Konfigurera om FQDN och portar i Windows Azure Pack

Artikel
09/07/2016

Gäller för: Windows Azure Pack

Windows Azure Pack for Windows Server använder anspråksbaserat autentiseringssystem för att autentisera och auktorisera användare. Den här autentiseringen utförs av en extern identitetsproviders säkerhetstokentjänst (IdP-STS). Systemet litar på att IdP-STS verifierar användarnas identitet och anger en betrodd uppsättning anspråk om varje användare. En dubbelriktad förtroenderelation med IdP-STS måste upprättas under Windows Azure Pack-konfiguration så att slutpunktsändringarna kommuniceras korrekt till de berörda komponenterna.

För att upprätta den här förtroenderelationen exponerar följande Windows Azure Pack-komponenter metadatainformation.

Hanteringsportal för klientorganisationer
Hanteringsportal för administratörer
Autentiseringswebbplats för klientorganisation
Admin autentiseringswebbplats

Exponerade data innehåller all nödvändig förtroendeinformation, inklusive slutpunktsinformation för de olika komponenterna. Slutpunktsinformationen används för att omdirigera användare till IdP-STS och tillbaka till Windows Azure Pack.

Varje gång en slutpunktskonfiguration ändras för en komponent måste därför metadatainformationen uppdateras och förtroenderelationen måste återupprättas med hjälp av uppdaterade metadata.

Windows installation och konfiguration av Azure Pack innehåller standardvärden för exponerade metadata och slutpunktsinformation. Som standard använder Windows Azure Pack datorn och domännamnet som fullständigt kvalificerat domännamn (FQDN) för varje komponent. Den anger även fördefinierade portnummer för varje komponent.

Om klientdatorns värdnamn till exempel är "mytenantmachine" och domänen är "contoso.com" blir https://mytenantmachine.contoso.com:30081standardkonfigurationen för klientportalen .

I vissa scenarier måste standardslutpunktsvärdena ändras. Exempel:

Om du uppdaterar en komponents självsignerade standard-SSL-certifikat till ett verkligt certifikat måste komponentens FQDN matcha certifikatets FQDN.
Om du använder en lastbalanserare över flera instanser av en komponent måste du använda lastbalanserarens slutpunkt i stället för slutpunkten för varje komponentinstans.
Om du ändrar de fördefinierade portarna måste du uppdatera portinställningarna för Windows Azure Pack. Om du till exempel ändrar till HTTPS-standardporten 443 måste du uppdatera portinställningarna för Windows Azure Pack.

I sådana fall måste metadatainformationen uppdateras och förtroenderelationen måste återupprättas enligt beskrivningen i följande steg.

Uppdatera FQDN- och portinställningarna

Kör cmdleten Set–MgmtSvcFqdn på den dator som du vill uppdatera.

Set-MgmtSvcFqdn –Namespace <Namsepace Token> -ConnectionString <Connection String> [-FQDN <FQDN>] [-Port <port>] [-Verbose]

Parameter	Obligatoriskt/valfritt	Information
-ConnectionString	Obligatorisk	Den här parametern definierar anslutningssträngen till SQL Server som är värd för Windows Azure Pack-konfigurationslager. Ett databasnamn (ursprunglig katalog) krävs inte. Autentiseringsuppgifter som ingår i strängen måste ha skrivbehörighet till konfigurationsarkiven. Exempel: `$connectionString = “Data Source=$server;User ID=$userId;Password=$password”` $server – adressen till SQL Server som är värd för konfigurationsdatabaserna för hanteringsportalen. $userId – en SQL användare med skrivbehörighet till hanteringsportalens konfigurationsdatabaser. $password – lösenordet för $userId-kontot.
-FQDN	Valfritt	Den här parametern används för att ange det nya fullständiga domännamnet för datorn. Ersätt $fqdn med det nya FQDN,utan att inkludera protokollprefixet. Till exempel mynewfqdn.contoso.com. Du kan utelämna den här parametern om du inte ändrar det fullständiga domännamnet.
-Namnområde	Obligatorisk	Den här parametern används för att ange vilken komponent som ska konfigureras. Möjliga värden: "AdminSite", "TenantSite", "AuthSite", "WindowsAuthSite".
-Port	Valfritt	Den här parametern används för att definiera den nya porten. Ersätt $port med den nya porten. Till exempel 443. Obs! Om du använder HTTPS-standardporten 443 tas portavsnittet bort från slutpunkten. Du kan utelämna den här parametern om du inte ändrar porten.

I Internet Information Services Manager kontrollerar du att FQDN- och portvärdena har uppdaterats. Kontrollera också att FQDN matchar SSL-certifikatet.
De uppdaterade FQDN- och portvärdena sprids så småningom till målkomponenterna. Starta om webbplatsen för att säkerställa att detta sker omedelbart.
Upprepa steg 2 och 3 på alla datorer som är värdar för komponenten.
Om det behövs konfigurerar du DNS för att vidarebefordra begäranden till lämplig plats.
Återupprätta förtroendet mellan alla berörda komponenter enligt instruktionerna i nästa avsnitt.

Återupprätta förtroende

Windows Azure Pack är ett anspråksmedveten app som använder token och anspråk för att autentisera och auktorisera slutanvändare. Sådana program använder inte token utfärdarens identitet, så länge token uppfyller vissa villkor, till exempel att signeras av en betrodd nyckel. Mer information finns i Anspråksmedvetna program.

Med anspråksbaserad autentisering litar ett system på att en STS utfärdar sina token. Det innebär dock inte nödvändigtvis att denna STS faktiskt utför användarautentiseringen. Det är möjligt att STS delegerar begäran om användarautentisering (eller federation) till en annan STS som är betrodd av den första STS. Den här kedjan av sts som litar på varandra och delegerar begäranden är vanlig och flexibel. Det finns oändliga möjliga topologier av förtroenderelationer. Systemadministratörer måste välja den lämpligaste topologin för att uppfylla affärskraven.

Du kan till exempel konfigurera Windows Azure Pack-hanteringsportaler för att lita på AD FS för att autentisera användare. Beroende på AD FS-konfigurationen kan AD FS sedan göra något av följande:

AD FS kan autentisera användare direkt med hjälp av autentiseringsuppgifterna för Active Directory i hanteringsportalen.
AD FS kan federera begäran till en annan STS.

I det andra fallet kan du till exempel använda Windows Azure Access Active Directory Control Service (ACS) som den andra STS. ACS kan sedan federera begäran igen till en annan STS, till exempel Windows Live. I det här fallet autentiserar Windows Live användaren med Windows Live-autentiseringsuppgifter. Det här är ett sätt att aktivera Windows Live-, Google- eller Facebook-autentisering i Windows Azure Pack.

Viktigt

Eftersom slutpunkterna används för att omdirigera användare till nästa komponent i förtroendekedjan måste alla slutpunkter konfigureras korrekt i alla komponenter för att federationen ska lyckas.

Om du ändrar en slutpunkt för hanteringsportalen måste du uppdatera den STS som portalen omedelbart litar på.

Se till att du uppdaterar FQDN och portändringar i STS för url:en för federationsmetadata för förlitande part och uppdatera sedan metadata.

Om du ändrar en STS-slutpunkt måste du uppdatera alla komponenter som är direkt betrodda av den, till exempel hanteringsportaler och andra STS.

Systemadministratören bör känna till förtroendekedjan för att förstå vilka komponenter som måste uppdateras efter en konfigurationsändring.

Återupprätta förtroende för hanteringsportalerna

Om STS-slutpunkten omedelbart är betrodd av en Windows Azure Pack-hanteringsportalen har ändrats måste du uppdatera portalerna med den nya slutpunktsinformationen. Du kan göra detta med hjälp av Set-MgmtSvcRelyingPartySettings PowerShell-cmdlet på relevanta datorer.

Set-MgmtSvcRelyingPartySettings -Target <Targets> –MetadataEndpoint <Metadata Endpoint Full URL> [-ConnectionString <Connection String>] [-DisableCertificateValidation] [-PortalConnectionString <Portal Configuration Store Connection String>] [-ManagementConnectionString <Management Store Connection String>]

Parameter	Obligatoriskt/valfritt	Information
Mål	Obligatorisk	Den här parametern definierar vilken uppsättning komponenter som ska uppdateras. Tillåtna värden för <Mål>: Klientorganisation – Använd det här alternativet för att konfigurera hanteringsportalen för klienter, KLIENT-API-lagret och API-administratörsskiktet. Admin – Använd det här alternativet för att konfigurera hanteringsportalen för administratörer och API-administratörsskiktet. Du kan ange ett enda mål eller en matris med mål.
MetadataEndpoint	Obligatorisk	Den här parametern definierar den fullständiga URL:en för den betrodda IdP-STS-metadataslutpunkten. Tillåtna värden för fullständig URL> för< metadataslutpunkt: En giltig URL, till exempel: http://mysts.contoso.com:1234/FederationMetadata/2007-06/FederationMetadata.xml
Connectionstring	Krävs, såvida inte PortalConnectionString och ManagementConnectionString används.	Den här parametern definierar anslutningssträngen till SQL Server som är värd för Windows konfigurationslager och hanteringsarkiv i Azure Pack-portalen. Ett databasnamn (ursprunglig katalog) krävs inte. Om portalens konfigurationslager eller hanteringsarkiv finns på olika SQL Server instanser eller använder icke-standarddatabasnamn använder du parametrarna PortalConnectionString och ManagementConnectionString i stället.
DisableCertificateValidation	Valfritt Rekommenderas inte för produktionsmiljöer	Den här parametern inaktiverar SSL-certifikatverifiering. Om du inte använder den här parametern kan cmdleten inte hämta metadatainformationen om metadataslutpunkten använder ett självsignerat SSL-certifikat.
PortalConnectionString	Valfritt, såvida inte ConnectionString inte har angetts	Använd den här parametern för att åsidosätta standardanslutningssträngen bara för konfigurationsarkivet. Du bör göra detta när – Portalkonfigurationsarkivet finns på en annan SQL instans. – Portalkonfigurationsarkivet använder olika autentiseringsuppgifter. – Du vill inte använda standardanslutningssträngen.
ManagementConnectionString	Valfritt, såvida inte ConnectionString inte har angetts	Använd den här parametern för att åsidosätta standardanslutningssträngen bara för hanteringsarkivet. Du bör göra detta när – WAP-hanteringsarkivet finns på en annan SQL instans. – Hanteringsarkivet använder olika autentiseringsuppgifter. – Du vill inte använda standardanslutningssträngen.

Exempel-cmdlet:

Set-MgmtSvcRelyingPartySettings –Target Tenant –MetadataEndpoint ‘https://mysts.contoso.com:12345/FederationMetadata/2007-06/FederationMetadata.xml’ -ConnectionString “Data Source=mysqlserver.contoso.com;User ID=myprivilegeduser;Password=mypassword”

Tips

Den här cmdleten kan användas på alla datorer där Windows Azure PowerShell uppdateringar för Windows Azure Pack är installerade.
De uppdaterade inställningarna sprids så småningom till alla berörda komponenter. För snabbare spridning startar du om de berörda komponenterna manuellt för att omedelbart hämta de nya konfigurationsvärdena. Om målet är "Klientorganisation" bör du starta om alla hanteringsportaler för klientorganisationer, klient-API:et och administratörs-API-komponenterna. Om målet är "Admin" bör du starta om alla hanteringsportaler för administratörer och API-komponenter för administratörer.

Återupprätta förtroende för autentiseringsplatserna

Om STS-slutpunkten omedelbart är betrodd av en Windows Azure Pack-autentiseringsplats har ändrats måste du uppdatera autentiseringsplatserna med den nya slutpunktsinformationen. Du kan göra detta genom att använda PowerShell-cmdleten Set-MgmtSvcIdentityProviderSettings PowerShell-cmdlet på relevanta datorer.

Set-MgmtSvcIdentityProviderSettings -Target <Targets> –MetadataEndpoint <Metadata Endpoint Full URL> [-ConfigureSecondary] [-ConnectionString <Connection String>] [-DisableCertificateValidation] [-PortalConnectionString <Portal Configuration Store Connection String>]

Parameter	Obligatoriskt/valfritt	Information
Mål	Obligatorisk	Den här parametern definierar vilken uppsättning komponenter som ska uppdateras. Tillåtna värden för <Mål>: Medlemskap – Använd detta för att konfigurera autentiseringswebbplatsen för klientorganisationen (medlemskap). Windows – Använd det här alternativet för att konfigurera autentiseringswebbplatsen för administratörer (Windows). Du kan ange ett enda mål eller en matris med mål.
MetadataEndpoint	Obligatorisk	Den här parametern definierar den fullständiga URL:en för den betrodda komponentens metadataslutpunkt. Tillåtna värden för fullständig URL> för< metadataslutpunkt: En giltig URL, till exempel: http://mysts.contoso.com:1234/FederationMetadata/2007-06/FederationMetadata.xml
KonfigureraSekondär	Valfritt	Varje autentiseringswebbplats stöder upp till två betrodda förlitande parter. Inkludera den här parametern för att konfigurera en andra förlitande part i stället för att skriva över den förlitande standardparten.
Connectionstring	Krävs, såvida inte PortalConnectionString används	Den här parametern definierar anslutningssträngen till SQL Server som är värd för konfigurationsarkiven för Windows Azure Pack-portalen. Ett databasnamn (ursprunglig katalog) krävs inte. Om portalkonfigurationsarkivet använder ett databasnamn som inte är standard använder du parametern PortalConnectionString i stället.
DisableCertificateValidation	Valfritt Rekommenderas inte för produktionsmiljöer	Den här parametern inaktiverar SSL-certifikatverifiering. Om du inte använder den här parametern kan cmdleten inte hämta metadatainformationen om metadataslutpunkten använder ett självsignerat SSL-certifikat.
PortalConnectionString	Valfritt, såvida inte ConnectionString inte har angetts	Använd den här parametern för att åsidosätta standardanslutningssträngen bara för konfigurationsarkivet. Du bör göra detta när – Portalkonfigurationsarkivet använder olika autentiseringsuppgifter. – Du vill inte använda standardanslutningssträngen.