将租户身份验证网站配置为信任 AD FS
适用于:Windows Azure Pack
下一步是将有关 Windows Azure Active Directory 联合身份验证服务 (AD FS) 的信息添加到租户身份验证网站。 默认情况下,租户管理门户使用 ASP.NET 成员资格提供程序身份验证。 您可以选择将同一 ASP.NET 成员资格提供程序用作 AD FS 中的声明提供程序。 为此,必须在安装租户身份验证站点的任何计算机上运行 Set-MgmtSvcIdentityProviderSettings cmdlet。
选项 1:运行 Set-MgmtSvcIdentityProviderSettings cmdlet
确保您配置的计算机可以访问 AD FS Web 服务元数据终结点。 要验证访问,请打开浏览器,转到您计划用于 –MetadataEndpoint 参数的同一 URI。 如果您可以看到 .xml 文件,则可以访问联合元数据终结点。
在安装身份验证站点的任何计算机上运行 Set-MgmtSvcIdentityProviderSettings cmdlet。
Set-MgmtSvcIdentityProviderSettings -Target Membership -MetadataEndpoint https://< fqdn>/FederationMetadata/2007-06/FederationMetadata.xml -DisableCertificateValidation -ConnectionString 'Server=<some server>;User Id=<user with write permissions to all config databases>;Password=<password>;'下表显示了运行 Set - MgmtSvcIdentityProviderSettings cmdlet 所需的信息。
Cmdlet 参数
必需的信息
-Target
此参数用指示要配置哪个组件。 可能的值:成员身份、Windows。
-MetadataEndpoint
AD FS Web 服务元数据终结点。 使用以下格式的有效、可访问和完整的 URI:https://< AD FS>/FederationMetadata2007-06/FederationMetadata.xml。 在以下 cmdlet 中,用可访问的 AD FS 完全限定域名 (FQDN) 替换 $fqdn。
-ConnectionString
用于连接承载门户和 API 数据库的 Microsoft SQL Server 实例的连接字符串。
选项 2:运行 Windows PowerShell 脚本
确保您配置的计算机可以访问 AD FS Web 服务元数据终结点。 要验证访问,请打开浏览器,转到您计划用于 –MetadataEndpoint 参数的同一 URI。 如果您可以看到 .xml 文件,则可以访问联合元数据终结点。
如果不使用 cmdlet,您可以运行以下 Windows PowerShell 脚本:
$domainName = 'mydomain.com' $adfsPrefix = 'AzurePack-adfs' $dnsName = ($adfsPrefix + "." + $domainName) # Enter Sql Server details here $dbServer = 'AzurePack-sql' $dbUsername = 'sa' $dbPassword = '<SQL_password>' $connectionString = [string]::Format('Data Source={0};User ID={1};Password={2}', $dbServer, $dbUsername, $dbPassword) # Note: Use the \"DisableCertificateValidation\" switch only in test environments. In production environments, all # SSL certificates should be valid. Set-MgmtSvcIdentityProviderSettings -Target Membership ` -MetadataEndpoint https://$dnsName/FederationMetadata/2007-06/FederationMetadata.xml ` -DisableCertificateValidation ` -ConnectionString $connectionString `