Partilhar via


Pré-requisitos para a implementação do Serviço de Aplicações no Azure Stack Hub

Importante

Atualize o Azure Stack Hub para uma versão suportada (ou implante o Kit de Desenvolvimento do Azure Stack mais recente), se necessário, antes de implantar ou atualizar o provedor de recursos (RP) do Serviço de Aplicativo. Certifique-se de ler as notas de versão do RP para saber mais sobre novas funcionalidades, correções e quaisquer problemas conhecidos que possam afetar sua implantação.

Versão mínima suportada do Azure Stack Hub Versão RP do Serviço de Aplicativo
2311 e seguintes 24R1 Instalador (notas de versão)

Antes de implantar o Serviço de Aplicativo do Azure no Azure Stack Hub, você deve concluir as etapas de pré-requisito neste artigo.

Antes de começar

Esta seção lista os pré-requisitos para implantações do sistema integrado e do Azure Stack Development Kit (ASDK).

Pré-requisitos do provedor de recursos

Se você já instalou um provedor de recursos, provavelmente concluiu os seguintes pré-requisitos e pode ignorar esta seção. Caso contrário, conclua estas etapas antes de continuar:

  1. Registe a sua instância do Azure Stack Hub com o Azure, se ainda não o tiver feito. Esta etapa é necessária, pois você estará se conectando e baixando itens do Azure para o marketplace.

  2. Se você não estiver familiarizado com o recurso Gerenciamento do Marketplace do portal do administrador do Azure Stack Hub, revise Baixar itens do marketplace do Azure e publique no Azure Stack Hub. O artigo orienta você pelo processo de download de itens do Azure para o mercado do Azure Stack Hub. Ele abrange cenários conectados e desconectados. Se sua instância do Azure Stack Hub estiver desconectada ou parcialmente conectada, há pré-requisitos adicionais a serem concluídos na preparação para a instalação.

  3. Atualize o diretório inicial do Microsoft Entra. A partir da build 1910, um novo aplicativo deve ser registrado em seu locatário do diretório pessoal. Este aplicativo permitirá que o Azure Stack Hub crie e registre com êxito provedores de recursos mais recentes (como Hubs de Eventos e outros) com seu locatário do Microsoft Entra. Esta é uma ação única que precisa ser feita após a atualização para construir 1910 ou mais recente. Se esta etapa não for concluída, as instalações do provedor de recursos do marketplace falharão.

Scripts de instalação e auxiliar

  1. Baixe os scripts auxiliares de implantação do Serviço de Aplicativo no Azure Stack Hub.

    Nota

    Os scripts auxiliares de implantação exigem o módulo AzureRM PowerShell. Consulte Instalar o módulo AzureRM do PowerShell para o Azure Stack Hub para obter detalhes da instalação.

  2. Baixe o Serviço de Aplicativo no instalador do Azure Stack Hub.

  3. Extraia os arquivos dos scripts auxiliares .zip arquivo. Os seguintes arquivos e pastas são extraídos:

    • Comum.ps1
    • Criar-AADIdentityApp.ps1
    • Create-ADFSIdentityApp.ps1
    • Create-AppServiceCerts.ps1
    • Get-AzureStackRootCert.ps1
    • BCDR
      • ReACL.cmd
    • Pasta Módulos
      • GraphAPI.psm1

Certificados e configuração do servidor (Sistemas Integrados)

Esta seção lista os pré-requisitos para implantações de sistemas integrados.

Requisitos dos certificados

Para executar o provedor de recursos em produção, você deve fornecer os seguintes certificados:

  • Certificado de domínio padrão
  • Certificado API
  • Certificado de publicação
  • Certidão de identidade

Além dos requisitos específicos listados nas seções a seguir, você também usará uma ferramenta posteriormente para testar os requisitos gerais. Consulte Validar certificados PKI do Azure Stack Hub para obter a lista completa de validações, incluindo:

  • Formato de ficheiro de . PFX
  • Uso de chave definido para autenticação de servidor e cliente
  • e vários outros

Certificado de domínio padrão

O certificado de domínio padrão é colocado na função front-end. Os aplicativos de usuário para curinga ou solicitação de domínio padrão para o Serviço de Aplicativo do Azure usam esse certificado. O certificado também é usado para operações de controle do código-fonte (Kudu).

O certificado deve estar no formato .pfx e deve ser um certificado curinga de três assuntos. Esse requisito permite que um certificado cubra o domínio padrão e o ponto de extremidade SCM para operações de controle do código-fonte.

Formato Exemplo
*.appservice.<region>.<DomainName>.<extension> *.appservice.redmond.azurestack.external
*.scm.appservice.<region>.<DomainName>.<extension> *.scm.appservice.redmond.azurestack.external
*.sso.appservice.<region>.<DomainName>.<extension> *.sso.appservice.redmond.azurestack.external

Certificado API

O certificado da API é colocado na função Gerenciamento. O provedor de recursos o usa para ajudar a proteger chamadas de API. O certificado para publicação deve conter um assunto que corresponda à entrada DNS da API.

Formato Exemplo
api.appservice.<região>.<Nome de domínio>.<Extensão> api.appservice.redmond.azurestack.external

Certificado de publicação

O certificado para a função Publicador protege o tráfego FTPS para proprietários de aplicativos quando eles carregam conteúdo. O certificado para publicação deve conter um assunto que corresponda à entrada DNS FTPS.

Formato Exemplo
ftp.appservice.<região>.<Nome de domínio>.<Extensão> ftp.appservice.redmond.azurestack.external

Certidão de identidade

O certificado para o aplicativo de identidade permite:

  • Integração entre o diretório Microsoft Entra ID ou Serviços de Federação do Ative Directory (AD FS), o Azure Stack Hub e o Serviço de Aplicativo para dar suporte à integração com o provedor de recursos de computação.
  • Cenários de logon único para ferramentas avançadas de desenvolvedor no Serviço de Aplicativo do Azure no Azure Stack Hub.

O certificado de identidade deve conter uma entidade que corresponda ao seguinte formato.

Formato Exemplo
sso.appservice.<região>.<Nome de domínio>.<Extensão> sso.appservice.redmond.azurestack.external

Validar certificados

Antes de implantar o provedor de recursos do Serviço de Aplicativo, você deve validar os certificados a serem usados usando a ferramenta Verificador de Preparação do Hub de Pilha do Azure disponível na Galeria do PowerShell. A Ferramenta Verificador de Preparação do Hub de Pilha do Azure valida se os certificados PKI gerados são adequados para a implantação do Serviço de Aplicativo.

Como prática recomendada, ao trabalhar com qualquer um dos certificados PKI do Azure Stack Hub necessários , você deve planejar tempo suficiente para testar e reemitir certificados, se necessário.

Preparar o servidor de arquivos

O Serviço de Aplicativo do Azure requer o uso de um servidor de arquivos. Para implantações de produção, o servidor de arquivos deve ser configurado para ser altamente disponível e capaz de lidar com falhas.

Modelo de início rápido para servidor de arquivos altamente disponível e SQL Server

Agora está disponível um modelo de início rápido de arquitetura de referência que implantará um servidor de arquivos e o SQL Server. Este modelo dá suporte à infraestrutura do Ative Directory em uma rede virtual configurada para dar suporte a uma implantação altamente disponível do Serviço de Aplicativo do Azure no Azure Stack Hub.

Importante

Este modelo é oferecido como uma referência ou exemplo de como você pode implantar os pré-requisitos. Como o Operador do Hub de Pilha do Azure gerencia esses servidores, especialmente em ambientes de produção, você deve configurar o modelo conforme necessário ou exigido pela sua organização.

Nota

A instância do sistema integrado deve ser capaz de baixar recursos do GitHub para concluir a implantação.

Etapas para implantar um servidor de arquivos personalizado

Importante

Se você optar por implantar o Serviço de Aplicativo em uma rede virtual existente, o servidor de arquivos deverá ser implantado em uma Sub-rede separada do Serviço de Aplicativo.

Nota

Se você tiver optado por implantar um servidor de arquivos usando um dos modelos de início rápido mencionados acima, poderá ignorar esta seção, pois os servidores de arquivos são configurados como parte da implantação do modelo.

Aprovisionar grupos e contas no Active Directory
  1. Crie os seguintes grupos de segurança global do Ative Directory:

    • FileShareOwners
    • FileShareUsers
  2. Crie as seguintes contas do Ative Directory como contas de serviço:

    • FileShareOwner
    • FileShareUser

    Como prática recomendada de segurança, os usuários dessas contas (e de todas as funções Web) devem ser exclusivos e ter nomes de usuário e senhas fortes. Defina as senhas com as seguintes condições:

    • Ativar senha nunca expira.
    • Ativar O usuário não pode alterar a senha.
    • Desativar O usuário deve alterar a senha no próximo logon.
  3. Adicione as contas às associações de grupo da seguinte maneira:

    • Adicione FileShareOwner ao grupo FileShareOwners .
    • Adicione FileShareUser ao grupo FileShareUsers .
Provisionar grupos e contas em um grupo de trabalho

Nota

Quando estiver a configurar um servidor de ficheiros, execute todos os comandos seguintes a partir de uma Linha de Comandos do Administrador.
Não use o PowerShell.

Quando você usa o modelo do Azure Resource Manager, os usuários já estão criados.

  1. Execute os comandos a seguir para criar as contas FileShareOwner e FileShareUser. Substitua <password> pelos seus próprios valores.

    net user FileShareOwner <password> /add /expires:never /passwordchg:no
    net user FileShareUser <password> /add /expires:never /passwordchg:no
    
  2. Defina as senhas das contas para nunca expirarem executando os seguintes comandos WMIC:

    WMIC USERACCOUNT WHERE "Name='FileShareOwner'" SET PasswordExpires=FALSE
    WMIC USERACCOUNT WHERE "Name='FileShareUser'" SET PasswordExpires=FALSE
    
  3. Crie os grupos locais FileShareUsers e FileShareOwners e adicione as contas na primeira etapa a eles:

    net localgroup FileShareUsers /add
    net localgroup FileShareUsers FileShareUser /add
    net localgroup FileShareOwners /add
    net localgroup FileShareOwners FileShareOwner /add
    

Provisionar o compartilhamento de conteúdo

O compartilhamento de conteúdo contém conteúdo do site do locatário. O procedimento para provisionar o compartilhamento de conteúdo em um único servidor de arquivos é o mesmo para ambientes do Ative Directory e de grupo de trabalho. Mas é diferente para um cluster de failover no Ative Directory.

Provisionar o compartilhamento de conteúdo em um único servidor de arquivos (Ative Directory ou grupo de trabalho)

Em um único servidor de arquivos, execute os seguintes comandos em um prompt de comando elevado. Substitua o valor for C:\WebSites pelos caminhos correspondentes em seu ambiente.

set WEBSITES_SHARE=WebSites
set WEBSITES_FOLDER=C:\WebSites
md %WEBSITES_FOLDER%
net share %WEBSITES_SHARE% /delete
net share %WEBSITES_SHARE%=%WEBSITES_FOLDER% /grant:Everyone,full

Configurar o controlo de acesso às partilhas de ficheiros

Execute os comandos a seguir em um prompt de comando elevado no servidor de arquivos ou no nó do cluster de failover, que é o proprietário atual do recurso de cluster. Substitua valores em itálico por valores específicos do seu ambiente.

Active Directory

set DOMAIN=<DOMAIN>
set WEBSITES_FOLDER=C:\WebSites
icacls %WEBSITES_FOLDER% /reset
icacls %WEBSITES_FOLDER% /grant Administrators:(OI)(CI)(F)
icacls %WEBSITES_FOLDER% /grant %DOMAIN%\FileShareOwners:(OI)(CI)(M)
icacls %WEBSITES_FOLDER% /inheritance:r
icacls %WEBSITES_FOLDER% /grant %DOMAIN%\FileShareUsers:(CI)(S,X,RA)
icacls %WEBSITES_FOLDER% /grant *S-1-1-0:(OI)(CI)(IO)(RA,REA,RD)

Grupo de Trabalho

set WEBSITES_FOLDER=C:\WebSites
icacls %WEBSITES_FOLDER% /reset
icacls %WEBSITES_FOLDER% /grant Administrators:(OI)(CI)(F)
icacls %WEBSITES_FOLDER% /grant FileShareOwners:(OI)(CI)(M)
icacls %WEBSITES_FOLDER% /inheritance:r
icacls %WEBSITES_FOLDER% /grant FileShareUsers:(CI)(S,X,RA)
icacls %WEBSITES_FOLDER% /grant *S-1-1-0:(OI)(CI)(IO)(RA,REA,RD)

Preparar a instância do SQL Server

Nota

Se você optou por implantar o modelo de início rápido para Servidor de Arquivos Altamente Disponível e SQL Server, poderá ignorar esta seção à medida que o modelo implanta e configura o SQL Server em uma configuração de HA.

Para o Serviço de Aplicativo do Azure no Hub de Stack do Azure hospedando e medindo bancos de dados, você deve preparar uma instância do SQL Server para armazenar os bancos de dados do Serviço de Aplicativo.

Para fins de produção e alta disponibilidade, você deve usar uma versão completa do SQL Server 2014 SP2 ou posterior, habilitar a autenticação de modo misto e implantar em uma configuração altamente disponível.

A instância do SQL Server para o Serviço de Aplicativo do Azure no Hub de Pilha do Azure deve estar acessível de todas as funções do Serviço de Aplicativo. Você pode implantar o SQL Server dentro da Assinatura de Provedor Padrão no Azure Stack Hub. Ou você pode usar a infraestrutura existente em sua organização (desde que haja conectividade com o Azure Stack Hub). Se estiver a utilizar uma imagem do Azure Marketplace, lembre-se de configurar a firewall em conformidade.

Nota

Várias imagens de VM IaaS do SQL estão disponíveis por meio do recurso Gerenciamento do Marketplace. Certifique-se de sempre baixar a versão mais recente da extensão IaaS SQL antes de implantar uma VM usando um item do Marketplace. As imagens SQL são as mesmas que as VMs SQL disponíveis no Azure. Para VMs SQL criadas a partir dessas imagens, a extensão IaaS e os aprimoramentos correspondentes do portal fornecem recursos como patches automáticos e recursos de backup.

Para qualquer uma das funções do SQL Server, você pode usar uma instância padrão ou uma instância nomeada. Se você usar uma instância nomeada, certifique-se de iniciar manualmente o serviço Navegador do SQL Server e abrir a porta 1434.

O instalador do Serviço de Aplicativo verificará se o SQL Server tem a contenção de banco de dados habilitada. Para habilitar a contenção de banco de dados no SQL Server que hospedará os bancos de dados do Serviço de Aplicativo, execute estes comandos SQL:

sp_configure 'contained database authentication', 1;
GO
RECONFIGURE;
GO

Certificados e configuração do servidor (ASDK)

Esta seção lista os pré-requisitos para implantações ASDK.

Certificados necessários para a implantação ASDK do Serviço de Aplicativo do Azure

O script Create-AppServiceCerts.ps1 funciona com a autoridade de certificação do Azure Stack Hub para criar os quatro certificados de que o Serviço de Aplicativo precisa.

Nome de ficheiro Utilizar
_.appservice.local.azurestack.external.pfx Certificado SSL padrão do Serviço de Aplicativo
api.appservice.local.azurestack.external.pfx Certificado SSL da API do Serviço de Aplicativo
ftp.appservice.local.azurestack.external.pfx Certificado SSL do editor do Serviço de Aplicativo
sso.appservice.local.azurestack.external.pfx Certificado de aplicativo de identidade do Serviço de Aplicativo

Para criar os certificados, siga estes passos:

  1. Entre no host ASDK usando a conta AzureStack\AzureStackAdmin.
  2. Abra uma sessão do PowerShell com privilégios elevados.
  3. Execute o script Create-AppServiceCerts.ps1 da pasta onde você extraiu os scripts auxiliares. Esse script cria quatro certificados na mesma pasta que o script que o Serviço de Aplicativo precisa para criar certificados.
  4. Digite uma senha para proteger os arquivos .pfx e anote isso. Você deve inseri-lo mais tarde, no Serviço de Aplicativo no instalador do Azure Stack Hub.

Parâmetros de script Create-AppServiceCerts.ps1

Parâmetro Obrigatório ou opcional Valor predefinido Description
pfxPassword Necessário Nulo Senha que ajuda a proteger a chave privada do certificado
DomainName Necessário local.azurestack.external Região do Azure Stack Hub e sufixo de domínio

Modelo de início rápido para servidor de arquivos para implantações do Serviço de Aplicativo do Azure em ASDK.

Somente para implantações ASDK, você pode usar o exemplo de modelo de implantação do Azure Resource Manager para implantar um servidor de arquivos de nó único configurado. O servidor de arquivos de nó único estará em um grupo de trabalho.

Nota

A instância ASDK deve ser capaz de baixar recursos do GitHub para concluir a implantação.

Instância do SQL Server

Para o Serviço de Aplicativo do Azure no Hub de Stack do Azure hospedando e medindo bancos de dados, você deve preparar uma instância do SQL Server para armazenar os bancos de dados do Serviço de Aplicativo.

Para implantações ASDK, você pode usar o SQL Server Express 2014 SP2 ou posterior. O SQL Server deve ser configurado para dar suporte à autenticação de Modo Misto porque o Serviço de Aplicativo no Azure Stack Hub NÃO dá suporte à Autenticação do Windows.

A instância do SQL Server para o Serviço de Aplicativo do Azure no Hub de Pilha do Azure deve estar acessível de todas as funções do Serviço de Aplicativo. Você pode implantar o SQL Server dentro da Assinatura de Provedor Padrão no Azure Stack Hub. Ou você pode usar a infraestrutura existente em sua organização (desde que haja conectividade com o Azure Stack Hub). Se estiver a utilizar uma imagem do Azure Marketplace, lembre-se de configurar a firewall em conformidade.

Nota

Várias imagens de VM IaaS do SQL estão disponíveis por meio do recurso Gerenciamento do Marketplace. Certifique-se de sempre baixar a versão mais recente da extensão IaaS SQL antes de implantar uma VM usando um item do Marketplace. As imagens SQL são as mesmas que as VMs SQL disponíveis no Azure. Para VMs SQL criadas a partir dessas imagens, a extensão IaaS e os aprimoramentos correspondentes do portal fornecem recursos como patches automáticos e recursos de backup.

Para qualquer uma das funções do SQL Server, você pode usar uma instância padrão ou uma instância nomeada. Se você usar uma instância nomeada, certifique-se de iniciar manualmente o serviço Navegador do SQL Server e abrir a porta 1434.

O instalador do Serviço de Aplicativo verificará se o SQL Server tem a contenção de banco de dados habilitada. Para habilitar a contenção de banco de dados no SQL Server que hospedará os bancos de dados do Serviço de Aplicativo, execute estes comandos SQL:

sp_configure 'contained database authentication', 1;
GO
RECONFIGURE;
GO

Preocupações de licenciamento para o servidor de ficheiros necessário e o SQL Server

O Serviço de Aplicativo do Azure no Azure Stack Hub requer um servidor de arquivos e o SQL Server para operar. Você é livre para usar recursos pré-existentes localizados fora de sua implantação do Azure Stack Hub ou implantar recursos dentro de sua Assinatura de Provedor Padrão do Azure Stack Hub.

Se você optar por implantar os recursos em sua Assinatura de Provedor Padrão do Azure Stack Hub, as licenças para esses recursos (Licenças do Windows Server e Licenças do SQL Server) serão incluídas no custo do Serviço de Aplicativo do Azure no Azure Stack Hub, sujeitas às seguintes restrições:

  • a infraestrutura é implantada na Assinatura de Provedor Padrão;
  • a infraestrutura é usada exclusivamente pelo Serviço de Aplicativo do Azure no provedor de recursos do Azure Stack Hub. Nenhuma outra carga de trabalho, administrativa (outros provedores de recursos, por exemplo: SQL-RP) ou locatária (por exemplo: aplicativos de locatário, que exigem um banco de dados), tem permissão para fazer uso dessa infraestrutura.

Responsabilidade operacional dos servidores file e sql

Os operadores de nuvem são responsáveis pela manutenção e operação do Servidor de Arquivos e do SQL Server. O provedor de recursos não gerencia esses recursos. O operador de nuvem é responsável por fazer backup dos bancos de dados do Serviço de Aplicativo e do compartilhamento de arquivos de conteúdo do locatário.

Recuperar o certificado raiz do Azure Resource Manager para o Azure Stack Hub

Abra uma sessão elevada do PowerShell em um computador que possa alcançar o ponto de extremidade privilegiado no Sistema Integrado do Hub de Pilha do Azure ou no Host ASDK.

Execute o script Get-AzureStackRootCert.ps1 da pasta onde você extraiu os scripts auxiliares. O script cria um certificado raiz na mesma pasta que o script que o Serviço de Aplicativo precisa para criar certificados.

Ao executar o seguinte comando do PowerShell, você precisa fornecer o ponto de extremidade privilegiado e as credenciais para o AzureStack\CloudAdmin.

    Get-AzureStackRootCert.ps1

Parâmetros de script Get-AzureStackRootCert.ps1

Parâmetro Obrigatório ou opcional Valor predefinido Description
PrivilegedEndpoint Necessário AzS-ERCS01 Ponto de extremidade privilegiado
CloudAdminCredential Necessário AzureStack\CloudAdmin Credencial de conta de domínio para administradores de nuvem do Azure Stack Hub

Configuração de rede e identidade

Rede virtual

Nota

A pré-criação de uma rede virtual personalizada é opcional, pois o Serviço de Aplicativo do Azure no Azure Stack Hub pode criar a rede virtual necessária, mas precisará se comunicar com o SQL e o Servidor de Arquivos por meio de endereços IP públicos. Se você usar o Servidor de Arquivos HA do Serviço de Aplicativo e o modelo de Início Rápido do SQL Server para implantar os recursos de pré-requisito do SQL e do Servidor de Arquivos, o modelo também implantará uma rede virtual.

O Serviço de Aplicativo do Azure no Hub de Pilha do Azure permite implantar o provedor de recursos em uma rede virtual existente ou permite criar uma rede virtual como parte da implantação. O uso de uma rede virtual existente permite o uso de IPs internos para se conectar ao servidor de arquivos e ao SQL Server exigido pelo Serviço de Aplicativo do Azure no Azure Stack Hub. A rede virtual deve ser configurada com o seguinte intervalo de endereços e sub-redes antes de instalar o Serviço de Aplicativo do Azure no Azure Stack Hub:

Rede virtual - /16

Sub-redes

  • ControladoresSub-rede /24
  • ManagementServersSubnet /24
  • FrontEndsSubnet /24
  • PublishersSubnet /24
  • TrabalhadoresSubnet /21

Importante

Se você optar por implantar o Serviço de Aplicativo em uma rede virtual existente, o SQL Server deverá ser implantado em uma Sub-rede separada do Serviço de Aplicativo e do Servidor de Arquivos.

Criar um aplicativo de identidade para habilitar cenários de SSO

O Serviço de Aplicativo do Azure usa um Aplicativo de Identidade (Entidade de Serviço) para dar suporte às seguintes operações:

  • A integração do conjunto de dimensionamento da máquina virtual em camadas de trabalho.
  • SSO para o portal Azure Functions e ferramentas avançadas de desenvolvedor (Kudu).

Dependendo de qual provedor de identidade o Azure Stack Hub está usando, Microsoft Entra ID ou Ative Directory Federation Services (ADFS), você deve seguir as etapas apropriadas abaixo para criar a entidade de serviço para uso pelo Serviço de Aplicativo do Azure no provedor de recursos do Azure Stack Hub.

Criar um aplicativo Microsoft Entra

Siga estas etapas para criar a entidade de serviço em seu locatário do Microsoft Entra:

  1. Abra uma instância do PowerShell como azurestack\AzureStackAdmin.
  2. Vá para o local dos scripts que você baixou e extraiu na etapa de pré-requisito.
  3. Instale o PowerShell para Azure Stack Hub.
  4. Execute o script Create-AADIdentityApp.ps1 . Quando lhe for pedido, introduza o ID de inquilino do Microsoft Entra que está a utilizar para a implementação do Azure Stack Hub. Por exemplo, digite myazurestack.onmicrosoft.com.
  5. Na janela Credencial, insira sua conta e senha de administrador do serviço Microsoft Entra. Selecione OK.
  6. Insira o caminho do arquivo de certificado e a senha do certificado criado anteriormente. O certificado criado para esta etapa por padrão é sso.appservice.local.azurestack.external.pfx.
  7. Anote a ID do aplicativo retornada na saída do PowerShell. Você usa a ID nas etapas a seguir para fornecer consentimento para as permissões do aplicativo e durante a instalação.
  8. Abra uma nova janela do navegador e entre no portal do Azure como administrador do serviço Microsoft Entra.
  9. Abra o serviço Microsoft Entra.
  10. Selecione Registros de aplicativos no painel esquerdo.
  11. Procure o ID do aplicativo que você anotou na etapa 7.
  12. Selecione o registro do aplicativo do Serviço de Aplicativo na lista.
  13. Selecione Permissões de API no painel esquerdo.
  14. Selecione Conceder consentimento de administrador para <locatário>, onde <locatário> é o nome do locatário do Microsoft Entra. Confirme a concessão de consentimento selecionando Sim.
    Create-AADIdentityApp.ps1
Parâmetro Obrigatório ou opcional Valor predefinido Description
DirectoryTenantName Necessário Nulo ID de locatário do Microsoft Entra. Forneça o GUID ou a cadeia de caracteres. Um exemplo é myazureaaddirectory.onmicrosoft.com.
AdminArmEndpoint Necessário Nulo Administrador do ponto de extremidade do Azure Resource Manager. Um exemplo é adminmanagement.local.azurestack.external.
InquilinoARMEndpoint Necessário Nulo Ponto de extremidade do Azure Resource Manager do locatário. Um exemplo é management.local.azurestack.external.
AzureStackAdminCredential Necessário Nulo Credencial de administrador do serviço Microsoft Entra.
CertificateFilePath Necessário Nulo Caminho completo para o arquivo de certificado de aplicativo de identidade gerado anteriormente.
CertificatePassword Necessário Nulo Senha que ajuda a proteger a chave privada do certificado.
Environment Opcional AzureCloud O nome do Ambiente de Nuvem suportado no qual o Serviço de Gráfico do Azure Ative Directory de destino está disponível. Valores permitidos: 'AzureCloud', 'AzureChinaCloud', 'AzureUSGovernment', 'AzureGermanCloud'.

Criar um aplicativo ADFS

  1. Abra uma instância do PowerShell como azurestack\AzureStackAdmin.
  2. Vá para o local dos scripts que você baixou e extraiu na etapa de pré-requisito.
  3. Instale o PowerShell para Azure Stack Hub.
  4. Execute o script Create-ADFSIdentityApp.ps1 .
  5. Na janela Credencial, introduza a sua conta de administrador na nuvem e palavra-passe do AD FS. Selecione OK.
  6. Forneça o caminho do arquivo de certificado e a senha do certificado criado anteriormente. O certificado criado para esta etapa por padrão é sso.appservice.local.azurestack.external.pfx.
    Create-ADFSIdentityApp.ps1
Parâmetro Obrigatório ou opcional Valor predefinido Description
AdminArmEndpoint Necessário Nulo Administrador do ponto de extremidade do Azure Resource Manager. Um exemplo é adminmanagement.local.azurestack.external.
PrivilegedEndpoint Necessário Nulo Ponto de extremidade privilegiado. Um exemplo é o AzS-ERCS01.
CloudAdminCredential Necessário Nulo Credencial de conta de domínio para administradores de nuvem do Azure Stack Hub. Um exemplo é Azurestack\CloudAdmin.
CertificateFilePath Necessário Nulo Caminho completo para o arquivo PFX de certificado do aplicativo de identidade.
CertificatePassword Necessário Nulo Senha que ajuda a proteger a chave privada do certificado.

Baixar itens do Azure Marketplace

O Serviço de Aplicativo do Azure no Azure Stack Hub exige que os itens sejam baixados do Azure Marketplace, tornando-os disponíveis no Azure Stack Hub Marketplace. Esses itens devem ser baixados antes de iniciar a implantação ou atualização do Serviço de Aplicativo do Azure no Azure Stack Hub:

Importante

O Windows Server Core não é uma imagem de plataforma com suporte para uso com o Serviço de Aplicativo do Azure no Azure Stack Hub.

Não use imagens de avaliação para implantações de produção.

  1. A versão mais recente da imagem de VM do Windows Server 2022 Datacenter.
  1. Imagem de VM completa do Windows Server 2022 Datacenter com Microsoft.Net 3.5.1 SP1 ativado. O Serviço de Aplicativo do Azure no Azure Stack Hub requer que o Microsoft .NET 3.5.1 SP1 esteja ativado na imagem usada para implantação. As imagens do Windows Server 2022 distribuídas pelo marketplace não têm esse recurso habilitado e, em ambientes desconectados, não conseguem acessar o Microsoft Update para baixar os pacotes a serem instalados via DISM. Portanto, você deve criar e usar uma imagem do Windows Server 2022 com esse recurso pré-habilitado com implantações desconectadas.

    Consulte Adicionar uma imagem de VM personalizada ao Azure Stack Hub para obter detalhes sobre como criar uma imagem personalizada e adicionar ao Marketplace. Certifique-se de especificar as seguintes propriedades ao adicionar a imagem ao Marketplace:

    • Publisher = MicrosoftWindowsServer
    • Oferta = WindowsServer
    • SKU = AppService
    • Versão = Especifique a versão "mais recente"
  1. Extensão de script personalizada v1.9.1 ou superior. Este item é uma extensão VM.

Próximos passos

Instalar o provedor de recursos do Serviço de Aplicativo