Aktivera Windows-autentisering för Windows Azure Pack: Webbplatser

 

Gäller för: Windows Azure Pack

Windows Azure Pack: Webbplatser stöder webbplatsintegrering med Active Directory för autentisering. Stöd för programpool gör också att en webbplats kan köras under en angiven identitet som används för att ansluta till databasresurser.

Anteckning

Funktionen Programpoolidentitet stöder för närvarande inte alla direktscenarier och fungerar bara med databaser.

För att Active Directory-autentisering ska kunna aktiveras måste följande villkor vara uppfyllda:

• Alla roller för webbplatsarbetare måste vara domänanslutna till samma Active Directory-domän.

• När ett webbplatsmoln har anslutits till en Active Directory-domän kan endast arbetare som ingår i samma domän läggas till i molnet.

Du kan aktivera Active Directory-autentisering med hjälp av hanteringsportalen eller via PowerShell-kommandon.

Hanteringsportal

Aktivera Active Directory-autentiseringsintegrering med webbplatser administrativt

Aktivera Active Directory via administratörsportalen

1. Öppna fliken Konfigurera webbplatsmoln.

2. I avsnittet Allmänt Inställningar väljer du bland följande tre alternativ för Webbplats Windows-autentisering:

   Inställning	Beskrivning
   Av	Inaktiverar Windows autentisering för webbplatserna i molnet
   Tillåt	Aktiverar Windows autentisering så att klienter kan aktivera den på sina webbplatser
   Kräv	Kräver att alla webbplatser i molnet använder Windows autentisering

När Windows autentisering är administrativt inställt på Kräv, kommer alla klientwebbplatser i webbplatsmolnet att ha Active Directory-integrering på sina webbplatser. Det innebär att en webbplatsklientorganisation inte kan ange en icke-autentiserad upplevelse. Inställningen Kräv ger en försäkran till webbplatsadministratören om att alla webbplatser har skyddats.

När Windows autentisering är administrativt inställd på Tillåt, kan klienter bestämma om de vill att deras webbplatser ska integreras med Active Directory för autentisering. När Tillåt är aktiverat kan klienter ändra enskilda sidor på sin webbplats så att de inte behöver autentisering.

Klientaktivering av Active Directory-autentisering för en webbplats

Klienter kan aktivera Active Directory-integrering på fliken Konfigurera på hanteringsportalen för sin webbplats. Alternativet för att konfigurera Active Directory-integrering är endast aktiverat om administratören har aktiverat det för det webbplatsmoln som webbplatsen tillhör. Beroende på molnadministratörens inställningar kan klienter inaktivera Active Directory-integrering, aktivera den eller göra det nödvändigt.

Så här konfigurerar du Active Directory för en klientwebbplats i klientorganisationshanteringsportalen

1. Öppna webbplatsens fliken Konfigurera .

2. I avsnittet Allmänt väljer du bland följande tre alternativ för Windows-autentisering:

   Inställning	Beskrivning
   Av	Inaktiverar Windows autentisering för webbplatsen
   Tillåt	Gör att Windows-autentisering kan användas på webbplatsen
   Kräv	Kräver att hela webbplatsen använder Windows autentisering

När Windows autentisering har angetts till Kräv skyddas alla sidor på webbplatsen av Active Directory-autentisering. Inställningen Kräv säkerställer webbplatsägaren att autentisering inte kan inaktiveras, även om flera utvecklare uppdaterar samma webbplats.

När Windows autentisering har angetts till Tillåt skyddas webbplatsen av Active Directory för autentisering. Webbplatsutvecklare kan dock fortfarande inaktivera det för enskilda sidor på webbplatsen.

Om molnsystemadministratören har angett Active Directory-autentisering till Kräv kan klientorganisationen inte inaktivera den för sin webbplats.

Aktivera programpoolsidentitet för webbplatser administrativt

Programpoolsidentiteter kan endast aktiveras om alla arbetare i webbwebbplatsmolnet är anslutna till samma Active Directory-domän. Administratörer kan hantera funktionen för programpoolsidentitet från fliken Konfigurera webbplatsmoln.

Aktivera programpoolsidentitet via molnadministratörsportalen

1. Öppna fliken Konfigurera webbplatsmoln.

2. I avsnittet Allmänt Inställningar anger du Anpassad programpoolsidentitet till Tillåt.

Klientaktivering av programpoolsidentitet

Programpoolsidentiteter kan endast aktiveras för en webbplats om webbplatsmolnadministratören har aktiverat användningen av anpassade programpoolsidentiteter för det webbplatsmoln som webbplatsen tillhör. Klientorganisationer kan aktivera programpoolsidentitet på fliken Konfigurera i hanteringsportalen för deras webbplats.

Så här aktiverar du anpassade programpoolsidentiteter på klientwebbplatsens hanteringsportal

1. Öppna fliken Konfigurera webbplatsmoln.

2. I avsnittet Allmänt Inställningar anger du Anpassad programpoolsidentitet till Tillåt.

3. Ange det användarnamn och lösenord som webbplatsen ska köras under.

När den här inställningen har slutförts kan webbplatsen använda den identitet som tillhandahålls för att ansluta till databaser som finns i eller federeras till samma domän som användaren.

PowerShell

Importera PowerShell WebSites-modulen

Börja med att aktivera nödvändiga PowerShell-kommandon genom att köra följande kommando för att importera PowerShell WebSites-modulen:

Import-Module WebSites

Skapa en webbplats

Om du inte redan har en webbplats kan du skapa en med hjälp av Windows Azure Pack: Web Sites Management Portal, eller så kan du använda följande PowerShell-cmdlet. I exemplet ersätter du contoso, adatum och contoso.fabrikam.com med namnet på webbplatsen, ditt prenumerations-ID och det värdnamn som du ska använda.

New-WebSitesSite -Name contoso -SubscriptionId adatum -HostNames contoso.fabrikam.com

Aktivera NTLM Windows-autentisering för en Windows Azure Pack-webbplats

Om du vill aktivera Windows autentisering för webbplatsen kör du följande cmdlet på kontrollanten med alternativet Tillåt. Alternativet Krävs kan användas när du vill låsa autentiseringskonfigurationsavsnitten i webbplatsens applicationhost.config-fil och förhindra att alla web.config fil på platsen, eller något program under platsen, åsidosätter den. I följande exempel ersätter du adatum med ditt prenumerations-ID och contoso med namnet på webbplatsen.

Set-WebSitesSiteConfig -SubscriptionId adatum -Name contoso –WindowsAuthEnabled {Tillåt | Obligatoriskt}

Aktivera Kerberos Windows-autentisering för en Windows Azure Pack-webbplats

Aktivering av Kerberos för en Windows Azure Pack-webbplats omfattar följande:

1. Utfärda samma kommandon för att aktivera Windows autentisering som för aktivering av NTLM-baserad Windows-autentisering.

2. Skapa en domänanvändare på domänservern.

3. Lägg till ett SPN (Service Principal Name) för varje värdnamn på webbplatsen som ska stödja Kerberos.

4. Tilldela domänanvändaren till appPool-identiteten för din prenumeration.

De här stegen förklaras i detalj på följande sätt.

1. Aktivera Windows autentisering

Kör följande cmdlet på kontrollanten med alternativet Tillåt. I exemplet ersätter du adatum med ditt prenumerations-ID och contoso med namnet på webbplatsen.

Set-WebSitesSiteConfig -SubscriptionId adatum -Name contoso –WindowsAuthEnabled {Tillåt | Obligatoriskt}

2. Skapa en domänanvändare på domänservern

Om du vill skapa en domänanvändare kör du följande kommando på domänservern. Ersätt lowprivilegeduser och lösenord med värden som är lämpliga för din miljö.

net users /add lowprivilegeduserpassword

3. Lägg till ett SPN (Service Principal Name) för varje värdnamn på webbplatsen som ska stödja Kerberos

Om du vill lägga till ett SPN (Service Principal Name) för varje värdnamn på platsen som ska stödja Kerberos kör du följande kommando på domänservern. Ersätt contoso.fabrikam.com, domännamn och lowprivilegeduser med de värden som motsvarar din miljö.

Setspn -S http/contoso.fabrikam.comdomännamn\lowprivilegeduser

4. Tilldela domänanvändaren till programpoolen på Windows Azure Pack Web Sites Controller

Om du vill tilldela domänanvändaren som du skapade till programpoolen utför du följande steg på Windows Azure Pack Web Sites Controller. Kör följande kommandon i ett nytt PowerShell-fönster. Ersätt adatum, contoso, domainname, lowprivilegeduser och password med de värden som motsvarar din miljö.

Add-PSSnapin WebHostingSnapin
Set-WebSitesSiteConfig -SubscriptionId adatum -Name contoso -CustomAppPoolIdentity $true -SiteRuntimeUser domainname\lowprivilegeduser -SiteRuntimeUserPassword password

Inaktivera Windows-autentisering för en Windows Azure Pack-webbplats

Om du behöver inaktivera Windows autentisering kör du följande PowerShell-kommando. I exemplet ersätter du adatum med ditt prenumerations-ID och contoso med namnet på webbplatsen.

Set-WebSitesSiteConfig -SubscriptionId adatum -Name contoso –WindowsAuthEnabled Off

Aktivera SQL integrerad autentisering för en Windows Azure Pack-webbplats

Aktivering av SQL integrerad autentisering för en Windows Azure Pack-webbplats omfattar följande steg:

1. Skapa en domänanvändare på domänservern.

2. Bevilja domänanvändarens behörigheter till databasen.

3. Tilldela domänanvändaren till appPool-identiteten för din prenumeration.

De här stegen förklaras i detalj på följande sätt.

1. Skapa en domänanvändare på domänservern

Om du vill skapa en domänanvändare kör du följande kommando på domänservern. Ersätt lowprivilegeduser och lösenord med de värden som motsvarar din miljö.

net users /add lowprivilegeduserpassword

2. På SQL Server beviljar du domänanvändarens databasbehörigheter

Om du vill ge domänanvändaren som du skapade behörigheter till databasen kör du följande kommandon på SQL Server. Ersätt usersdatabasename, domainname\lowprivilegeduser och lowPrivilegedDBUser med de värden som motsvarar din miljö.

använda usersdatabasename;

CREATE LOGIN [domainname\lowprivilegeduser] FROM WINDOWS;

CREATE USER lowPrivilegedDBUser FOR LOGIN [domainname\lowprivilegeduser];

EXEC sp_addrolemember "db_datareader", lowPrivilegedDBUser;

3. Tilldela domänanvändaren till programpoolen på Windows Azure Pack Web Sites Controller

Om du vill tilldela domänanvändaren som du skapade till programpoolen utför du följande steg på Windows Azure Pack Web Sites Controller. Kör följande kommandon i ett nytt PowerShell-fönster. Ersätt adatum, contoso, domainname, lowprivilegeduser och password med de värden som motsvarar din miljö.

Add-PSSnapin WebHostingSnapin Set-WebSitesSiteConfig -SubscriptionId adatum -Name contoso -CustomAppPoolIdentity $true -SiteRuntimeUser domainname\lowprivilegeduser -SiteRuntimeUserPassword password