Поделиться через

Переконфигурация полных доменных имен и портов в Windows Azure Pack

  • Статья

 

Область применения: Windows Azure Pack

Windows Azure Pack для Windows Server использует систему проверки подлинности на основе утверждений для проверки подлинности и авторизации пользователей. Проверка подлинности выполняется службой токенов безопасности внешнего поставщика удостоверений (IdP-STS). Система доверяет IdP-STS проверку удостоверений пользователей и предоставляет каждому пользователю доверенный набор утверждений. Двусторонняя связь доверия с idP-STS должна быть установлена во время Windows конфигурации Пакета Azure, чтобы изменения конечной точки правильно взаимодействовали с затронутыми компонентами.

Чтобы установить эту связь доверия, следующие Windows компоненты Пакета Azure предоставляют сведения о метаданных.

  • Портал управления для клиентов

  • Портал управления для администраторов

  • Сайт проверки подлинности клиента

  • Сайт проверки подлинности администратора

Предоставляемые данные включают все необходимые данные для доверия, включая сведения о конечной точке различных компонентов. Сведения о конечной точке используются для перенаправления пользователей на idP-STS и обратно в Windows Пакет Azure.

Таким образом, после каждого изменения конфигурации конечной точки для компонента необходимо обновить метаданные и заново установить отношения доверия с использованием обновленных метаданных.

Windows установка и настройка Azure Pack предоставляют значения по умолчанию для предоставленных метаданных и сведений о конечной точке. По умолчанию Windows Пакет Azure использует компьютер и доменное имя в качестве полного доменного имени каждого компонента. Кроме того, для каждого компонента задаются предопределенные номера портов.

Например, если узел машины клиента имеет имя «mytenantmachine», а доменное имя — «contoso.com», то конфигурация портала клиента по умолчанию будет доступна по адресу https://mytenantmachine.contoso.com:30081.

В некоторых случаях значения конечной точки по умолчанию необходимо изменить. Пример:

  • При замене самозаверяющего SSL-сертификата компонента по умолчанию на реальный сертификат полное доменное имя компонента должно соответствовать полному доменному имени сертификата.

  • При использовании подсистемы балансировки нагрузки между несколькими экземплярами компонента необходимо использовать конечную точку подсистемы балансировки нагрузки вместо конечных точек экземпляров компонента.

  • При изменении предварительно определенных портов необходимо обновить Windows параметры порта Azure Pack. Например, для перехода на порт HTTPS по умолчанию 443 требуется обновить параметры порта Windows Пакета Azure.

В таких случаях необходимо обновить метаданные и заново установить отношения доверия, как описано на последующих шагах.

Обновление параметров полного доменного имени и порта

  1. Запустите командлет Set-MgmtSvcFqdn на компьютере, который требуется обновить.

    Set-MgmtSvcFqdn –Namespace <Namsepace Token> -ConnectionString <Connection String> [-FQDN <FQDN>] [-Port <port>] [-Verbose]

    Параметр

    Обязательный или необязательный

    Сведения

    -ConnectionString

    Обязательно

    Этот параметр определяет строку подключения к SQL Server, в которой размещаются Windows хранилища конфигурации Azure Pack.

    Имя базы данных (Initial Catalog) не требуется.

    Учетные данные, включенные в строку, должны иметь разрешения на запись в хранилища конфигураций.

    Пример:

    $connectionString = “Data Source=$server;User ID=$userId;Password=$password”

    $server — адрес SQL Server размещения баз данных конфигурации портала управления.

    $userId — пользователь SQL с разрешениями на запись в базы данных конфигурации портала управления.

    $password — пароль для учетной записи $userId.

    -FQDN

    Необязательный

    Этот параметр служит для указания нового полного доменного имени машины. Замените $fqdn новым полным доменным именем, исключая префикс протокола. Например, mynewfqdn.contoso.com.

    Этот параметр можно опустить, если полное доменное имя не изменялось.

    -Namespace

    Обязательно

    Этот параметр используется для указания настраиваемого компонента. Возможные значения: AdminSite, TenantSite, AuthSite, WindowsAuthSite.

    -Port

    Необязательный

    Этот параметр служит для определения нового порта. Замените $port новым портом. Например, 443. Примечание. При использовании порта HTTPS 443 по умолчанию раздел порта удаляется из конечной точки.

    Этот параметр можно опустить, если порт не изменялся.

  2. В диспетчере служб IIS убедитесь, что значения полного доменного имени и порта были обновлены. Убедитесь также, что полное доменное имя совпадает с именем в SSL-сертификате.

  3. Обновленные значения полного доменного имени и порта будут окончательно распространены в целевых компонентах. Чтобы гарантировать, что это произойдет немедленно, перезапустите веб-сайт.

  4. Повторите шаги 2 и 3 на всех машинах, где размещен компонент.

  5. При необходимости настройте DNS на перенаправление запросов в соответствующее расположение.

  6. Восстановите доверие между всеми соответствующими компонентами, как описано в следующем подразделе.

Восстановите доверие

Windows Azure Pack — это приложение, поддерживающее утверждения, которое использует маркеры и утверждения для проверки подлинности и авторизации конечных пользователей. Такие приложения не используют идентификатор поставщика токена, если токен соответствует некоторым условиям, в частности подписан доверенным ключом. Дополнительные сведения см. в разделе "Приложения с поддержкой утверждений".

При проверке подлинности на основе утверждений система доверяет службе маркеров безопасности создавать токены. Однако это не обязательно означает, что эта служба маркеров безопасности фактически выполняет проверку подлинности пользователей. Служба маркеров безопасности может делегировать запрос проверки подлинности пользователя (или федерации) в другую службу маркеров безопасности, которая является доверенной для нее. Такие цепочки служб маркеров безопасности со взаимным доверием и делегирование запросов обеспечивают гибкость и распространены повсеместно. Возможно бесконечное множество топологий отношений доверия. Администраторы должны выбрать наиболее подходящую топологию для удовлетворения бизнес-требованиям.

Например, можно настроить Windows порталах управления Azure Pack для доверия AD FS для проверки подлинности пользователей. В зависимости от конфигурации службы федерации Active Directory могут выполнить одно из следующих действий.

  • Выполнить проверку подлинности пользователей непосредственно с помощью учетных данных Active Directory с портала управления.

  • Передать запрос к другой службе маркеров безопасности федерации.

Во втором случае можно в качестве другой службы маркеров безопасности можно использовать, например, службу Windows Azure Active Directory Access Control (ACS). Служба ACS, в свою очередь, может перенаправить запрос другой службе маркеров безопасности, например Windows Live. В этом случае Windows Live фактически будет выполнять проверку подлинности пользователя с использованием учетных данных Windows Live. Это один из способов включить проверку подлинности Windows Live, Google или Facebook в Windows Azure Pack.

Важно!

Поскольку конечные точки используются для перенаправления пользователей к следующему компоненту в цепи доверия, все конечные точки должны быть правильно настроены для всех компонентов, чтобы федерация выполнялась успешно.

При изменении конечной точки портала управления необходимо обновить службы маркеров безопасности, которым этот портал непосредственно доверяет.

Убедитесь, что сначала обновляете полное доменное имя и порт в службе маркеров безопасности для URL-адреса метаданных федерации проверяющей стороны, а затем обновляете метаданные.

При изменении конечной точки службы маркеров безопасности необходимо обновить все компоненты, которым она непосредственно доверяет, например порталы управления и другие службы маркеров безопасности.

Администратор должен быть знаком с цепочкой доверия и должен уметь понять, какие компоненты должны обновляться после того или иного изменения конфигурации.

Повторное установление доверия для порталов управления

  1. Если конечная точка STS немедленно доверяется Windows порталу управления Пакетом Azure, необходимо обновить порталы, указав новые сведения о конечной точке. Это можно сделать с помощью командлета PowerShell Set-MgmtSvcRelyingPartySettings на соответствующих машинах.

    Set-MgmtSvcRelyingPartySettings -Target <Targets> –MetadataEndpoint <Metadata Endpoint Full URL> [-ConnectionString <Connection String>] [-DisableCertificateValidation] [-PortalConnectionString <Portal Configuration Store Connection String>] [-ManagementConnectionString <Management Store Connection String>]

    Параметр

    Обязательный или необязательный

    Сведения

    Назначение

    Обязательно

    Этот параметр определяет, какие наборы компонентов следует обновить.

    Допустимые значения для целевых< объектов>:

    Tenant — используется при настройке портала управления для клиентов, уровня API клиентов и уровня API администратора.

    Admin — используется для настройки портала управления для администраторов и уровня API администратора.

    Можно указать один целевой объект или массив целевых объектов.

    MetadataEndpoint

    Обязательно

    Этот параметр определяет полный URL-адрес конечной точки метаданных доверенной службы маркеров безопасности (IdP-STS).

    Допустимые значения для< полного URL-адреса> конечной точки метаданных:

    Допустимый URL-адрес, например:

    http://mysts.contoso.com:1234/FederationMetadata/2007-06/FederationMetadata.xml

    ConnectionString

    Обязателен, если используются PortalConnectionString и ManagementConnectionString.

    Этот параметр определяет строку подключения к SQL Server, в которой размещается хранилище конфигурации портала Windows Azure Pack и хранилище управления.

    Имя базы данных (Initial Catalog) не требуется.

    Если хранилища конфигураций портала или хранилище управления размещены на различных экземплярах SQL Server или используют имена баз данных, отличные от заданных по умолчанию, используйте вместо этого параметры PortalConnectionString и ManagementConnectionString.

    DisableCertificateValidation

    Необязательный

    Не рекомендуется для рабочих сред

    Этот параметр отключает проверку SSL-сертификата.

    Если этот параметр не используется, командлет не сможет получить метаданные, если конечная точка метаданных использует самозаверяющий SSL-сертификат.

    PortalConnectionString

    Необязательно, если не указан параметр ConnectionString

    Используйте этот параметр, чтобы переопределить строку подключения по умолчанию только для хранилища конфигураций.

    Это необходимо сделать, если

    — Хранилище конфигурации портала находится в другом экземпляре SQL.

    — в хранилище конфигураций портала используются разные учетные данные.

    — Вы не хотите использовать строку подключения по умолчанию.

    ManagementConnectionString

    Необязательно, если не указан параметр ConnectionString

    Этот параметр переопределяет строку подключения по умолчанию только для хранилища управления.

    Это необходимо сделать, если

    — Хранилище управления WAP находится в другом экземпляре SQL.

    — в хранилище управления используются разные учетные данные.

    — Вы не хотите использовать строку подключения по умолчанию.

    Пример командлета:

    Set-MgmtSvcRelyingPartySettings –Target Tenant –MetadataEndpoint ‘https://mysts.contoso.com:12345/FederationMetadata/2007-06/FederationMetadata.xml’ -ConnectionString “Data Source=mysqlserver.contoso.com;User ID=myprivilegeduser;Password=mypassword”

    Совет

    • Этот командлет можно использовать на любом компьютере, на котором установлены обновления Windows Azure PowerShell для Windows Пакета Azure.

    • Обновленные параметры будут окончательно применены ко всем компонентам. Чтобы обеспечить более быстрое распространение, вручную перезапустите соответствующие компоненты, чтобы они сразу получили новые значения конфигурации. Если целевой объект — Tenant, то необходимо перезапустить все порталы управления для клиентов, API клиента и компоненты API администратора. Если целевой объект — Admin, то необходимо перезапустить все порталы управления для администраторов и компоненты API администратора.

Восстановите доверие для сайтов проверки подлинности

  1. Если конечная точка STS немедленно доверяется Windows сайту проверки подлинности Azure Pack, необходимо обновить сайты проверки подлинности, указав новые сведения о конечной точке. Это можно сделать с помощью командлета PowerShell Set-MgmtSvcIdentityProviderSettings командлет PowerShell на соответствующих компьютерах.

    Set-MgmtSvcIdentityProviderSettings -Target <Targets> –MetadataEndpoint <Metadata Endpoint Full URL> [-ConfigureSecondary] [-ConnectionString <Connection String>] [-DisableCertificateValidation] [-PortalConnectionString <Portal Configuration Store Connection String>]

    Параметр

    Обязательный или необязательный

    Сведения

    Назначение

    Обязательно

    Этот параметр определяет, какие наборы компонентов следует обновить.

    Допустимые значения для целевых< объектов>:

    Membership — используется для настройки сайта проверки подлинности клиента (Membership).

    Windows — используется для настройки сайта проверки подлинности администратора (Windows).

    Можно указать один целевой объект или массив целевых объектов.

    MetadataEndpoint

    Обязательно

    Этот параметр определяет полный URL-адрес конечной точки метаданных доверенного компонента.

    Допустимые значения для< полного URL-адреса> конечной точки метаданных:

    Допустимый URL-адрес, например:

    http://mysts.contoso.com:1234/FederationMetadata/2007-06/FederationMetadata.xml

    ConfigureSecondary

    Необязательный

    Каждый сайт проверки подлинности поддерживает до двух доверенных проверяющих сторон.

    Используя этот параметр, можно настроить вторую проверяющую сторону вместо переопределения проверяющей стороны по умолчанию.

    ConnectionString

    Обязателен, если не используется PortalConnectionString

    Этот параметр определяет строку подключения к SQL Server, в которой размещаются Windows хранилища конфигурации портала Azure Pack.

    Имя базы данных (Initial Catalog) не требуется.

    Если хранилище конфигураций портала использует имя базы данных, отличное от имени по умолчанию, указывайте вместо этого параметр PortalConnectionString.

    DisableCertificateValidation

    Необязательный

    Не рекомендуется для рабочих сред

    Этот параметр отключает проверку SSL-сертификата.

    Если этот параметр не используется, командлет не сможет получить метаданные, если конечная точка метаданных использует самозаверяющий SSL-сертификат.

    PortalConnectionString

    Необязательно, если не указан параметр ConnectionString

    Используйте этот параметр, чтобы переопределить строку подключения по умолчанию только для хранилища конфигураций.

    Это необходимо сделать, если

    — в хранилище конфигураций портала используются разные учетные данные.

    — Вы не хотите использовать строку подключения по умолчанию.

    Пример командлета:

    Set-MgmtSvcIdentityProviderSettings –Target Membership  –MetadataEndpoint ‘https://mytenantportal.contoso.com:23456/FederationMetadata/2007-06/FederationMetadata.xml’ -ConnectionString “Data Source=mysqlserver.contoso.com;User ID=myprivilegeduser;Password=mypassword”

    Совет

    • Этот командлет можно использовать на любом компьютере, на котором установлены обновления Windows Azure PowerShell для Windows Пакета Azure.

    • Обновленные параметры будут окончательно применены ко всем компонентам. Чтобы обеспечить более быстрое распространение, вручную перезапустите соответствующие компоненты, чтобы они сразу получили новые значения конфигурации. Если целевой объект — Membership, то необходимо перезапустить все сайты проверки подлинности клиента (Membership). Если целевой объект — Admin, то необходимо перезапустить все сайты проверки подлинности администратора (Windows).