Konfigurera AD FS

 

Gäller för: Windows Azure Pack

Som det första steget för att aktivera Windows Azure Active Directory Federation Services (AD FS) för Windows Azure Pack för Windows Server måste du konfigurera AD FS enligt beskrivningen i följande steg.

Så här konfigurerar du AD FS

1. Om du använder en befintlig AD FS gör du följande:

   1. I AD FS använder du följande adress för att lägga till hanteringsportalen för administratörer och hanteringsportalen för klientorganisationer som förlitande parter:

      <Portal-URI>/federationMetadata/2007-06/Federationmetadata.xml

      Ersätt <portal-URI> med adresserna för hanteringsportalen för administratörer och hanteringsportalen för klienter.

      Till exempel https://www.contosotenant.com/federationMetadata/2007-06/Federationmetadata.xml

   2. Tillämpa följande transformeringsregler på hanteringsportalen för klientorganisationer:

      • Transformera AD-grupper till "grupper"-anspråk

      • Omvandla e-postadress till UPN-anspråk

   3. Hoppa över de återstående stegen och gå till Konfigurera hanteringsportalerna för att lita på AD FS.

2. Om du konfigurerar en ny AD FS aktiverar du AD FS-rollen på den dator som du vill använda för AD FS.

3. Logga in på datorn som domänadministratör. Du har två alternativ för att konfigurera AD FS: Kör cmdleten Install-AdfsFarm eller kör ett skript.

   • Kör cmdleten Install-AdfsFarm för att konfigurera AD FS.

     Install-AdfsFarm –CertificateThumbprint <String> -FederationServiceName <String> -ServiceAccountCredential <PSCredential> -SQLConnectionString <String>
     

     Du måste ange följande information för att köra cmdleten Install-AdfsFarm.

     Cmdlet-parameter	Information som behövs
     – CertificateThumbprint	Tumavtryck för SSL-certifikat (Secure Socket Layer). Certifikatet ska installeras i <local_machine>\My Store.
     -FederationServiceName	Fullständigt kvalificerat domännamn (FQDN) för AD FS-tjänsten.
     -ServiceAccountCredential	Domäntjänstkontot för att köra AD FS.
     -SQLConnectionString	SQL anslutningssträng till en instans av en Microsoft SQL Server som värd för AD FS-databaserna.

   • Eller kör följande skript för att konfigurera AD FS.

     Anteckning

     Du måste installera makecert.exe innan du kör det här skriptet. Du kan också använda IIS för att skapa ett självsignerat certifikat och skicka tumavtrycket i det här skriptet.

     # Set these values:
     $domainName = 'contoso.com'
     $adfsPrefix = 'AzurePack-adfs'
     $username = 'username' 
     $password = 'password'
     $dnsName = ($adfsPrefix + "." + $domainName)
     
     # Generate Self Signed Certificate
     Import-Module -Name 'PKI','WebAdministration'
     # You must install makecert.exe before running this script. Alternatively use the IIS UI to create a self-signed certificate and pass the thumbprint in this script
     
     $item = Get-Item -Path 'IIS:\SslBindings\0.0.0.0!443' -ErrorAction SilentlyContinue
     if (!$item)
     {
     MakeCert.exe -n "CN=$dnsName" -r -pe -sky exchange -ss My -sr LocalMachine -eku 1.3.6.1.5.5.7.3.1
     cert = ,(Get-ChildItem 'Cert:\LocalMachine\My' | Where-Object { $_.Subject -eq "CN=$dnsName" })[0]
     }
     $thumbprint = $cert.Thumbprint
     $securePassword = ConvertTo-SecureString -String $password -Force -AsPlainText
     $adfsServiceCredential = New-Object -TypeName System.Management.Automation.PSCredential -ArgumentList ($domainname + '\' + $username), $securePassword
     
     # If you want to install AD FS with a database, provide this data. Otherwise it will install with the Windows Internal Database (which should be enabled 
     # prior to configuring AD fS)
     $dbServer = 'AzurePack-SQl'
     $dbUsername = 'sa'
     $dbPassword = '<SQL_password>'
     $adfsSqlConnectionString = [string]::Format('Data Source={0};Initial Catalog=master;User ID={1};Password={2}', $dbServer, $dbUsername, $dbPassword)
     
     # Configure AD FS
     Install-AdfsFarm `
         -CertificateThumbprint $thumbprint `
         -FederationServiceName $dnsName `
         -ServiceAccountCredential $adfsServiceCredential `
         -SQLConnectionString $adfsSqlConnectionString `
         -OverwriteConfiguration
     

   Tips

   Om du får felmeddelanden om duplicerade tjänsthuvudnamn (SPN) använder du setspn-verktyget för att ta bort och lägger sedan till SPN igen på följande sätt:

   1. Från en kommandotolk på AD FS-datorn kör du setspn-verktyget för att ta bort det duplicerade SPN:

      setspn -u -d http/$dnsname $username

   2. Från en kommandotolk på AD FS-datorn kör du setspn-verktyget för att lägga till ett nytt SPN:

      setspn -u -s http/$dnsname $username

   Mer information om SPN finns på MSDN-sidan om tjänstens huvudnamn.

Nästa steg

• Konfigurera hanteringsportalerna för att lita på AD FS