Integrace AD FS identity s vaším datacenterm centra Azure StackIntegrate AD FS identity with your Azure Stack Hub datacenter

Službu Azure Stack Hub můžete nasadit pomocí Azure Active Directory (Azure AD) nebo Active Directory Federation Services (AD FS) (AD FS) jako zprostředkovatele identity.You can deploy Azure Stack Hub using Azure Active Directory (Azure AD) or Active Directory Federation Services (AD FS) as the identity provider. Před nasazením centra Azure Stack je třeba provést výběr.You must make the choice before you deploy Azure Stack Hub. V propojeném scénáři můžete zvolit Azure AD nebo AD FS.In a connected scenario, you can choose Azure AD or AD FS. V případě odpojeného scénáře se podporuje pouze AD FS.For a disconnected scenario, only AD FS is supported. V tomto článku se dozvíte, jak integrovat AD FS centra Azure Stack do AD FS datového centra.This article shows how to integrate Azure Stack Hub AD FS with your datacenter AD FS.

Důležité

Zprostředkovatele identity nemůžete přepnout bez opětovného nasazení celého řešení centra Azure Stack.You can't switch the identity provider without redeploying the entire Azure Stack Hub solution.

Active Directory Federation Services (AD FS) a grafActive Directory Federation Services and Graph

Nasazení pomocí AD FS umožňuje identitám v existující doménové struktuře služby Active Directory ověřování pomocí prostředků v centru Azure Stack.Deploying with AD FS allows identities in an existing Active Directory forest to authenticate with resources in Azure Stack Hub. Tato existující doménová struktura služby Active Directory vyžaduje nasazení AD FS, aby bylo možné vytvořit AD FS federačního vztahu důvěryhodnosti.This existing Active Directory forest requires a deployment of AD FS to allow the creation of an AD FS federation trust.

Ověřování je jedna část identity.Authentication is one part of identity. Pokud chcete spravovat řízení přístupu na základě role (RBAC) v centru Azure Stack, musí být nakonfigurovaná komponenta grafu.To manage role-based access control (RBAC) in Azure Stack Hub, the Graph component must be configured. Když je delegovaný přístup k prostředku, komponenta grafu vyhledá uživatelský účet v existující doménové struktuře služby Active Directory pomocí protokolu LDAP.When access to a resource is delegated, the Graph component looks up the user account in the existing Active Directory forest using the LDAP protocol.

Architektura AD FS centra Azure Stack

Stávající AD FS je služba tokenů zabezpečení (STS) účtu, která odesílá deklarace do centra Azure Stack AD FS (prostředek STS).The existing AD FS is the account security token service (STS) that sends claims to the Azure Stack Hub AD FS (the resource STS). V centru Azure Stack Automation vytvoří vztah důvěryhodnosti zprostředkovatele deklarací identity s koncovým bodem metadat pro existující AD FS.In Azure Stack Hub, automation creates the claims provider trust with the metadata endpoint for the existing AD FS.

U stávajících AD FS je nutné nakonfigurovat vztah důvěryhodnosti předávající strany.At the existing AD FS, a relying party trust must be configured. Tento krok není proveden automatizací a musí být nakonfigurován pomocí operátoru.This step isn't done by the automation, and must be configured by the operator. Koncový bod VIP Azure Stack centra pro AD FS se dá vytvořit pomocí vzoru https://adfs.<Region>.<ExternalFQDN>/ .The Azure Stack Hub VIP endpoint for AD FS can be created by using the pattern https://adfs.<Region>.<ExternalFQDN>/.

Konfigurace vztahu důvěryhodnosti předávající strany také vyžaduje, abyste nakonfigurovali pravidla transformace deklarace identity, která poskytuje Microsoft.The relying party trust configuration also requires you to configure the claim transformation rules that are provided by Microsoft.

Pro konfiguraci grafu je nutné poskytnout účet služby, který má oprávnění ke čtení v existující službě Active Directory.For the Graph configuration, a service account must be provided that has read permission in the existing Active Directory. Tento účet se vyžaduje jako vstup pro automatizaci k povolení scénářů RBAC.This account is required as input for the automation to enable RBAC scenarios.

Pro poslední krok je pro výchozí předplatné zprostředkovatele nakonfigurovaný nový vlastník.For the last step, a new owner is configured for the default provider subscription. Tento účet má úplný přístup ke všem prostředkům, pokud se přihlásíte na portál pro správu centra Azure Stack.This account has full access to all resources when signed in to the Azure Stack Hub administrator portal.

Požadavky:Requirements:

SoučástComponent PožadavekRequirement
GraphGraph Microsoft Active Directory 2012/2012 R2/2016 2019Microsoft Active Directory 2012/2012 R2/2016 2019
AD FSAD FS Windows Server 2012/2012 R2/2016 2019Windows Server 2012/2012 R2/2016 2019

Nastavení integrace grafuSetting up Graph integration

Graf podporuje pouze integraci s jednou doménovou strukturou služby Active Directory.Graph only supports integration with a single Active Directory forest. Pokud existuje více doménových struktur, bude k načtení uživatelů a skupin použita pouze doménová struktura zadaná v konfiguraci.If multiple forests exist, only the forest specified in the configuration will be used to fetch users and groups.

Jako vstupy pro parametry automatizace se vyžadují tyto informace:The following information is required as inputs for the automation parameters:

ParametrParameter Parametr listu nasazeníDeployment Worksheet Parameter PopisDescription PříkladExample
CustomADGlobalCatalog AD FS plně kvalifikovaný název domény doménové strukturyAD FS Forest FQDN Plně kvalifikovaný název domény cílové doménové struktury služby Active Directory, se kterou chcete integrovatFQDN of the target Active Directory forest that you want to integrate with Contoso.comContoso.com
CustomADAdminCredentials Uživatel s oprávněním ke čtení protokolu LDAPA user with LDAP Read permission YOURDOMAIN\graphserviceYOURDOMAIN\graphservice

Konfigurace lokalit služby Active DirectoryConfigure Active Directory Sites

Pro nasazení služby Active Directory s více lokalitami nakonfigurujte nejbližší lokalitu služby Active Directory na nasazení centra Azure Stack.For Active Directory deployments having multiple sites, configure the closest Active Directory Site to your Azure Stack Hub deployment. Konfigurace zabraňuje tomu, aby služba grafu Azure Stack hub přeložila dotazy pomocí serveru globálního katalogu ze vzdálené lokality.The configuration avoids having the Azure Stack Hub Graph service resolve queries using a Global Catalog Server from a remote site.

Přidejte síť veřejných virtuálních IP adres centra Azure Stack k lokalitě služby Active Directory nejbližší k centru Azure Stack.Add the Azure Stack Hub Public VIP network subnet to the Active Directory Site closest to Azure Stack Hub. Řekněme například, že vaše služba Active Directory má dvě lokality: Seattle a Redmond.For example, let's say your Active Directory has two sites: Seattle and Redmond. Pokud je v lokalitě Praha nasazený Azure Stack hub, přidáte do lokality služby Active Directory pro Seattle síť veřejnou virtuální IP adresu centra Azure Stack.If Azure Stack Hub is deployed at the Seattle site, you would add the Azure Stack Hub Public VIP network subnet to the Active Directory site for Seattle.

Další informace o lokalitách služby Active Directory najdete v tématu navrhování topologie lokality.For more information on Active Directory Sites, see Designing the site topology.

Poznámka

Pokud se vaše služba Active Directory skládá z jedné lokality, můžete tento krok přeskočit.If your Active Directory consist of a single site, you can skip this step. Pokud máte nakonfigurované nastavení catch-All Subnet, ověřte, že není součástí podsítě sítě veřejných VIP centra Azure Stack.If you have a catch-all subnet configured, validate that the Azure Stack Hub Public VIP network subnet isn't part of it.

Vytvoření uživatelského účtu v existující službě Active Directory (volitelné)Create user account in the existing Active Directory (optional)

Volitelně můžete vytvořit účet pro službu Graph Service v existující službě Active Directory.Optionally, you can create an account for the Graph service in the existing Active Directory. Tento krok proveďte, pokud ještě nemáte účet, který chcete použít.Do this step if you don't already have an account that you want to use.

  1. V existující službě Active Directory vytvořte následující uživatelský účet (doporučení):In the existing Active Directory, create the following user account (recommendation):

    • Uživatelské jméno: graphserviceUsername: graphservice
    • Heslo: použijte silné heslo a nakonfigurujte heslo tak, aby nikdy nevypršela platnost.Password: Use a strong password and configure the password to never expire.

    Nevyžadují se žádná zvláštní oprávnění ani členství.No special permissions or membership is required.

Spuštění automatizace pro konfiguraci grafuTrigger automation to configure graph

Pro tento postup použijte počítač v síti datového centra, který může komunikovat s privilegovaným koncovým bodem v centru Azure Stack.For this procedure, use a computer in your datacenter network that can communicate with the privileged endpoint in Azure Stack Hub.

  1. Otevřete relaci Windows PowerShellu se zvýšenými oprávněními (Spustit jako správce) a připojte se k IP adrese privilegovaného koncového bodu.Open an elevated Windows PowerShell session (run as administrator), and connect to the IP address of the privileged endpoint. K ověření použijte přihlašovací údaje pro CloudAdmin .Use the credentials for CloudAdmin to authenticate.

    $creds = Get-Credential
    $pep = New-PSSession -ComputerName <IP Address of ERCS> -ConfigurationName PrivilegedEndpoint -Credential $creds
    
  2. Teď, když máte relaci s privilegovaným koncovým bodem, spusťte následující příkaz:Now that you have a session with the privileged endpoint, run the following command:

    Spusťte níže uvedený skript pro Azure Stack centrum sestavení 2008 a novější.Run the below script for Azure Stack Hub build 2008 and newer

     $i = @(
            [pscustomobject]@{ 
                      CustomADGlobalCatalog="fabrikam.com"
                      CustomADAdminCredential= get-credential
                      SkipRootDomainValidation = $false 
                      ValidateParameters = $true
                    }) 
    
     Invoke-Command -Session $pep -ScriptBlock {Register-DirectoryService -customCatalog $using:i} 
    
    
    

    Spusťte níže uvedený skript pro Azure Stack sestavení centra před 2008Run the below script for Azure Stack Hub build prior to 2008

    Invoke-Command -Session $pep -ScriptBlock {Register-DirectoryService -CustomADGlobalCatalog contoso.com} 
    
    
    

    Po zobrazení výzvy zadejte pověření pro uživatelský účet, který chcete použít pro službu Graph Service (například graphservice).When prompted, specify the credential for the user account that you want to use for the Graph service (such as graphservice). Vstup pro rutinu Register-DirectoryService musí být název doménové struktury nebo kořenová doména v doménové struktuře, nikoli žádná jiná doména v doménové struktuře.The input for the Register-DirectoryService cmdlet must be the forest name / root domain in the forest rather than any other domain in the forest.

    Důležité

    Počkejte, než se automaticky otevírané okno s přihlašovacími údaji (Get-Credential v privilegovaném koncovém bodu nepodporuje) a zadejte přihlašovací údaje účtu služby Graph.Wait for the credentials pop-up (Get-Credential isn't supported in the privileged endpoint) and enter the Graph Service Account credentials.

  3. Rutina Register-DirectoryService má volitelné parametry, které můžete použít v určitých situacích, kdy se nepovede existující ověření služby Active Directory.The Register-DirectoryService cmdlet has optional parameters that you can use in certain scenarios where the existing Active Directory validation fails. Po spuštění této rutiny ověří, že zadaná doména je kořenovou doménou, může být dostupný server globálního katalogu a že má zadaný účet udělený přístup pro čtení.When this cmdlet is executed, it validates that the provided domain is the root domain, a global catalog server can be reached, and that the provided account is granted read access.

    ParametrParameter PopisDescription
    SkipRootDomainValidation Určuje, že se místo Doporučené kořenové domény musí použít podřízená doména.Specifies that a child domain must be used instead of the recommended root domain.
    ValidateParameters Obchází všechny kontroly ověřování.Bypasses all validation checks.

Protokoly a porty grafuGraph protocols and ports

Služba Graph Service v centru Azure Stack používá následující protokoly a porty ke komunikaci s zapisovatelým serverem globálního katalogu (GC) a služba KDC (Key Distribution Center) (KDC), který může zpracovávat požadavky na přihlášení v cílové doménové struktuře služby Active Directory.Graph service in Azure Stack Hub uses the following protocols and ports to communicate with a writeable Global Catalog Server (GC) and Key Distribution Center (KDC) that can process login requests in the target Active Directory forest.

Služba Graph Service v centru Azure Stack používá ke komunikaci s cílovou službou Active Directory následující protokoly a porty:Graph service in Azure Stack Hub uses the following protocols and ports to communicate with the target Active Directory:

TypType PortPort ProtokolProtocol
LDAPLDAP 389389 TCP & UDPTCP & UDP
PROTOKOL LDAP SSLLDAP SSL 636636 TCPTCP
GC PROTOKOLU LDAPLDAP GC 32683268 TCPTCP
PROTOKOL SSL GC PROTOKOLU LDAPLDAP GC SSL 32693269 TCPTCP

Nastavení integrace AD FS stažením federačních metadatSetting up AD FS integration by downloading federation metadata

Pro parametry automatizace se jako vstup vyžadují tyto informace:The following information is required as input for the automation parameters:

ParametrParameter Parametr listu nasazeníDeployment Worksheet Parameter PopisDescription PříkladExample
CustomAdfsNameCustomAdfsName Název poskytovatele AD FSAD FS Provider Name Název zprostředkovatele deklarací identity.Name of the claims provider.
Toto zobrazení se zobrazí na AD FS cílové stránce.It appears that way on the AD FS landing page.
ContosoContoso
CustomADCustomAD
FSFederationMetadataEndpointUriFSFederationMetadataEndpointUri
Identifikátor URI AD FS metadatAD FS Metadata URI Odkaz federačních metadatFederation metadata link. https: / /ad01.contoso.com/federationmetadata/2007-06/federationmetadata.xmlhttps://ad01.contoso.com/federationmetadata/2007-06/federationmetadata.xml
SigningCertificateRevocationCheckSigningCertificateRevocationCheck Není k dispoziciNA Volitelný parametr pro přeskočení kontroly CRLOptional Parameter to skip CRL checking. ŽádnáNone

Aktivace automatizace pro konfiguraci vztahu důvěryhodnosti zprostředkovatele deklarací v centru Azure StackTrigger automation to configure claims provider trust in Azure Stack Hub

Pro tento postup použijte počítač, který může komunikovat s privilegovaným koncovým bodem v centru Azure Stack.For this procedure, use a computer that can communicate with the privileged endpoint in Azure Stack Hub. Očekávalo se, že certifikát používaný účtem STS AD FS důvěřuje Azure Stackm centru.It's expected that the certificate used by the account STS AD FS is trusted by Azure Stack Hub.

  1. Otevřete relaci Windows PowerShellu se zvýšenými oprávněními a připojte se k privilegovanému koncovému bodu.Open an elevated Windows PowerShell session and connect to the privileged endpoint.

    $creds = Get-Credential
    Enter-PSSession -ComputerName <IP Address of ERCS> -ConfigurationName PrivilegedEndpoint -Credential $creds
    
  2. Teď, když jste připojeni k privilegovanému koncovému bodu, spusťte následující příkaz pomocí parametrů odpovídajících vašemu prostředí:Now that you're connected to the privileged endpoint, run the following command using the parameters appropriate for your environment:

    Register-CustomAdfs -CustomAdfsName Contoso -CustomADFSFederationMetadataEndpointUri https://win-SQOOJN70SGL.contoso.com/federationmetadata/2007-06/federationmetadata.xml
    
  3. Spuštěním následujícího příkazu aktualizujte vlastníka výchozího předplatného poskytovatele pomocí parametrů, které jsou vhodné pro vaše prostředí:Run the following command to update the owner of the default provider subscription using the parameters appropriate for your environment:

    Set-ServiceAdminOwner -ServiceAdminOwnerUpn "administrator@contoso.com"
    

Nastavení integrace AD FS poskytnutím souboru federačních metadatSetting up AD FS integration by providing federation metadata file

Počínaje verzí 1807 použijte tuto metodu, pokud jsou splněné některé z následujících podmínek:Beginning with version 1807, use this method if the either of the following conditions are true:

  • Řetěz certifikátů se liší od AD FS ve srovnání se všemi ostatními koncovými body v centru Azure Stack.The certificate chain is different for AD FS compared to all other endpoints in Azure Stack Hub.
  • Neexistuje žádné síťové připojení ke stávajícímu AD FS serveru z instance AD FS centra Azure Stack.There's no network connectivity to the existing AD FS server from Azure Stack Hub's AD FS instance.

Pro parametry automatizace se jako vstup vyžadují tyto informace:The following information is required as input for the automation parameters:

ParametrParameter PopisDescription PříkladExample
CustomAdfsNameCustomAdfsName Název zprostředkovatele deklarací identity.Name of the claims provider. Toto zobrazení se zobrazí na AD FS cílové stránce.It appears that way on the AD FS landing page. ContosoContoso
CustomADFSFederationMetadataFileContentCustomADFSFederationMetadataFileContent Obsah metadatMetadata content. $using: federationMetadataFileContent$using:federationMetadataFileContent

Vytvořit soubor federačních metadatCreate federation metadata file

Pro následující postup musíte použít počítač, který má síťové připojení ke stávajícímu AD FS nasazení, které se staly účtem STS.For the following procedure, you must use a computer that has network connectivity to the existing AD FS deployment, which becomes the account STS. Musí být nainstalované taky potřebné certifikáty.The necessary certificates must also be installed.

  1. Otevřete relaci Windows PowerShellu se zvýšenými oprávněními a spusťte následující příkaz s použitím parametrů odpovídajících vašemu prostředí:Open an elevated Windows PowerShell session, and run the following command using the parameters appropriate for your environment:

     $url = "https://win-SQOOJN70SGL.contoso.com/FederationMetadata/2007-06/FederationMetadata.xml"
     $webclient = New-Object System.Net.WebClient
     $webclient.Encoding = [System.Text.Encoding]::UTF8
     $metadataAsString = $webclient.DownloadString($url)
     Set-Content -Path c:\metadata.xml -Encoding UTF8 -Value $metadataAsString
    
  2. Zkopírujte soubor metadat do počítače, který může komunikovat s privilegovaným koncovým bodem.Copy the metadata file to a computer that can communicate with the privileged endpoint.

Aktivace automatizace pro konfiguraci vztahu důvěryhodnosti zprostředkovatele deklarací v centru Azure StackTrigger automation to configure claims provider trust in Azure Stack Hub

Pro tento postup použijte počítač, který může komunikovat s privilegovaným koncovým bodem v centru Azure Stack a má přístup k souboru metadat, který jste vytvořili v předchozím kroku.For this procedure, use a computer that can communicate with the privileged endpoint in Azure Stack Hub and has access to the metadata file you created in a previous step.

  1. Otevřete relaci Windows PowerShellu se zvýšenými oprávněními a připojte se k privilegovanému koncovému bodu.Open an elevated Windows PowerShell session and connect to the privileged endpoint.

    $federationMetadataFileContent = get-content c:\metadata.xml
    $creds=Get-Credential
    Enter-PSSession -ComputerName <IP Address of ERCS> -ConfigurationName PrivilegedEndpoint -Credential $creds
    
  2. Teď, když jste připojeni k privilegovanému koncovému bodu, spusťte následující příkaz pomocí parametrů odpovídajících vašemu prostředí:Now that you're connected to the privileged endpoint, run the following command using the parameters appropriate for your environment:

    Register-CustomAdfs -CustomAdfsName Contoso -CustomADFSFederationMetadataFileContent $using:federationMetadataFileContent
    
  3. Spuštěním následujícího příkazu aktualizujte vlastníka výchozího předplatného poskytovatele.Run the following command to update the owner of the default provider subscription. Použijte parametry vhodné pro vaše prostředí.Use the parameters appropriate for your environment.

    Set-ServiceAdminOwner -ServiceAdminOwnerUpn "administrator@contoso.com"
    

    Poznámka

    Když otočíte certifikát na existující AD FS (účet STS), musíte nastavit integraci AD FS znovu.When you rotate the certificate on the existing AD FS (account STS), you must set up the AD FS integration again. Integraci je nutné nastavit i v případě, že je koncový bod metadat dostupný nebo byl nakonfigurován tak, že poskytuje soubor metadat.You must set up the integration even if the metadata endpoint is reachable or it was configured by providing the metadata file.

Nakonfigurovat předávající stranu pro existující nasazení AD FS (účet STS)Configure relying party on existing AD FS deployment (account STS)

Společnost Microsoft poskytuje skript, který konfiguruje vztah důvěryhodnosti předávající strany, včetně pravidel transformace deklarace identity.Microsoft provides a script that configures the relying party trust, including the claim transformation rules. Použití skriptu je volitelné, protože příkazy můžete spustit ručně.Using the script is optional as you can run the commands manually.

Pomocný skript si můžete stáhnout z Azure Stack nástrojů centra na GitHubu.You can download the helper script from Azure Stack Hub Tools on GitHub.

Pokud se rozhodnete tyto příkazy spustit ručně, postupujte následovně:If you decide to manually run the commands, follow these steps:

  1. Zkopírujte následující obsah do souboru. txt (například uložený jako c:\ClaimIssuanceRules.txt) do instance AD FS vašeho datového centra nebo člena farmy:Copy the following content into a .txt file (for example, saved as c:\ClaimIssuanceRules.txt) on your datacenter's AD FS instance or farm member:

    @RuleTemplate = "LdapClaims"
    @RuleName = "Name claim"
    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"]
    => issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name"), query = ";userPrincipalName;{0}", param = c.Value);
    
    @RuleTemplate = "LdapClaims"
    @RuleName = "UPN claim"
    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"]
    => issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"), query = ";userPrincipalName;{0}", param = c.Value);
    
    @RuleTemplate = "LdapClaims"
    @RuleName = "ObjectID claim"
    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid"]
    => issue(Type = "http://schemas.microsoft.com/identity/claims/objectidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType);
    
    @RuleName = "Family Name and Given claim"
    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"]
    => issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname", "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname"), query = ";sn,givenName;{0}", param = c.Value);
    
    @RuleTemplate = "PassThroughClaims"
    @RuleName = "Pass through all Group SID claims"
    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"]
    => issue(claim = c);
    
    @RuleTemplate = "PassThroughClaims"
    @RuleName = "Pass through all windows account name claims"
    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]
    => issue(claim = c);
    
  2. Ověřte, jestli je povolené ověřování na základě model Windows Forms pro extranet a intranet.Validate that Windows Forms-based authentication for extranet and intranet is enabled. Spuštěním následující rutiny můžete ověřit, jestli už je povolená:You can check if its already enabled by running the following cmdlet:

    Get-AdfsAuthenticationProvider | where-object { $_.name -eq "FormsAuthentication" } | select Name, AllowedForPrimaryExtranet, AllowedForPrimaryIntranet
    

    Poznámka

    Pro vaše nasazení AD FS můžou být zastaralá podporovaná řetězce uživatelského agenta Windows Integrated Authentication (WIA) a můžou vyžadovat aktualizaci pro podporu nejnovějších klientů.The Windows Integrated Authentication (WIA) supported user agent strings may be outdated for your AD FS deployment and may require an update to support the latest clients. Další informace o aktualizaci řetězců uživatelského agenta podporovaného zařízením WIA najdete v článku Konfigurace ověřování na základě intranetových formulářů pro zařízení, která nepodporují WIA.You can read more about updating the WIA supported user agent strings in the article Configuring intranet forms-based authentication for devices that don't support WIA.

    Postup pro povolení zásad ověřování na základě formulářů najdete v tématu Konfigurace zásad ověřování.For steps to enable Form-based authentication policy, see Configure Authentication Policies.

  3. Chcete-li přidat vztah důvěryhodnosti předávající strany, spusťte následující příkaz prostředí Windows PowerShell na instanci AD FS nebo členu farmy.To add the relying party trust, run the following Windows PowerShell command on your AD FS instance or a farm member. Nezapomeňte aktualizovat koncový bod AD FS a Ukázat na soubor vytvořený v kroku 1.Make sure to update the AD FS endpoint and point to the file created in Step 1.

    Pro AD FS 2016/2019For AD FS 2016/2019

    Add-ADFSRelyingPartyTrust -Name AzureStack -MetadataUrl "https://YourAzureStackADFSEndpoint/FederationMetadata/2007-06/FederationMetadata.xml" -IssuanceTransformRulesFile "C:\ClaimIssuanceRules.txt" -AutoUpdateEnabled:$true -MonitoringEnabled:$true -enabled:$true -AccessControlPolicyName "Permit everyone" -TokenLifeTime 1440
    

    Pro AD FS 2012/2012 R2For AD FS 2012/2012 R2

    Add-ADFSRelyingPartyTrust -Name AzureStack -MetadataUrl "https://YourAzureStackADFSEndpoint/FederationMetadata/2007-06/FederationMetadata.xml" -IssuanceTransformRulesFile "C:\ClaimIssuanceRules.txt" -AutoUpdateEnabled:$true -MonitoringEnabled:$true -enabled:$true -TokenLifeTime 1440
    

    Důležité

    K nakonfigurování autorizačních pravidel vystavování při použití Windows Serveru 2012 nebo 2012 R2 AD FS je nutné použít modul snap-in AD FS MMC.You must use the AD FS MMC snap-in to configure the Issuance Authorization Rules when using Windows Server 2012 or 2012 R2 AD FS.

  4. Pokud k přístupu k centru Azure Stack používáte Internet Explorer nebo prohlížeč Microsoft Edge, je nutné ignorovat vazby tokenů.When you use Internet Explorer or the Microsoft Edge browser to access Azure Stack Hub, you must ignore token bindings. V opačném případě se pokusy o přihlášení nezdařily.Otherwise, the sign-in attempts fail. Na AD FS instanci nebo členu farmy spusťte následující příkaz:On your AD FS instance or a farm member, run the following command:

    Poznámka

    Tento krok se nedá použít, pokud používáte Windows Server 2012 nebo 2012 R2 AD FS.This step isn't applicable when using Windows Server 2012 or 2012 R2 AD FS. V takovém případě je bezpečné tento příkaz přeskočit a pokračovat v integraci.In that case, it's safe to skip this command and continue with the integration.

    Set-AdfsProperties -IgnoreTokenBinding $true
    

    Pro AD FS 2002 a vyššíFor AD FS 2002 and greater

    Poznámka

    Při provádění Add-ADFSRelyingPartyTrust na hostiteli nebo farmě služby AD FS vlastněné zákazníkem je potřeba nejdřív zajistit, aby na hostiteli nebo farmě služby AD FS bylo vynutilo použití protokolu TLS 1.2. v opačném případě bude výsledkem tato chybová zpráva:When executing Add-ADFSRelyingPartyTrust on the customer owned ADFS host/farm, you must first ensure that TLS1.2 is enforced on the ADFS host/farm else the attempt will result in the following error message:

Add-ADFSRelyingPartyTrust : The underlying connection was closed: An unexpected error occurred on a send.

Vytváření SPNSPN creation

Existuje mnoho scénářů, které vyžadují použití hlavního názvu služby (SPN) pro ověřování.There are many scenarios that require the use of a service principal name (SPN) for authentication. Následuje několik příkladů:The following are some examples:

  • Použití rozhraní příkazového řádku s AD FS nasazením centra Azure StackCLI usage with AD FS deployment of Azure Stack Hub.
  • Sada Management Pack nástroje System Center pro Azure Stack hub při nasazení s AD FSSystem Center Management Pack for Azure Stack Hub when deployed with AD FS.
  • Poskytovatelé prostředků v Azure Stack hub při nasazení s AD FSResource providers in Azure Stack Hub when deployed with AD FS.
  • Různé aplikace.Various apps.
  • Vyžadujete neinteraktivní přihlašování.You require a non-interactive sign-in.

Důležité

AD FS podporuje pouze interaktivní přihlašovací relace.AD FS only supports interactive sign-in sessions. Pokud vyžadujete neinteraktivní přihlášení k automatizovanému scénáři, je nutné použít hlavní název služby (SPN).If you require a non-interactive sign-in for an automated scenario, you must use a SPN.

Další informace o vytváření hlavního názvu služby (SPN) najdete v tématu Vytvoření instančního objektu pro AD FS.For more information on creating an SPN, see Create service principal for AD FS.

Řešení potížíTroubleshooting

Vrácení změn konfiguraceConfiguration Rollback

Pokud dojde k chybě, která opustí prostředí ve stavu, ve kterém již nelze ověřit, je k dispozici možnost vrácení zpět.If an error occurs that leaves the environment in a state where you can no longer authenticate, a rollback option is available.

  1. Otevřete relaci Windows PowerShellu se zvýšenými oprávněními a spusťte následující příkazy:Open an elevated Windows PowerShell session and run the following commands:

    $creds = Get-Credential
    Enter-PSSession -ComputerName <IP Address of ERCS> -ConfigurationName PrivilegedEndpoint -Credential $creds
    
  2. Pak spusťte následující rutinu:Then run the following cmdlet:

    Reset-DatacenterIntegrationConfiguration
    

    Po spuštění akce vrácení zpět se všechny změny konfigurace vrátí zpět.After running the rollback action, all configuration changes are rolled back. Je možné pouze ověřování pomocí předdefinovaného CloudAdmin uživatele.Only authentication with the built-in CloudAdmin user is possible.

    Důležité

    Musíte nakonfigurovat původního vlastníka výchozího předplatného poskytovatele.You must configure the original owner of the default provider subscription.

    Set-ServiceAdminOwner -ServiceAdminOwnerUpn "azurestackadmin@[Internal Domain]"
    

Shromažďování dalších protokolůCollecting additional logs

Pokud selže kterákoli z rutin, můžete shromažďovat další protokoly pomocí Get-Azurestacklogs rutiny.If any of the cmdlets fail, you can collect additional logs by using the Get-Azurestacklogs cmdlet.

  1. Otevřete relaci Windows PowerShellu se zvýšenými oprávněními a spusťte následující příkazy:Open an elevated Windows PowerShell session and run the following commands:

    $creds = Get-Credential
    Enter-pssession -ComputerName <IP Address of ERCS> -ConfigurationName PrivilegedEndpoint -Credential $creds
    
  2. Pak spusťte následující rutinu:Then run the following cmdlet:

    Get-AzureStackLog -OutputPath \\myworkstation\AzureStackLogs -FilterByRole ECE
    

Další krokyNext steps

Integrace externích řešení monitorováníIntegrate external monitoring solutions