Настройка службы федерации Active Directory для Windows Azure Pack

  • Статья

 

Область применения: Windows Azure Pack

По умолчанию Windows Пакет Azure для Windows Server использует следующую проверку подлинности.

Служба

Стандартная проверка подлинности

Портал управления для администраторов

Проверка подлинности Windows

Портал управления для клиентов

Поставщик членства ASP.NET

Вместо использования этих типов проверки подлинности по умолчанию можно также настроить Windows Azure Pack для использования служб федерации Windows Azure Active Directory (AD FS) для проверки подлинности, как описано в следующих шагах. Для этого параметра требуется Windows Server 2012 R2.

Если вы хотите вернуться к проверке подлинности по умолчанию, см. раздел "Переключиться обратно на сайты проверки подлинности по умолчанию Windows Azure Pack".

Примечание

Далее подразумевается, что службы федерации Active Directory еще не настроены в среде. Если они настроены, можно пропустить первый шаг и перейти непосредственно к разделу Configure AD FS to trust the management portals.

  1. Настройка службы федерации Active Directory

  2. Настройка доверенного взаимодействия порталов управления и службы федерации Active Directory

  3. Настройка доверенного взаимодействия сайта проверки подлинности клиента и службы федерации Active Directory

  4. Настройка доверенного взаимодействия службы федерации Active Directory и порталов управления

Рекомендации

Обратите внимание на следующие рекомендации до настройки служб федерации Active Directory.

  • Формат групп пользователей, которые предоставляются установкой служб AD FS, должен соответствовать формату, вводимому в пользовательском интерфейсе. Предписанный формат для добавления групп AD в качестве соадминистраторов имеет вид «домен\псевдоним».

  • Владелец подписки должен быть отдельным пользователем, а не группой.

  • Обычно рекомендуется использовать адрес электронной почты в качестве уникального идентификатора. Генераторы пользовательских утверждений позволяют использовать GUID или другие уникальные идентификаторы, но их применение усложняет добавление соадминистраторов и отдельных пользователей, и обычно следует их избегать.

  • По умолчанию службы AD FS задают куки-файл на клиентской машине, чтобы запомнить выбранный пользователем метод проверки подлинности. Это поведение можно отключить, выполнив следующий командлет Windows PowerShell AD FS:

    Set-ADFSWebConfig –HRDCookieEnabled $false

Дополнительные сведения о развертывании и обслуживании фермы AD FS см. в Обзор служб федерации Active Directory.