将 AD FS 配置为信任管理门户

  • 项目

 

适用于:Windows Azure Pack

Windows Azure Pack (AD FS) 配置Windows Azure Active Directory联合身份验证服务的最后一步是将 AD FS 配置为信任管理门户。

将 AD FS 配置为信任管理门户

  1. 确保配置的计算机可以访问管理员管理门户的 AD FS Web 服务元数据终结点。 若要验证访问权限,请打开浏览器并转到 https://< AdminPortal_endpoint>/FederationMetadata/2007-06/FederationMetadata.xml,其中 <AdminPortal_endpoint> 是管理员管理门户的完全限定域名 (FQDN) 。 如果您可以看到 .xml 文件,则可以访问联合元数据终结点。

  2. 确保配置的计算机可以访问租户管理门户的 AD FS Web 服务元数据终结点。 若要验证访问权限,请打开浏览器并转到 https://< TenantPortal_endpoint>/FederationMetadata/2007-06/FederationMetadata.xml,其中 <TenantPortal_endpoint> 是租户管理门户的 FQDN。 如果您可以看到 .xml 文件,则可以访问联合元数据终结点。

  3. 可选。 如果要将 ASP.NET 成员资格提供程序用作 AD FS 中租户管理门户的默认声明提供程序,请确保配置的计算机可以访问租户身份验证站点的 AD FS Web 服务元数据终结点。 若要验证访问权限,请打开浏览器并转到 https://< TenantAuth_endpoint>/FederationMetadata/2007-06/FederationMetadata.xml,其中 <TenantAuth_endpoint> 是租户身份验证站点的 FQDN。 如果您可以看到 .xml 文件,则可以访问联合元数据终结点。

  4. 在 C:\Program Files\Management Service\MgmtSvc-PowerShellAPI\Samples\Authentication\中查找随 Windows Azure Pack 一起安装的configure-adfs.ps1配置脚本。

  5. 在安装 AD FS 的计算机上运行 configure-adfs.ps1 脚本。

    $tenantSite = 'tenant-AzurePack.contoso.com:30081'
$adminSite = 'admin-AzurePack.contoso.com:30091'
$authSite = 'auth-AzurePack.contoso.com:30071'

# Note: Use the \"allowSelfSignCertificates\" switch only in test environments. In production environments, all 
# SSL certificates should be valid.
& "C:\Program Files\Management Service\MgmtSvc-PowerShellAPI\Samples\configure-adfs.ps1" `
–identityProviderMetadataEndpoint "https://$authSite/federationmetadata/2007-06/federationmetadata.xml" `
-tenantRelyingPartyMetadataEndpoint  "https://$tenantSite/federationmetadata/2007-06/federationmetadata.xml" `
-adminRelyingPartyMetadataEndpoint "https://$adminSite/federationmetadata/2007-06/federationmetadata.xml" `
–allowSelfSignCertificates

    将 tenantSite 和 <adminSite>> 替换为<租户的管理门户的位置和管理员的管理门户。 如果要将 ASP.NET 成员资格提供程序用作 AD FS 中租户管理门户的默认声明提供程序,请将 authSite> 替换为<身份验证站点的位置。

    提供以下参数信息。

    参数

    必需的信息

    -identityProviderMetadataEndpoint

    可选:用于获取租户身份验证网站的联合元数据的终结点。 如果你不想使用 ASP.NET 成员资格提供程序来提供租户标识,请修改脚本,不使用此参数。 还可以删除 Add-AdfsClaimsProviderTrust cmdlt。 这将为租户的管理门户设置信任,并为管理员设置管理门户。

    -tenantRelyingPartyMetadataEndpoint

    获取租户管理门户联合元数据的终结点。

    -adminRelyingPartyMetadataEndpoint

    获取管理员管理门户联合元数据的终结点。