Konfigurera hanteringsportalerna för att lita på AD FS
Gäller för: Windows Azure Pack
När du har konfigurerat Active Directory Federations Services (AD FS) måste du konfigurera hanteringsportalen för administratörer och hanteringsportalen för klientorganisationer att lita på AD FS. Du kan antingen köra Set-MgmtSvcRelyingPartySettings-cmdleten eller köra ett Windows PowerShell skript.
Alternativ 1: Kör cmdleten Set-MgmtSvcRelyingPartySettings
Kör cmdleten Set-MgmtSvcRelyingPartySettings på varje dator där administratören eller klientportalen är installerad.
Innan du kör cmdleten Set-MgmtSvcRelyingPartySettings kontrollerar du att den dator som du konfigurerar kan komma åt AD FS-webbtjänstens metadataslutpunkt. Kontrollera åtkomsten genom att öppna en webbläsare och gå till samma URI som du planerar att använda för parametern –MetadataEndpoint. Om du kan visa .xml-filen kan du komma åt federationsmetadataslutpunkten.
Kör nu cmdleten Set-MgmtSvcRelyingPartySettings.
Set-MgmtSvcRelyingPartySettings -Target Tenant -MetadataEndpoint https://<fqdn>/FederationMetadata/2007-06/FederationMetadata.xml -DisableCertificateValidation -ConnectionString 'Server=<some server>;User Id=<user with write permissions to all config databases>;Password=<password>;'Följande tabell visar nödvändig information för att köra cmdleten Set-MgmtSvcRelyingPartySettings.
Cmdlet-parameter
Nödvändig information
-Mål
Den här parametern används för att ange vilken portal som ska konfigureras. Möjliga värden: Admin, Klientorganisation.
-MetadataEndpoint
AD FS-webbtjänstens metadataslutpunkt. Använd en giltig, tillgänglig och fullständig URI i följande format: https://< AD FS>/FederationMetadata/2007-06/FederationMetadata.xml. I följande cmdletar ersätter du $fqdn med ett tillgängligt fullständigt domännamn för AD FS (FQDN).
-ConnectionString
Anslutningssträngen till instansen av Microsoft SQL Server som är värd för konfigurationsdatabasen för hanteringsportalen.
Alternativ 2: Kör ett Windows PowerShell skript
I stället för att använda cmdleten kan du köra följande Windows PowerShell skript på varje dator där administratören eller klientportalen är installerad.
$domainName = 'mydomain.com' $adfsPrefix = 'AzurePack-adfs' $dnsName = ($adfsPrefix + "." + $domainName) # Enter Sql Server details here $dbServer = 'AzurePack-sql' $dbUsername = 'sa' $dbPassword = '<SQL_password>' $connectionString = [string]::Format('Data Source={0};User ID={1};Password={2}', $dbServer, $dbUsername, $dbPassword) # Note: Use the \"DisableCertificateValidation\" switch only in test environments. In production environments, # all SSL certificates should be valid. Set-MgmtSvcRelyingPartySettings -Target Tenant ` -MetadataEndpoint https://$dnsName/FederationMetadata/2007-06/FederationMetadata.xml ` -DisableCertificateValidation -ConnectionString $connectionString
Lägga till användare för att ha åtkomst till hanteringsportalen för administratörer
Om du vill lägga till användare för att ha åtkomst till hanteringsportalen för administratörer måste du köra cmdleten Add-MgmtSvcAdminUser på den dator som är värd för Admin-API:et. Anslutningssträngen ska peka på konfigurationsdatabasen för hanteringsportalen.
Följande kodexempel visar hur användare läggs till för att få åtkomst.
$adminuser = 'domainuser1@mydomain.com' $dbServer = 'AzurePack-sql' $dbUsername = 'sa' $dbPassword = 'SQL_Password' $connectionString = [string]::Format('Server= {0} ;Initial Catalog=Microsoft.MgmtSvc.Store;User Id={1};Password={2};',$dbServer, $dbUsername, $dbPassword) Add-MgmtSvcAdminUser -Principal $adminuser -ConnectionString $connectionstringAnteckning
-
Formatet för $dbuser måste matcha användarens huvudnamn (UPN) som skickas av AD FS.
-
Administratörsanvändare måste vara enskilda användare. Du kan inte lägga till AD-grupper som administratörsanvändare.
-