcional | Valor padrão | Descrição |
|---|---|---|---|
| pfxPassword | Obrigatório | Nulo | Senha que ajuda a proteger a chave privada do certificado |
| DomainName | Obrigatório | local.azurestack.external | Sufixo de região e domínio do Azure Stack Hub |
Modelo de início rápido para servidor de arquivos para implantações do Serviço de Aplicativo do Azure no ASDK.
Somente para implantações do ASDK, você pode usar o modelo de implantação de exemplo do Azure Resource Manager para implantar um servidor de arquivos de nó único configurado. O servidor de arquivos de nó único estará em um grupo de trabalho.
Observação
A instância do ASDK deve ser capaz de baixar recursos do GitHub para concluir a implantação.
Instância do SQL Server
Para o Serviço de Aplicativo do Azure em bancos de dados de hospedagem e medição do Azure Stack Hub, você deve preparar uma instância do SQL Server para manter os bancos de dados do Serviço de Aplicativo.
Para implantações do ASDK, você pode usar o SQL Server Express 2014 SP2 ou posterior. O SQL Server deve ser configurado para dar suporte à autenticação de Modo Misto porque o Serviço de Aplicativo no Azure Stack Hub NÃO dá suporte à Autenticação do Windows.
A instância do SQL Server para o Serviço de Aplicativo do Azure no Azure Stack Hub deve ser acessível de todas as funções do Serviço de Aplicativo. Você pode implantar o SQL Server na Assinatura do Provedor Padrão no Azure Stack Hub. Ou você pode usar a infraestrutura existente em sua organização (desde que haja conectividade com o Azure Stack Hub). Se você estiver usando uma imagem do Azure Marketplace, lembre-se de configurar o firewall adequadamente.
Observação
Várias imagens de VM de IaaS do SQL estão disponíveis por meio do recurso Gerenciamento do Marketplace. Certifique-se de sempre baixar a versão mais recente da Extensão de IaaS do SQL antes de implantar uma VM usando um item do Marketplace. As imagens SQL são as mesmas que as VMs SQL disponíveis no Azure. Para VMs SQL criadas a partir dessas imagens, a extensão IaaS e os aprimoramentos do portal correspondentes fornecem recursos como aplicação automática de patches e recursos de backup.
Para qualquer função do SQL Server, você pode usar uma instância padrão ou uma instância nomeada. Se você usar uma instância nomeada, inicie manualmente o serviço Navegador do SQL Server e abra a porta 1434.
O instalador do Serviço de Aplicativo verificará se o SQL Server tem a contenção do banco de dados habilitada. Para habilitar a contenção de banco de dados no SQL Server que hospedará os bancos de dados do Serviço de Aplicativo, execute estes comandos SQL:
sp_configure 'contained database authentication', 1;
GO
RECONFIGURE;
GO
Questões de licenciamento para o servidor de arquivos e SQL Server necessários
O Serviço de Aplicativo do Azure no Azure Stack Hub requer um servidor de arquivos e o SQL Server para operar. Você pode usar recursos pré-existentes localizados fora da implantação do Azure Stack Hub ou implantar recursos na Assinatura do Provedor Padrão do Azure Stack Hub.
Se você optar por implantar os recursos em sua Assinatura de Provedor Padrão do Azure Stack Hub, as licenças para esses recursos (Licenças do Windows Server e Licenças do SQL Server) serão incluídas no custo do Serviço de Aplicativo do Azure no Azure Stack Hub, sujeitas às seguintes restrições:
- a infraestrutura é implantada na Assinatura do Provedor Padrão;
- a infraestrutura é usada exclusivamente pelo Serviço de Aplicativo do Azure no provedor de recursos do Azure Stack Hub. Nenhuma outra carga de trabalho, administrativa (outros provedores de recursos, por exemplo: SQL-RP) ou de locatário (por exemplo: aplicativos de locatário, que exigem um banco de dados), tem permissão para usar essa infraestrutura.
Responsabilidade operacional de servidores de arquivos e sql
Os operadores de nuvem são responsáveis pela manutenção e operação do Servidor de Arquivos e do SQL Server. O provedor de recursos não gerencia esses recursos. O operador de nuvem é responsável por fazer backup dos bancos de dados do Serviço de Aplicativo e do compartilhamento de arquivos de conteúdo do locatário.
Recuperar o certificado raiz do Azure Resource Manager para o Azure Stack Hub
Abra uma sessão do PowerShell com privilégios elevados em um computador que possa acessar o ponto de extremidade privilegiado no Sistema Integrado do Azure Stack Hub ou no Host ASDK.
Execute o script Get-AzureStackRootCert.ps1 da pasta em que você extraiu os scripts auxiliares. O script cria um certificado raiz na mesma pasta que o script que o Serviço de Aplicativo precisa para criar certificados.
Ao executar o comando do PowerShell a seguir, você precisa fornecer o ponto de extremidade privilegiado e as credenciais para o AzureStack\CloudAdmin.
Get-AzureStackRootCert.ps1
Parâmetros de script Get-AzureStackRootCert.ps1
| Parâmetro | Obrigatório ou opcional | Valor padrão | Descrição |
|---|---|---|---|
| Ponto de extremidade privilegiado | Obrigatório | AzS-ERCS01 | Ponto de extremidade privilegiado |
| CloudAdminCredential | Obrigatório | AzureStack\CloudAdmin | Credencial de conta de domínio para administradores de nuvem do Azure Stack Hub |
Configuração de rede e identidade
Rede virtual
Observação
A pré-criação de uma rede virtual personalizada é opcional, pois o Serviço de Aplicativo do Azure no Azure Stack Hub pode criar a rede virtual necessária, mas precisará se comunicar com o SQL e o Servidor de Arquivos por meio de endereços IP públicos. Se você usar o modelo de Início Rápido do Servidor de Arquivos HA do Serviço de Aplicativo e do SQL Server para implantar os recursos de pré-requisito do SQL e do Servidor de Arquivos, o modelo também implantará uma rede virtual.
O Serviço de Aplicativo do Azure no Azure Stack Hub permite implantar o provedor de recursos em uma rede virtual existente ou criar uma rede virtual como parte da implantação. O uso de uma rede virtual existente permite o uso de IPs internos para se conectar ao servidor de arquivos e ao SQL Server exigido pelo Serviço de Aplicativo do Azure no Azure Stack Hub. A rede virtual deve ser configurada com o seguinte intervalo de endereços e sub-redes antes de instalar o Serviço de Aplicativo do Azure no Azure Stack Hub:
Rede virtual – /16
Sub-redes
- ControllersSubnet /24
- ManagementServersSubnet /24
- FrontEndsSubnet /24
- PublishersSubnet /24
- WorkersSubnet /21
Importante
Se você optar por implantar o Serviço de Aplicativo em uma rede virtual existente, o SQL Server deverá ser implantado em uma sub-rede separada do Serviço de Aplicativo e do Servidor de Arquivos.
Criar um aplicativo de identidade para habilitar cenários de SSO
O Serviço de Aplicativo do Azure usa um Aplicativo de Identidade (Entidade de Serviço) para dar suporte às seguintes operações:
- Integração do conjunto de dimensionamento de máquinas virtuais em camadas de trabalho.
- SSO para o portal do Azure Functions e ferramentas avançadas de desenvolvedor (Kudu).
Dependendo de qual provedor de identidade o Azure Stack Hub está usando, ID do Microsoft Entra ou ADFS (Serviços de Federação do Active Directory), você deve seguir as etapas apropriadas abaixo para criar a entidade de serviço para uso pelo Serviço de Aplicativo do Azure no provedor de recursos do Azure Stack Hub.
Criar um aplicativo Microsoft Entra
Siga estas etapas para criar a entidade de serviço em seu locatário do Microsoft Entra:
- Abra uma instância do PowerShell como azurestack\AzureStackAdmin.
- Vá para o local dos scripts que você baixou e extraiu na etapa de pré-requisito.
- Instalar o PowerShell para o Azure Stack Hub.
- Execute o script Create-AADIdentityApp.ps1 . Quando solicitado, insira a ID do locatário do Microsoft Entra que você está usando para a implantação do Azure Stack Hub. Por exemplo, insira myazurestack.onmicrosoft.com.
- Na janela Credencial, insira sua conta de administrador de serviço do Microsoft Entra e senha. Selecione OK.
- Insira o caminho do arquivo de certificado e a senha do certificado para o certificado criado anteriormente. O certificado criado para esta etapa por padrão é sso.appservice.local.azurestack.external.pfx.
- Anote a ID do aplicativo retornada na saída do PowerShell. Use a ID nas etapas a seguir para fornecer consentimento para as permissões do aplicativo e durante a instalação.
- Abra uma nova janela do navegador e entre no portal do Azure como administrador do serviço do Microsoft Entra.
- Abra o serviço Microsoft Entra.
- Selecione Registros de Aplicativos no painel esquerdo.
- Procure o ID do aplicativo que você anotou na etapa 7.
- Selecione o registro do aplicativo do Serviço de Aplicativo na lista.
- Selecione Permissões de API no painel de navegação esquerdo.
- Selecione Conceder consentimento do administrador para <locatário>, em que <locatário> é o nome do locatário do Microsoft Entra. Confirme a concessão de consentimento selecionando Sim.
Create-AADIdentityApp.ps1
| Parâmetro | Obrigatório ou opcional | Valor padrão | Descrição |
|---|---|---|---|
| DirectoryTenantName | Obrigatório | Nulo | ID de locatário do Microsoft Entra. Forneça o GUID ou a cadeia de caracteres. Um exemplo é myazureaaddirectory.onmicrosoft.com. |
| AdminArmEndpoint | Obrigatório | Nulo | Ponto de extremidade do Azure Resource Manager de administração. Um exemplo é adminmanagement.local.azurestack.external. |
| InquilinoARMEndpoint | Obrigatório | Nulo | Ponto de extremidade do Azure Resource Manager do locatário. Um exemplo é management.local.azurestack.external. |
| AzureStackAdminCredential | Obrigatório | Nulo | Credencial de administrador de serviço do Microsoft Entra. |
| CertificateFilePath | Obrigatório | Nulo | Caminho completo para o arquivo de certificado de aplicativo de identidade gerado anteriormente. |
| CertificatePassword | Obrigatório | Nulo | Senha que ajuda a proteger a chave privada do certificado. |
| Ambiente | Opcional | AzureCloud | O nome do Ambiente de Nuvem com suporte no qual o Serviço do Graph do Azure Active Directory de destino está disponível. Valores permitidos: 'AzureCloud', 'AzureChinaCloud', 'AzureUSGovernment', 'AzureGermanCloud'. |
Criar um aplicativo ADFS
- Abra uma instância do PowerShell como azurestack\AzureStackAdmin.
- Vá para o local dos scripts que você baixou e extraiu na etapa de pré-requisito.
- Instalar o PowerShell para o Azure Stack Hub.
- Execute o script Create-ADFSIdentityApp.ps1 .
- Na janela Credencial, insira sua conta de administrador de nuvem e senha do AD FS. Selecione OK.
- Forneça o caminho do arquivo de certificado e a senha do certificado para o certificado criado anteriormente. O certificado criado para esta etapa por padrão é sso.appservice.local.azurestack.external.pfx.
Create-ADFSIdentityApp.ps1
| Parâmetro | Obrigatório ou opcional | Valor padrão | Descrição |
|---|---|---|---|
| AdminArmEndpoint | Obrigatório | Nulo | Ponto de extremidade do Azure Resource Manager de administração. Um exemplo é adminmanagement.local.azurestack.external. |
| Ponto de extremidade privilegiado | Obrigatório | Nulo | Ponto de extremidade privilegiado. Um exemplo é AzS-ERCS01. |
| CloudAdminCredential | Obrigatório | Nulo | Credencial de conta de domínio para administradores de nuvem do Azure Stack Hub. Um exemplo é Azurestack\CloudAdmin. |
| CertificateFilePath | Obrigatório | Nulo | Caminho completo para o arquivo PFX de certificado do aplicativo de identidade. |
| CertificatePassword | Obrigatório | Nulo | Senha que ajuda a proteger a chave privada do certificado. |
Baixar itens do Azure Marketplace
O Serviço de Aplicativo do Azure no Azure Stack Hub exige que os itens sejam baixados do Azure Marketplace, disponibilizando-os no Azure Stack Hub Marketplace. Esses itens devem ser baixados antes de iniciar a implantação ou atualização do Serviço de Aplicativo do Azure no Azure Stack Hub:
Importante
O Windows Server Core não é uma imagem de plataforma com suporte para uso com o Serviço de Aplicativo do Azure no Azure Stack Hub.
Não use imagens de avaliação para implantações de produção.
- A versão mais recente da imagem de VM do Windows Server 2022 Datacenter.
Imagem completa da VM do Windows Server 2022 Datacenter com o Microsoft.Net 3.5.1 SP1 ativado. O Serviço de Aplicativo do Azure no Azure Stack Hub requer que o Microsoft .NET 3.5.1 SP1 esteja ativado na imagem usada para implantação. As imagens do Windows Server 2022 distribuídas pelo Marketplace não têm esse recurso habilitado e, em ambientes desconectados, não conseguem acessar o Microsoft Update para baixar os pacotes a serem instalados por meio do DISM. Portanto, você deve criar e usar uma imagem do Windows Server 2022 com esse recurso pré-habilitado com implantações desconectadas.
Consulte Adicionar uma imagem de VM personalizada ao Azure Stack Hub para obter detalhes sobre como criar uma imagem personalizada e adicionar ao Marketplace. Certifique-se de especificar as seguintes propriedades ao adicionar a imagem ao Marketplace:
- Publicador = MicrosoftWindowsServer
- Oferta = WindowsServer
- SKU = AppService
- Versão = Especifique a versão "mais recente"
- Extensão de Script Personalizado v1.9.1 ou superior. Este item é uma extensão de VM.