Prima di iniziare con il servizio App nello Stack di AzureBefore you get started with App Service on Azure Stack

Prima di distribuire il servizio App di Azure nello Stack di Azure, è necessario completare i prerequisiti descritti in questo articolo.Before you deploy Azure App Service on Azure Stack, you must complete the prerequisites in this article.

Scaricare gli script di installazione e supportoDownload the installer and helper scripts

  1. Scaricare il servizio App di script di supporto di distribuzione Azure Stack.Download the App Service on Azure Stack deployment helper scripts.
  2. Scaricare il servizio App nel programma di installazione di Azure Stack.Download the App Service on Azure Stack installer.
  3. Estrarre i file dal file ZIP script helper.Extract the files from the helper scripts .zip file. Vengono visualizzati i seguenti file e la struttura di cartelle:The following files and folder structure appear:
    • Common.ps1Common.ps1
    • AADIdentityApp.ps1 creareCreate-AADIdentityApp.ps1
    • ADFSIdentityApp.ps1 creareCreate-ADFSIdentityApp.ps1
    • AppServiceCerts.ps1 creareCreate-AppServiceCerts.ps1
    • Get-AzureStackRootCert.ps1Get-AzureStackRootCert.ps1
    • Remove-AppService.ps1Remove-AppService.ps1
    • ModuliModules
      • GraphAPI.psm1GraphAPI.psm1

Preparare per la disponibilità elevataPrepare for high availability

Servizio App di Azure nello Stack di Azure non offre attualmente la disponibilità elevata perché lo Stack di Azure consente di distribuire i carichi di lavoro in un solo dominio di errore.Azure App Service on Azure Stack cannot currently offer high availability because Azure Stack deploys workloads into only one fault domain.

Per preparare il servizio App di Azure nello Stack di Azure per la disponibilità elevata, distribuire il server di file richiesto e l'istanza di SQL Server in una configurazione a disponibilità elevata.To prepare Azure App Service on Azure Stack for high availability, deploy the required file server and SQL Server instance in a highly available configuration. Quando lo Stack di Azure supporta più domini di errore, si forniscono istruzioni su come abilitare il servizio App di Azure nello Stack di Azure in una configurazione a disponibilità elevata.When Azure Stack supports multiple fault domains, we will provide guidance on how to enable Azure App Service on Azure Stack in a highly available configuration.

Ottenere i certificatiGet certificates

Certificati necessari per il Kit di sviluppo di Azure StackCertificates required for the Azure Stack Development Kit

Il primo script funziona con l'autorità di certificazione dello Stack di Azure per creare quattro certificati servizio App:The first script works with the Azure Stack certificate authority to create four certificates that App Service needs:

Nome fileFile name UsoUse
.appservice.Local.azurestack.External.pfx.appservice.local.azurestack.external.pfx Certificato SSL predefinito di servizio AppApp Service default SSL certificate
API.appservice.Local.azurestack.External.pfxApi.appservice.local.azurestack.external.pfx Certificato SSL di API del servizio AppApp Service API SSL certificate
FTP.appservice.Local.azurestack.External.pfxftp.appservice.local.azurestack.external.pfx Certificato SSL server di pubblicazione di servizio AppApp Service publisher SSL certificate
SSO.appservice.Local.azurestack.External.pfxSso.appservice.local.azurestack.external.pfx Certificato di servizio App identità dell'applicazioneApp Service identity application certificate

Eseguire lo script nell'host di Azure Stack Development Kit e verificare che sia in esecuzione di PowerShell come azurestack\CloudAdmin:Run the script on the Azure Stack Development Kit host and ensure that you're running PowerShell as azurestack\CloudAdmin:

  1. In una sessione di PowerShell in esecuzione come azurestack\AzureStackAdmin, eseguire lo script di creazione AppServiceCerts.ps1 dalla cartella in cui sono stati estratti gli script di supporto.In a PowerShell session running as azurestack\AzureStackAdmin, run the Create-AppServiceCerts.ps1 script from the folder where you extracted the helper scripts. Lo script crea quattro certificati nella stessa cartella di script che è necessario per la creazione di certificati di servizio App.The script creates four certificates in the same folder as the script that App Service needs for creating certificates.
  2. Immettere una password per proteggere i file con estensione pfx e prendere nota di esso.Enter a password to secure the .pfx files, and make a note of it. È necessario immetterlo nel servizio App sul programma di installazione dello Stack di Azure.You must enter it in the App Service on Azure Stack installer.

AppServiceCerts.ps1 creare parametriCreate-AppServiceCerts.ps1 parameters

ParametroParameter Obbligatoria o facoltativaRequired or optional Valore predefinitoDefault value DescrizioneDescription
PfxPasswordpfxPassword ObbligatorioRequired NullNull Password che consente di proteggere la chiave privata del certificatoPassword that helps protect the certificate private key
DomainNameDomainName ObbligatorioRequired Local.azurestack.Externallocal.azurestack.external Suffisso area e di dominio di Azure StackAzure Stack region and domain suffix

Certificati necessari per una distribuzione di produzione del servizio App di Azure nello Stack di AzureCertificates required for a production deployment of Azure App Service on Azure Stack

Per utilizzare il provider di risorse nell'ambiente di produzione, è necessario fornire i seguenti quattro certificati.To operate the resource provider in production, you must provide the following four certificates.

Certificato di dominio predefinitoDefault domain certificate

Il certificato di dominio predefinito viene applicato al ruolo Front-End.The default domain certificate is placed on the Front End role. Le applicazioni utente per le richieste di dominio con caratteri jolly o predefinito per il servizio App di Azure usare questo certificato.User applications for wildcard or default domain requests to Azure App Service use this certificate. Il certificato viene utilizzato anche per operazioni di controllo codice sorgente (Kudu).The certificate is also used for source control operations (Kudu).

Il certificato deve essere nel formato PFX e deve essere un certificato a carattere jolly con due soggetti.The certificate must be in .pfx format and should be a two-subject wildcard certificate. In questo modo un certificato coprire sia il dominio predefinito sia l'endpoint di Gestione controllo servizi per le operazioni di controllo di origine.This allows one certificate to cover both the default domain and the SCM endpoint for source control operations.

FormatFormat EsempioExample
*.appservice. <area>.< DomainName>.< estensione>*.appservice.<region>.<DomainName>.<extension> *. appservice.redmond.azurestack.external*.appservice.redmond.azurestack.external
*. scm.appservice. . .*.scm.appservice... *. appservice.scm.redmond.azurestack.external*.appservice.scm.redmond.azurestack.external

Certificato APIAPI certificate

Il certificato API viene inserito il ruolo di gestione.The API certificate is placed on the Management role. Il provider di risorse utilizza per le chiamate API protetta.The resource provider uses it to help secure API calls. Il certificato per la pubblicazione deve contenere un soggetto corrispondente alla voce DNS di API.The certificate for publishing must contain a subject that matches the API DNS entry.

FormatFormat EsempioExample
API.appservice. <area>.< DomainName>.< estensione>api.appservice.<region>.<DomainName>.<extension> API.appservice.Redmond.azurestack.Externalapi.appservice.redmond.azurestack.external

Certificato di distribuzionePublishing certificate

Il certificato per il ruolo server di pubblicazione consente di proteggere il traffico FTPS per i proprietari delle applicazioni durante il caricamento del contenuto.The certificate for the Publisher role secures the FTPS traffic for application owners when they upload content. Il certificato per la pubblicazione deve contenere un soggetto corrispondente alla voce DNS FTP.The certificate for publishing must contain a subject that matches the FTPS DNS entry.

FormatFormat EsempioExample
FTP.appservice. <area>.< DomainName>.< estensione>ftp.appservice.<region>.<DomainName>.<extension> API.appservice.Redmond.azurestack.Externalapi.appservice.redmond.azurestack.external

Certificato di identitàIdentity certificate

Il certificato per l'applicazione di identità consente:The certificate for the identity application enables:

  • Integrazione tra Azure Active Directory (Azure AD) o Active Directory Federation Services (ADFS) directory, Stack di Azure e servizio App per supportare l'integrazione con il provider di risorse di calcolo.Integration between the Azure Active Directory (Azure AD) or Active Directory Federation Services (AD FS) directory, Azure Stack, and App Service to support integration with the compute resource provider.
  • Scenari Single sign-on per gli strumenti di sviluppo avanzate in Azure App Service nello Stack di Azure.Single sign-on scenarios for advanced developer tools within Azure App Service on Azure Stack.

Il certificato di identità deve contenere un oggetto che corrisponde al formato seguente:The certificate for identity must contain a subject that matches the following format:

FormatFormat EsempioExample
SSO.appservice. <area>.< DomainName>.< estensione>sso.appservice.<region>.<DomainName>.<extension> SSO.appservice.Redmond.azurestack.Externalsso.appservice.redmond.azurestack.external

Certificato radice di gestione risorse Azure per lo Stack di AzureAzure Resource Manager root certificate for Azure Stack

In una sessione di PowerShell in esecuzione come azurestack\CloudAdmin, eseguire lo script Get-AzureStackRootCert.ps1 dalla cartella in cui sono stati estratti gli script di supporto.In a PowerShell session running as azurestack\CloudAdmin, run the Get-AzureStackRootCert.ps1 script from the folder where you extracted the helper scripts. Lo script crea quattro certificati nella stessa cartella di script che è necessario per la creazione di certificati di servizio App.The script creates four certificates in the same folder as the script that App Service needs for creating certificates.

Parametro Get-AzureStackRootCert.ps1Get-AzureStackRootCert.ps1 parameter Obbligatoria o facoltativaRequired or optional Valore predefinitoDefault value DescrizioneDescription
PrivelegedEndpointPrivelegedEndpoint ObbligatorioRequired AzS ERCS01AzS-ERCS01 Endpoint con privilegiPrivileged endpoint
CloudAdminCredentialCloudAdminCredential ObbligatorioRequired AzureStack\CloudAdminAzureStack\CloudAdmin Credenziale dell'account di dominio per gli amministratori cloud di Azure StackDomain account credential for Azure Stack cloud admins

Preparare il file serverPrepare the file server

Servizio App di Azure richiede l'utilizzo di un file server.Azure App Service requires the use of a file server. Per le distribuzioni di produzione, il file server deve essere configurato per essere in grado di gestire gli errori e a disponibilità elevata.For production deployments, the file server must be configured to be highly available and capable of handling failures.

Per distribuzioni solo Azure Stack Development Kit, è possibile utilizzare il modello di esempio di distribuzione Azure Resource Manager per distribuire un server di configurazione del file a nodo singolo.For Azure Stack Development Kit deployments only, you can use the example Azure Resource Manager deployment template to deploy a configured single-node file server. Il server a nodo singolo file sarà un gruppo di lavoro.The single-node file server will be in a workgroup.

Eseguire il provisioning di gruppi e account in Active DirectoryProvision groups and accounts in Active Directory

  1. Creare i seguenti gruppi di sicurezza globali di Active Directory:Create the following Active Directory global security groups:
    • FileShareOwnersFileShareOwners
    • FileShareUsersFileShareUsers
  2. Creare i seguenti account di Active Directory come account del servizio:Create the following Active Directory accounts as service accounts:

    • Password per FileShareOwnerFileShareOwner
    • FileShareUserFileShareUser

    Per una protezione ottimale, gli utenti per questi account e di tutti i ruoli web, deve essere distinti tra loro e sicuri nomi utente e password.As a security best practice, the users for these accounts (and for all web roles) should be distinct from each other and have strong usernames and passwords. Impostare le password con le condizioni seguenti:Set the passwords with the following conditions:

    • Abilitare Nessuna scadenza Password.Enable Password never expires.
    • Abilitare cambiamento password non.Enable User cannot change password.
    • Disabilitare cambiamento obbligatorio password all'accesso successivo.Disable User must change password at next logon.
  3. Aggiungere gli account alle appartenenze, come indicato di seguito:Add the accounts to the group memberships as follows:
    • Aggiungere FileShareOwner per il FileShareOwners gruppo.Add FileShareOwner to the FileShareOwners group.
    • Aggiungere FileShareUser per il FileShareUsers gruppo.Add FileShareUser to the FileShareUsers group.

Eseguire il provisioning di gruppi e account in un gruppo di lavoroProvision groups and accounts in a workgroup

Nota

Quando si configurano un file server, è possibile eseguire tutti i comandi seguenti in una finestra del prompt dei comandi amministrativa.When you're configuring a file server, run all the following commands in an administrative Command Prompt window. Non utilizzare PowerShell.Do not use PowerShell.

Quando si utilizza il modello di gestione risorse di Azure, gli utenti sono già stati creati.When you use the Azure Resource Manager template, the users are already created.

  1. Eseguire i comandi seguenti per creare gli account FileShareOwner e FileShareUser.Run the following commands to create the FileShareOwner and FileShareUser accounts. Sostituire <password> con valori personalizzati.Replace <password> with your own values. DOS net user FileShareOwner <password> /add /expires:never /passwordchg:no net user FileShareUser <password> /add /expires:never /passwordchg:no
  2. Impostare le password per gli account non scadano mai eseguendo i comandi WMIC riportati:Set the passwords for the accounts to never expire by running the following WMIC commands: DOS WMIC USERACCOUNT WHERE "Name='FileShareOwner'" SET PasswordExpires=FALSE WMIC USERACCOUNT WHERE "Name='FileShareUser'" SET PasswordExpires=FALSE
  3. Creare i gruppi locali FileShareUsers e FileShareOwners e aggiungervi gli account nel primo passaggio:Create the local groups FileShareUsers and FileShareOwners, and add the accounts in the first step to them: DOS net localgroup FileShareUsers /add net localgroup FileShareUsers FileShareUser /add net localgroup FileShareOwners /add net localgroup FileShareOwners FileShareOwner /add

Eseguire il provisioning della condivisione contenutoProvision the content share

La condivisione del contenuto contiene contenuto del sito Web tenant.The content share contains tenant website content. La procedura per eseguire il provisioning della condivisione contenuto in un singolo file server è lo stesso per ambienti di Active Directory e di gruppo di lavoro.The procedure to provision the content share on a single file server is the same for both Active Directory and Workgroup environments. Ma è diversa per un cluster di failover in Active Directory.But it's different for a failover cluster in Active Directory.

Eseguire il provisioning della condivisione contenuto in un singolo file server (Active Directory o gruppo di lavoro)Provision the content share on a single file server (Active Directory or workgroup)

In un singolo file server, eseguire i comandi seguenti a un prompt dei comandi con privilegi elevati.On a single file server, run the following commands at an elevated command prompt. Sostituire il valore per C:\WebSites con i percorsi corrispondenti nell'ambiente in uso.Replace the value for C:\WebSites with the corresponding paths in your environment.

set WEBSITES_SHARE=WebSites
set WEBSITES_FOLDER=C:\WebSites
md %WEBSITES_FOLDER%
net share %WEBSITES_SHARE% /delete
net share %WEBSITES_SHARE%=%WEBSITES_FOLDER% /grant:Everyone,full

Aggiungere il gruppo FileShareOwners al gruppo Administrators localeAdd the FileShareOwners group to the local Administrators group

Per la gestione remota di Windows per il corretto funzionamento, è necessario aggiungere il gruppo fileshareowners al gruppo Administrators locale.For Windows Remote Management to work properly, you must add the FileShareOwners group to the local Administrators group.

Active DirectoryActive Directory

Eseguire i comandi seguenti a un prompt dei comandi con privilegi elevati nel file server o in ogni file server che funge da un nodo del cluster di failover.Run the following commands at an elevated command prompt on the file server or on every file server that acts as a failover cluster node. Sostituire il valore per <DOMAIN> con il nome di dominio che si desidera utilizzare.Replace the value for <DOMAIN> with the domain name that you want to use.

set DOMAIN=<DOMAIN>
net localgroup Administrators %DOMAIN%\FileShareOwners /add

Gruppo di lavoroWorkgroup

Eseguire il comando seguente a un prompt dei comandi con privilegi elevati nel file server:Run the following command at an elevated command prompt on the file server:

net localgroup Administrators FileShareOwners /add

Configurare il controllo di accesso alle condivisioniConfigure access control to the shares

Eseguire i comandi seguenti a un prompt dei comandi con privilegi elevati nel file server o nel nodo del cluster di failover, ovvero il proprietario corrente della risorsa cluster.Run the following commands at an elevated command prompt on the file server or on the failover cluster node, which is the current cluster resource owner. Sostituire i valori in corsivo con valori che sono specifici dell'ambiente.Replace values in italics with values that are specific to your environment.

Active DirectoryActive Directory

set DOMAIN=<DOMAIN>
set WEBSITES_FOLDER=C:\WebSites
icacls %WEBSITES_FOLDER% /reset
icacls %WEBSITES_FOLDER% /grant Administrators:(OI)(CI)(F)
icacls %WEBSITES_FOLDER% /grant %DOMAIN%\FileShareOwners:(OI)(CI)(M)
icacls %WEBSITES_FOLDER% /inheritance:r
icacls %WEBSITES_FOLDER% /grant %DOMAIN%\FileShareUsers:(CI)(S,X,RA)
icacls %WEBSITES_FOLDER% /grant *S-1-1-0:(OI)(CI)(IO)(RA,REA,RD)

Gruppo di lavoroWorkgroup

set WEBSITES_FOLDER=C:\WebSites
icacls %WEBSITES_FOLDER% /reset
icacls %WEBSITES_FOLDER% /grant Administrators:(OI)(CI)(F)
icacls %WEBSITES_FOLDER% /grant FileShareOwners:(OI)(CI)(M)
icacls %WEBSITES_FOLDER% /inheritance:r
icacls %WEBSITES_FOLDER% /grant FileShareUsers:(CI)(S,X,RA)
icacls %WEBSITES_FOLDER% /grant *S-1-1-0:(OI)(CI)(IO)(RA,REA,RD)

Preparare l'istanza di SQL ServerPrepare the SQL Server instance

Per il servizio App di Azure in hosting dello Stack di Azure e database di controllo, è necessario preparare un'istanza di SQL Server per contenere i database di servizio App.For the Azure App Service on Azure Stack hosting and metering databases, you must prepare a SQL Server instance to hold the App Service databases.

Per le distribuzioni di Azure Stack Development Kit, è possibile utilizzare SQL Server Express 2014 SP2 o versione successiva.For Azure Stack Development Kit deployments, you can use SQL Server Express 2014 SP2 or later.

Per scopi di disponibilità elevata e di produzione, è necessario utilizzare una versione completa di SQL Server 2014 SP2 o versioni successive, abilitare l'autenticazione modalità mista e distribuire un configurazione a disponibilità elevata.For production and high-availability purposes, you should use a full version of SQL Server 2014 SP2 or later, enable mixed-mode authentication, and deploy in a highly available configuration.

L'istanza di SQL Server per il servizio App di Azure nello Stack di Azure deve essere accessibile da tutti i ruoli del servizio App.The SQL Server instance for Azure App Service on Azure Stack must be accessible from all App Service roles. È possibile distribuire SQL Server all'interno della sottoscrizione di Provider predefinito nello Stack di Azure.You can deploy SQL Server within the Default Provider Subscription in Azure Stack. È possibile impostare o utilizzare dell'infrastruttura esistente all'interno dell'organizzazione (purché vi sia connettività allo Stack di Azure).Or you can make use of the existing infrastructure within your organization (as long as there is connectivity to Azure Stack). Se si utilizza un'immagine di Azure Marketplace, è necessario configurare il firewall in modo appropriato.If you're using an Azure Marketplace image, remember to configure the firewall accordingly.

Per uno dei ruoli di SQL Server, è possibile utilizzare un'istanza predefinita o un'istanza denominata.For any of the SQL Server roles, you can use a default instance or a named instance. Se si utilizza un'istanza denominata, assicurarsi di avviare il servizio SQL Server Browser e aprire la porta 1434 manualmente.If you use a named instance, be sure to manually start the SQL Server Browser service and open port 1434.

Creare un'applicazione Azure Active DirectoryCreate an Azure Active Directory application

Configurare un'entità servizio di Azure AD per supportare le operazioni seguenti:Configure an Azure AD service principal to support the following:

  • Set di scalabilità della macchina virtuale integration in piani di lavoroVirtual machine scale set integration on worker tiers
  • SSO per gli strumenti di sviluppo del portale e avanzate di funzioni di AzureSSO for the Azure Functions portal and advanced developer tools

Questi passaggi si applicano solo negli ambienti Azure protetto AD Azure Stack.These steps apply to Azure AD-secured Azure Stack environments only.

Gli amministratori devono configurare SSO per:Administrators must configure SSO to:

  • Abilitare gli strumenti di sviluppo avanzati all'interno di servizio App (Kudu).Enable the advanced developer tools within App Service (Kudu).
  • Abilitare l'utilizzo dell'esperienza del portale di Azure funzioni.Enable the use of the Azure Functions portal experience.

A tale scopo, seguire questa procedura:Follow these steps:

  1. Aprire un'istanza di PowerShell come azurestack\AzureStackAdmin.Open a PowerShell instance as azurestack\AzureStackAdmin.
  2. Passare al percorso di script che è stato scaricato ed estratto il prerequisito.Go to the location of the scripts that you downloaded and extracted in the prerequisite step.
  3. Installare PowerShell per Azure Stack.Install PowerShell for Azure Stack.
  4. Eseguire il crea AADIdentityApp.ps1 script.Run the Create-AADIdentityApp.ps1 script. Quando richiesto, immettere l'ID tenant di Azure AD che si sta utilizzando per la distribuzione di Azure Stack.When you're prompted, enter the Azure AD tenant ID that you're using for your Azure Stack deployment. Ad esempio, immettere myazurestack.onmicrosoft.com.For example, enter myazurestack.onmicrosoft.com.
  5. Nel credenziali finestra, immettere la password e account di amministratore del servizio di Azure AD.In the Credential window, enter your Azure AD service admin account and password. Selezionare OK.Select OK.
  6. Immettere il percorso del file di certificato e la password del certificato per il certificato creato in precedenza.Enter the certificate file path and certificate password for the certificate created earlier. Il certificato creato per questo passaggio per impostazione predefinita è sso.appservice.local.azurestack.external.pfx.The certificate created for this step by default is sso.appservice.local.azurestack.external.pfx.
  7. Lo script crea una nuova applicazione nell'istanza di Azure Active Directory del tenant.The script creates a new application in the tenant Azure AD instance. Prendere nota dell'ID applicazione che viene restituito nell'output di PowerShell.Make note of the application ID that's returned in the PowerShell output. È necessario queste informazioni durante l'installazione.You need this information during installation.
  8. Aprire una nuova finestra del browser e accedere al portale di Azure come amministratore del servizio Azure Active Directory.Open a new browser window, and sign in to the Azure portal as the Azure Active Directory service admin.
  9. Aprire il provider di risorse di Azure AD.Open the Azure AD resource provider.
  10. Selezionare registrazioni di App.Select App Registrations.
  11. Cercare l'ID dell'applicazione restituito come parte del passaggio 7.Search for the application ID returned as part of step 7. Un'applicazione di servizio App è elencata.An App Service application is listed.
  12. Selezionare applicazione nell'elenco.Select Application in the list.
  13. Selezionare delle autorizzazioni necessarie > concedere le autorizzazioni > .Select Required Permissions > Grant Permissions > Yes.
Parametro AADIdentityApp.ps1 creareCreate-AADIdentityApp.ps1 parameter Obbligatoria o facoltativaRequired or optional Valore predefinitoDefault value DescrizioneDescription
DirectoryTenantNameDirectoryTenantName ObbligatorioRequired NullNull ID tenant di Azure AD.Azure AD tenant ID. Specificare il GUID o una stringa.Provide the GUID or string. Un esempio è myazureaaddirectory.onmicrosoft.com.An example is myazureaaddirectory.onmicrosoft.com.
AdminArmEndpointAdminArmEndpoint ObbligatorioRequired NullNull Endpoint di amministrazione Gestione risorse di Azure.Admin Azure Resource Manager endpoint. Un esempio è adminmanagement.local.azurestack.external.An example is adminmanagement.local.azurestack.external.
TenantARMEndpointTenantARMEndpoint ObbligatorioRequired NullNull Endpoint di Azure Resource Manager tenant.Tenant Azure Resource Manager endpoint. Un esempio è management.local.azurestack.external.An example is management.local.azurestack.external.
AzureStackAdminCredentialAzureStackAdminCredential ObbligatorioRequired NullNull Credenziali di amministratore del servizio Azure Active Directory.Azure AD service admin credential.
CertificateFilePathCertificateFilePath ObbligatorioRequired NullNull Percorso per il file di certificato di identità applicazione generato in precedenza.Path to the identity application certificate file generated earlier.
CertificatePasswordCertificatePassword ObbligatorioRequired NullNull Password che consente di proteggere la chiave privata del certificato.Password that helps protect the certificate private key.

Creare un'applicazione Active Directory Federation ServicesCreate an Active Directory Federation Services application

Per gli ambienti Azure Stack protetti da AD FS, è necessario configurare un'entità servizio ADFS per supportare le operazioni seguenti:For Azure Stack environments secured by AD FS, you must configure an AD FS service principal to support the following:

  • Set di scalabilità della macchina virtuale integration in piani di lavoroVirtual machine scale set integration on worker tiers
  • SSO per gli strumenti di sviluppo del portale e avanzate di funzioni di AzureSSO for the Azure Functions portal and advanced developer tools

Gli amministratori devono configurare SSO per:Administrators must configure SSO to:

  • Configurare un'entità servizio per l'integrazione di set di scalabilità macchina virtuale in piani di lavoro.Configure a service principal for virtual machine scale set integration on worker tiers.
  • Abilitare gli strumenti di sviluppo avanzati all'interno di servizio App (Kudu).Enable the advanced developer tools within App Service (Kudu).
  • Abilitare l'utilizzo dell'esperienza del portale di Azure funzioni.Enable the use of the Azure Functions portal experience.

A tale scopo, seguire questa procedura:Follow these steps:

  1. Aprire un'istanza di PowerShell come azurestack\AzureStackAdmin.Open a PowerShell instance as azurestack\AzureStackAdmin.
  2. Passare al percorso di script che è stato scaricato ed estratto il prerequisito.Go to the location of the scripts that you downloaded and extracted in the prerequisite step.
  3. Installare PowerShell per Azure Stack.Install PowerShell for Azure Stack.
  4. Eseguire il crea ADFSIdentityApp.ps1 script.Run the Create-ADFSIdentityApp.ps1 script.
  5. Nel credenziali finestra, immettere la password e account di amministratore di AD FS cloud.In the Credential window, enter your AD FS cloud admin account and password. Selezionare OK.Select OK.
  6. Fornire il percorso del file di certificato e la password del certificato per il certificato creato in precedenza.Provide the certificate file path and certificate password for the certificate created earlier. Il certificato creato per questo passaggio per impostazione predefinita è sso.appservice.local.azurestack.external.pfx.The certificate created for this step by default is sso.appservice.local.azurestack.external.pfx.
Parametro ADFSIdentityApp.ps1 creareCreate-ADFSIdentityApp.ps1 parameter Obbligatoria o facoltativaRequired or optional Valore predefinitoDefault value DescrizioneDescription
AdminArmEndpointAdminArmEndpoint ObbligatorioRequired NullNull Endpoint di amministrazione Gestione risorse di Azure.Admin Azure Resource Manager endpoint. Un esempio è adminmanagement.local.azurestack.external.An example is adminmanagement.local.azurestack.external.
PrivilegedEndpointPrivilegedEndpoint ObbligatorioRequired NullNull Endpoint con privilegi.Privileged endpoint. Un esempio è AzS ERCS01.An example is AzS-ERCS01.
CloudAdminCredentialCloudAdminCredential ObbligatorioRequired NullNull Credenziale dell'account di dominio per gli amministratori cloud di Azure Stack.Domain account credential for Azure Stack cloud admins. Un esempio è Azurestack\CloudAdmin.An example is Azurestack\CloudAdmin.
CertificateFilePathCertificateFilePath ObbligatorioRequired NullNull Percorso di file PFX del certificato dell'applicazione di identità.Path to the identity application's certificate PFX file.
CertificatePasswordCertificatePassword ObbligatorioRequired NullNull Password che consente di proteggere la chiave privata del certificato.Password that helps protect the certificate private key.

Passaggi successiviNext steps

Installare il provider di risorse del servizio AppInstall the App Service resource provider