Integre a identidade de AD FS com seu datacenter de Hub de Azure StackIntegrate AD FS identity with your Azure Stack Hub datacenter

Você pode implantar Azure Stack Hub usando Azure Active Directory (Azure AD) ou Serviços de Federação do Active Directory (AD FS) (AD FS) como o provedor de identidade.You can deploy Azure Stack Hub using Azure Active Directory (Azure AD) or Active Directory Federation Services (AD FS) as the identity provider. Você deve fazer a escolha antes de implantar Azure Stack Hub.You must make the choice before you deploy Azure Stack Hub. Em um cenário conectado, você pode escolher Azure AD ou AD FS.In a connected scenario, you can choose Azure AD or AD FS. Para um cenário desconectado, há suporte apenas para AD FS.For a disconnected scenario, only AD FS is supported. Este artigo mostra como integrar o Azure Stack Hub AD FS com seu datacenter AD FS.This article shows how to integrate Azure Stack Hub AD FS with your datacenter AD FS.

Importante

Não é possível alternar o provedor de identidade sem reimplantar toda a solução de Hub de Azure Stack.You can't switch the identity provider without redeploying the entire Azure Stack Hub solution.

Serviços de Federação do Active Directory (AD FS) e grafoActive Directory Federation Services and Graph

A implantação com o AD FS permite que as identidades em uma floresta Active Directory existente se autentiquem com recursos no Hub Azure Stack.Deploying with AD FS allows identities in an existing Active Directory forest to authenticate with resources in Azure Stack Hub. Essa floresta de Active Directory existente requer uma implantação de AD FS para permitir a criação de uma AD FS confiança de Federação.This existing Active Directory forest requires a deployment of AD FS to allow the creation of an AD FS federation trust.

A autenticação é uma parte da identidade.Authentication is one part of identity. Para gerenciar o controle de acesso baseado em função (RBAC) no Hub Azure Stack, o componente de grafo deve ser configurado.To manage role-based access control (RBAC) in Azure Stack Hub, the Graph component must be configured. Quando o acesso a um recurso é delegado, o componente do Graph pesquisa a conta de usuário na floresta de Active Directory existente usando o protocolo LDAP.When access to a resource is delegated, the Graph component looks up the user account in the existing Active Directory forest using the LDAP protocol.

Arquitetura de AD FS do hub de Azure Stack

O AD FS existente é o serviço de token de segurança (STS) da conta que envia declarações para o AD FS do hub de Azure Stack (o STS do recurso).The existing AD FS is the account security token service (STS) that sends claims to the Azure Stack Hub AD FS (the resource STS). No Hub Azure Stack, a automação cria a confiança do provedor de declarações com o ponto de extremidade de metadados para o AD FS existente.In Azure Stack Hub, automation creates the claims provider trust with the metadata endpoint for the existing AD FS.

No AD FS existente, uma relação de confiança de terceira parte confiável deve ser configurada.At the existing AD FS, a relying party trust must be configured. Essa etapa não é feita pela automação e deve ser configurada pelo operador.This step isn't done by the automation, and must be configured by the operator. O ponto de extremidade VIP do hub de Azure Stack para AD FS pode ser criado usando o padrão https://adfs.<Region>.<ExternalFQDN>/ .The Azure Stack Hub VIP endpoint for AD FS can be created by using the pattern https://adfs.<Region>.<ExternalFQDN>/.

A configuração de confiança de terceira parte confiável também exige que você configure as regras de transformação de declaração que são fornecidas pela Microsoft.The relying party trust configuration also requires you to configure the claim transformation rules that are provided by Microsoft.

Para a configuração do Graph, é necessário fornecer uma conta de serviço que tenha permissão de leitura no Active Directory existente.For the Graph configuration, a service account must be provided that has read permission in the existing Active Directory. Essa conta é necessária como entrada para a automação para habilitar cenários de RBAC.This account is required as input for the automation to enable RBAC scenarios.

Para a última etapa, um novo proprietário é configurado para a assinatura do provedor padrão.For the last step, a new owner is configured for the default provider subscription. Essa conta tem acesso completo a todos os recursos quando conectado ao portal do administrador do hub de Azure Stack.This account has full access to all resources when signed in to the Azure Stack Hub administrator portal.

Requisitos:Requirements:

ComponenteComponent RequisitoRequirement
GrafoGraph Microsoft Active Directory 2012/2012 R2/2016 2019Microsoft Active Directory 2012/2012 R2/2016 2019
AD FSAD FS Windows Server 2012/2012 R2/2016 2019Windows Server 2012/2012 R2/2016 2019

Configurando a integração do grafoSetting up Graph integration

O Graph só dá suporte à integração com uma única floresta Active Directory.Graph only supports integration with a single Active Directory forest. Se houver várias florestas, somente a floresta especificada na configuração será usada para buscar usuários e grupos.If multiple forests exist, only the forest specified in the configuration will be used to fetch users and groups.

As informações a seguir são necessárias como entradas para os parâmetros de automação:The following information is required as inputs for the automation parameters:

ParâmetroParameter Parâmetro de planilha de implantaçãoDeployment Worksheet Parameter DescriçãoDescription ExemploExample
CustomADGlobalCatalog AD FS FQDN da florestaAD FS Forest FQDN FQDN da floresta Active Directory de destino com a qual você deseja integrarFQDN of the target Active Directory forest that you want to integrate with Contoso.comContoso.com
CustomADAdminCredentials Um usuário com permissão de leitura de LDAPA user with LDAP Read permission YOURDOMAIN\graphserviceYOURDOMAIN\graphservice

Configurar sites Active DirectoryConfigure Active Directory Sites

Para Active Directory implantações com vários sites, configure o site de Active Directory mais próximo para a implantação do hub de Azure Stack.For Active Directory deployments having multiple sites, configure the closest Active Directory Site to your Azure Stack Hub deployment. A configuração evita que o serviço de grafo do Hub Azure Stack resolva as consultas usando um servidor de catálogo global de um site remoto.The configuration avoids having the Azure Stack Hub Graph service resolve queries using a Global Catalog Server from a remote site.

Adicione a sub-rede de rede VIP pública de Azure Stack Hub ao site Active Directory mais próximo ao Hub Azure Stack.Add the Azure Stack Hub Public VIP network subnet to the Active Directory Site closest to Azure Stack Hub. Por exemplo, digamos que seu Active Directory tenha dois sites: Seattle e Redmond.For example, let's say your Active Directory has two sites: Seattle and Redmond. Se Azure Stack Hub for implantado no site de Seattle, você adicionará a sub-rede de rede VIP pública de Azure Stack Hub ao site de Active Directory para Seattle.If Azure Stack Hub is deployed at the Seattle site, you would add the Azure Stack Hub Public VIP network subnet to the Active Directory site for Seattle.

Para obter mais informações sobre sites Active Directory, consulte projetando a topologia do site.For more information on Active Directory Sites, see Designing the site topology.

Observação

Se sua Active Directory consistir em um único site, você pode ignorar esta etapa.If your Active Directory consist of a single site, you can skip this step. Se você tiver uma sub-rede do catch-all configurada, valide se a sub-rede de rede VIP pública de Azure Stack Hub não faz parte dela.If you have a catch-all subnet configured, validate that the Azure Stack Hub Public VIP network subnet isn't part of it.

Criar conta de usuário no Active Directory existente (opcional)Create user account in the existing Active Directory (optional)

Opcionalmente, você pode criar uma conta para o serviço do Graph no Active Directory existente.Optionally, you can create an account for the Graph service in the existing Active Directory. Siga esta etapa se você ainda não tiver uma conta que deseja usar.Do this step if you don't already have an account that you want to use.

  1. No Active Directory existente, crie a seguinte conta de usuário (recomendação):In the existing Active Directory, create the following user account (recommendation):

    • Nome de usuário: graphserviceUsername: graphservice
    • Senha: Use uma senha forte e configure a senha para nunca expirar.Password: Use a strong password and configure the password to never expire.

    Nenhuma permissão ou associação especial é necessária.No special permissions or membership is required.

Disparar a automação para configurar o grafoTrigger automation to configure graph

Para este procedimento, use um computador em sua rede de datacenter que possa se comunicar com o ponto de extremidade privilegiado no Hub Azure Stack.For this procedure, use a computer in your datacenter network that can communicate with the privileged endpoint in Azure Stack Hub.

  1. Abra uma sessão do Windows PowerShell com privilégios elevados (executar como administrador) e conecte-se ao endereço IP do ponto de extremidade privilegiado.Open an elevated Windows PowerShell session (run as administrator), and connect to the IP address of the privileged endpoint. Use as credenciais para CloudAdmin para autenticar.Use the credentials for CloudAdmin to authenticate.

    $creds = Get-Credential
    $pep = New-PSSession -ComputerName <IP Address of ERCS> -ConfigurationName PrivilegedEndpoint -Credential $creds
    
  2. Agora que você tem uma sessão com o ponto de extremidade privilegiado, execute o seguinte comando:Now that you have a session with the privileged endpoint, run the following command:

    Execute o script abaixo para Azure Stack Build 2008 do Hub e mais recenteRun the below script for Azure Stack Hub build 2008 and newer

     $i = @(
            [pscustomobject]@{ 
                      CustomADGlobalCatalog="fabrikam.com"
                      CustomADAdminCredential= get-credential
                      SkipRootDomainValidation = $false 
                      ValidateParameters = $true
                    }) 
    
     Invoke-Command -Session $pep -ScriptBlock {Register-DirectoryService -customCatalog $using:i} 
    
    
    

    Execute o script abaixo para Azure Stack a compilação do hub antes de 2008Run the below script for Azure Stack Hub build prior to 2008

    Invoke-Command -Session $pep -ScriptBlock {Register-DirectoryService -CustomADGlobalCatalog contoso.com} 
    
    
    

    Quando solicitado, especifique a credencial para a conta de usuário que você deseja usar para o serviço de grafo (como graphservice).When prompted, specify the credential for the user account that you want to use for the Graph service (such as graphservice). A entrada para o cmdlet Register-DirectoryService deve ser o domínio de raiz/nome da floresta na floresta em vez de qualquer outro domínio na floresta.The input for the Register-DirectoryService cmdlet must be the forest name / root domain in the forest rather than any other domain in the forest.

    Importante

    Aguarde o pop-up de credenciais (Get-Credential não tem suporte no ponto de extremidade privilegiado) e insira as credenciais da conta de serviço do Graph.Wait for the credentials pop-up (Get-Credential isn't supported in the privileged endpoint) and enter the Graph Service Account credentials.

  3. O cmdlet Register-DirectoryService tem parâmetros opcionais que você pode usar em determinados cenários em que a validação de Active Directory existente falha.The Register-DirectoryService cmdlet has optional parameters that you can use in certain scenarios where the existing Active Directory validation fails. Quando esse cmdlet é executado, ele valida que o domínio fornecido é o domínio raiz, um servidor de catálogo global pode ser acessado e que a conta fornecida recebe acesso de leitura.When this cmdlet is executed, it validates that the provided domain is the root domain, a global catalog server can be reached, and that the provided account is granted read access.

    ParâmetroParameter DescriçãoDescription
    SkipRootDomainValidation Especifica que um domínio filho deve ser usado em vez do domínio raiz recomendado.Specifies that a child domain must be used instead of the recommended root domain.
    ValidateParameters Ignora todas as verificações de validação.Bypasses all validation checks.

Portas e protocolos de grafoGraph protocols and ports

O serviço de grafo no Hub de Azure Stack usa os seguintes protocolos e portas para se comunicar com um servidor de catálogo global gravável (GC) e centro de distribuição de chaves (KDC) que podem processar solicitações de logon na floresta de Active Directory de destino.Graph service in Azure Stack Hub uses the following protocols and ports to communicate with a writeable Global Catalog Server (GC) and Key Distribution Center (KDC) that can process login requests in the target Active Directory forest.

O serviço de grafo no Hub Azure Stack usa os seguintes protocolos e portas para se comunicar com o Active Directory de destino:Graph service in Azure Stack Hub uses the following protocols and ports to communicate with the target Active Directory:

TipoType PortaPort ProtocoloProtocol
LDAPLDAP 389389 TCP & UDPTCP & UDP
LDAP SSLLDAP SSL 636636 TCPTCP
GC DE LDAPLDAP GC 32683268 TCPTCP
SSL GC DE LDAPLDAP GC SSL 32693269 TCPTCP

Configurando a integração do AD FS baixando os metadados da FederaçãoSetting up AD FS integration by downloading federation metadata

As informações a seguir são necessárias como entrada para os parâmetros de automação:The following information is required as input for the automation parameters:

ParâmetroParameter Parâmetro de planilha de implantaçãoDeployment Worksheet Parameter DescriçãoDescription ExemploExample
CustomAdfsNameCustomAdfsName Nome do provedor de AD FSAD FS Provider Name Nome do provedor de declarações.Name of the claims provider.
Ele aparece dessa maneira na página de aterrissagem de AD FS.It appears that way on the AD FS landing page.
ContosoContoso
CustomADCustomAD
FSFederationMetadataEndpointUriFSFederationMetadataEndpointUri
URI de metadados AD FSAD FS Metadata URI Link de metadados de Federação.Federation metadata link. federationmetadata.xml https: / /AD01.contoso.com/FederationMetadata/2007-06/https://ad01.contoso.com/federationmetadata/2007-06/federationmetadata.xml
SigningCertificateRevocationCheckSigningCertificateRevocationCheck NANA Parâmetro opcional para ignorar a verificação da CRL.Optional Parameter to skip CRL checking. NenhumNone

Disparar a automação para configurar a confiança do provedor de declarações no Hub Azure StackTrigger automation to configure claims provider trust in Azure Stack Hub

Para este procedimento, use um computador que possa se comunicar com o ponto de extremidade privilegiado no Hub Azure Stack.For this procedure, use a computer that can communicate with the privileged endpoint in Azure Stack Hub. Espera-se que o certificado usado pelo STS da conta AD FS seja confiável pelo Azure Stack Hub.It's expected that the certificate used by the account STS AD FS is trusted by Azure Stack Hub.

  1. Abra uma sessão do Windows PowerShell com privilégios elevados e conecte-se ao ponto de extremidade privilegiado.Open an elevated Windows PowerShell session and connect to the privileged endpoint.

    $creds = Get-Credential
    Enter-PSSession -ComputerName <IP Address of ERCS> -ConfigurationName PrivilegedEndpoint -Credential $creds
    
  2. Agora que você está conectado ao ponto de extremidade com privilégios, execute o seguinte comando usando os parâmetros apropriados para seu ambiente:Now that you're connected to the privileged endpoint, run the following command using the parameters appropriate for your environment:

    Register-CustomAdfs -CustomAdfsName Contoso -CustomADFSFederationMetadataEndpointUri https://win-SQOOJN70SGL.contoso.com/federationmetadata/2007-06/federationmetadata.xml
    
  3. Execute o seguinte comando para atualizar o proprietário da assinatura do provedor padrão usando os parâmetros apropriados para o seu ambiente:Run the following command to update the owner of the default provider subscription using the parameters appropriate for your environment:

    Set-ServiceAdminOwner -ServiceAdminOwnerUpn "administrator@contoso.com"
    

Configurando a integração do AD FS fornecendo o arquivo de metadados de FederaçãoSetting up AD FS integration by providing federation metadata file

A partir da versão 1807, use esse método se uma das seguintes condições forem verdadeiras:Beginning with version 1807, use this method if the either of the following conditions are true:

  • A cadeia de certificados é diferente para AD FS em comparação com todos os outros pontos de extremidade no Hub Azure Stack.The certificate chain is different for AD FS compared to all other endpoints in Azure Stack Hub.
  • Não há conectividade de rede com o servidor de AD FS existente na instância de AD FS do Hub Azure Stack.There's no network connectivity to the existing AD FS server from Azure Stack Hub's AD FS instance.

As informações a seguir são necessárias como entrada para os parâmetros de automação:The following information is required as input for the automation parameters:

ParâmetroParameter DescriçãoDescription ExemploExample
CustomAdfsNameCustomAdfsName Nome do provedor de declarações.Name of the claims provider. Ele aparece dessa maneira na página de aterrissagem de AD FS.It appears that way on the AD FS landing page. ContosoContoso
CustomADFSFederationMetadataFileContentCustomADFSFederationMetadataFileContent Conteúdo de metadados.Metadata content. $using: federationMetadataFileContent$using:federationMetadataFileContent

Criar arquivo de metadados de FederaçãoCreate federation metadata file

Para o procedimento a seguir, você deve usar um computador que tenha conectividade de rede com a implantação existente do AD FS, que se torna o STS da conta.For the following procedure, you must use a computer that has network connectivity to the existing AD FS deployment, which becomes the account STS. Os certificados necessários também devem ser instalados.The necessary certificates must also be installed.

  1. Abra uma sessão do Windows PowerShell com privilégios elevados e execute o seguinte comando usando os parâmetros apropriados para o seu ambiente:Open an elevated Windows PowerShell session, and run the following command using the parameters appropriate for your environment:

     $url = "https://win-SQOOJN70SGL.contoso.com/FederationMetadata/2007-06/FederationMetadata.xml"
     $webclient = New-Object System.Net.WebClient
     $webclient.Encoding = [System.Text.Encoding]::UTF8
     $metadataAsString = $webclient.DownloadString($url)
     Set-Content -Path c:\metadata.xml -Encoding UTF8 -Value $metadataAsString
    
  2. Copie o arquivo de metadados para um computador que possa se comunicar com o ponto de extremidade privilegiado.Copy the metadata file to a computer that can communicate with the privileged endpoint.

Disparar a automação para configurar a confiança do provedor de declarações no Hub Azure StackTrigger automation to configure claims provider trust in Azure Stack Hub

Para este procedimento, use um computador que possa se comunicar com o ponto de extremidade privilegiado no Hub Azure Stack e tenha acesso ao arquivo de metadados que você criou em uma etapa anterior.For this procedure, use a computer that can communicate with the privileged endpoint in Azure Stack Hub and has access to the metadata file you created in a previous step.

  1. Abra uma sessão do Windows PowerShell com privilégios elevados e conecte-se ao ponto de extremidade privilegiado.Open an elevated Windows PowerShell session and connect to the privileged endpoint.

    $federationMetadataFileContent = get-content c:\metadata.xml
    $creds=Get-Credential
    Enter-PSSession -ComputerName <IP Address of ERCS> -ConfigurationName PrivilegedEndpoint -Credential $creds
    
  2. Agora que você está conectado ao ponto de extremidade com privilégios, execute o seguinte comando usando os parâmetros apropriados para seu ambiente:Now that you're connected to the privileged endpoint, run the following command using the parameters appropriate for your environment:

    Register-CustomAdfs -CustomAdfsName Contoso -CustomADFSFederationMetadataFileContent $using:federationMetadataFileContent
    
  3. Execute o comando a seguir para atualizar o proprietário da assinatura do provedor padrão.Run the following command to update the owner of the default provider subscription. Use os parâmetros apropriados para o seu ambiente.Use the parameters appropriate for your environment.

    Set-ServiceAdminOwner -ServiceAdminOwnerUpn "administrator@contoso.com"
    

    Observação

    Ao girar o certificado no AD FS existente (STS da conta), você deve configurar a integração do AD FS novamente.When you rotate the certificate on the existing AD FS (account STS), you must set up the AD FS integration again. Você deve configurar a integração mesmo que o ponto de extremidade de metadados esteja acessível ou tenha sido configurado fornecendo o arquivo de metadados.You must set up the integration even if the metadata endpoint is reachable or it was configured by providing the metadata file.

Configurar a terceira parte confiável na implantação de AD FS existente (STS da conta)Configure relying party on existing AD FS deployment (account STS)

A Microsoft fornece um script que configura a terceira parte confiável, incluindo as regras de transformação de declaração.Microsoft provides a script that configures the relying party trust, including the claim transformation rules. O uso do script é opcional, pois você pode executar os comandos manualmente.Using the script is optional as you can run the commands manually.

Você pode baixar o script auxiliar de ferramentas de Hub de Azure Stack no github.You can download the helper script from Azure Stack Hub Tools on GitHub.

Se você decidir executar os comandos manualmente, siga estas etapas:If you decide to manually run the commands, follow these steps:

  1. Copie o conteúdo a seguir em um arquivo. txt (por exemplo, salvo como c:\ClaimIssuanceRules.txt) na instância do AD FS ou no membro do farm do datacenter:Copy the following content into a .txt file (for example, saved as c:\ClaimIssuanceRules.txt) on your datacenter's AD FS instance or farm member:

    @RuleTemplate = "LdapClaims"
    @RuleName = "Name claim"
    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"]
    => issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name"), query = ";userPrincipalName;{0}", param = c.Value);
    
    @RuleTemplate = "LdapClaims"
    @RuleName = "UPN claim"
    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"]
    => issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"), query = ";userPrincipalName;{0}", param = c.Value);
    
    @RuleTemplate = "LdapClaims"
    @RuleName = "ObjectID claim"
    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid"]
    => issue(Type = "http://schemas.microsoft.com/identity/claims/objectidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType);
    
    @RuleName = "Family Name and Given claim"
    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"]
    => issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname", "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname"), query = ";sn,givenName;{0}", param = c.Value);
    
    @RuleTemplate = "PassThroughClaims"
    @RuleName = "Pass through all Group SID claims"
    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"]
    => issue(claim = c);
    
    @RuleTemplate = "PassThroughClaims"
    @RuleName = "Pass through all windows account name claims"
    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]
    => issue(claim = c);
    
  2. Valide se a autenticação baseada em Windows Forms para extranet e intranet está habilitada.Validate that Windows Forms-based authentication for extranet and intranet is enabled. Você pode verificar se o já está habilitado executando o seguinte cmdlet:You can check if its already enabled by running the following cmdlet:

    Get-AdfsAuthenticationProvider | where-object { $_.name -eq "FormsAuthentication" } | select Name, AllowedForPrimaryExtranet, AllowedForPrimaryIntranet
    

    Observação

    As cadeias de caracteres do agente do usuário com suporte da autenticação integrada do Windows (WIA) podem estar desatualizadas para sua implantação do AD FS e podem exigir uma atualização para dar suporte aos clientes mais recentes.The Windows Integrated Authentication (WIA) supported user agent strings may be outdated for your AD FS deployment and may require an update to support the latest clients. Você pode ler mais sobre como atualizar as cadeias de caracteres do agente do usuário com suporte do WIA no artigo Configurando a autenticação baseada em formulários de intranet para dispositivos que não dão suporte a WIA.You can read more about updating the WIA supported user agent strings in the article Configuring intranet forms-based authentication for devices that don't support WIA.

    Para obter as etapas para habilitar a política de autenticação baseada em formulário, consulte Configurar políticas de autenticação.For steps to enable Form-based authentication policy, see Configure Authentication Policies.

  3. Para adicionar a relação de confiança de terceira parte confiável, execute o seguinte comando do Windows PowerShell em sua instância do AD FS ou um membro do farm.To add the relying party trust, run the following Windows PowerShell command on your AD FS instance or a farm member. Certifique-se de atualizar o ponto de extremidade AD FS e aponte para o arquivo criado na etapa 1.Make sure to update the AD FS endpoint and point to the file created in Step 1.

    Para AD FS 2016/2019For AD FS 2016/2019

    Add-ADFSRelyingPartyTrust -Name AzureStack -MetadataUrl "https://YourAzureStackADFSEndpoint/FederationMetadata/2007-06/FederationMetadata.xml" -IssuanceTransformRulesFile "C:\ClaimIssuanceRules.txt" -AutoUpdateEnabled:$true -MonitoringEnabled:$true -enabled:$true -AccessControlPolicyName "Permit everyone" -TokenLifeTime 1440
    

    Para o AD FS 2012/2012 R2For AD FS 2012/2012 R2

    Add-ADFSRelyingPartyTrust -Name AzureStack -MetadataUrl "https://YourAzureStackADFSEndpoint/FederationMetadata/2007-06/FederationMetadata.xml" -IssuanceTransformRulesFile "C:\ClaimIssuanceRules.txt" -AutoUpdateEnabled:$true -MonitoringEnabled:$true -enabled:$true -TokenLifeTime 1440
    

    Importante

    Você deve usar o snap-in AD FS MMC para configurar as regras de autorização de emissão ao usar o Windows Server 2012 ou 2012 R2 AD FS.You must use the AD FS MMC snap-in to configure the Issuance Authorization Rules when using Windows Server 2012 or 2012 R2 AD FS.

  4. Ao usar o Internet Explorer ou o navegador Microsoft Edge para acessar Azure Stack Hub, você deve ignorar as associações de token.When you use Internet Explorer or the Microsoft Edge browser to access Azure Stack Hub, you must ignore token bindings. Caso contrário, as tentativas de entrada falharão.Otherwise, the sign-in attempts fail. Na instância do AD FS ou em um membro do farm, execute o seguinte comando:On your AD FS instance or a farm member, run the following command:

    Observação

    Esta etapa não é aplicável ao usar o Windows Server 2012 ou 2012 R2 AD FS.This step isn't applicable when using Windows Server 2012 or 2012 R2 AD FS. Nesse caso, é seguro ignorar esse comando e continuar com a integração.In that case, it's safe to skip this command and continue with the integration.

    Set-AdfsProperties -IgnoreTokenBinding $true
    

    Para AD FS 2002 e superiorFor AD FS 2002 and greater

    Observação

    Ao executar Add-ADFSRelyingPartyTrust no host/farm do ADFS de Propriedade do cliente, primeiro você deve garantir que o TLS 1.2 seja imposto no host/farm do ADFS. caso contrário, a tentativa resultará na seguinte mensagem de erro:When executing Add-ADFSRelyingPartyTrust on the customer owned ADFS host/farm, you must first ensure that TLS1.2 is enforced on the ADFS host/farm else the attempt will result in the following error message:

Add-ADFSRelyingPartyTrust : The underlying connection was closed: An unexpected error occurred on a send.

Criação de SPNSPN creation

Há muitos cenários que exigem o uso de um SPN (nome da entidade de serviço) para autenticação.There are many scenarios that require the use of a service principal name (SPN) for authentication. Veja a seguir alguns exemplos:The following are some examples:

  • Uso da CLI com AD FS implantação do hub de Azure Stack.CLI usage with AD FS deployment of Azure Stack Hub.
  • Pacote de gerenciamento do System Center para Azure Stack Hub quando implantado com AD FS.System Center Management Pack for Azure Stack Hub when deployed with AD FS.
  • Provedores de recursos no Hub Azure Stack quando implantados com AD FS.Resource providers in Azure Stack Hub when deployed with AD FS.
  • Vários aplicativos.Various apps.
  • Você precisa de uma entrada não interativa.You require a non-interactive sign-in.

Importante

AD FS só dá suporte a sessões de entrada interativas.AD FS only supports interactive sign-in sessions. Se você precisar de uma entrada não interativa para um cenário automatizado, deverá usar um SPN.If you require a non-interactive sign-in for an automated scenario, you must use a SPN.

Para obter mais informações sobre como criar um SPN, consulte criar entidade de serviço para AD FS.For more information on creating an SPN, see Create service principal for AD FS.

Solução de problemasTroubleshooting

Reversão de configuraçãoConfiguration Rollback

Se ocorrer um erro que deixe o ambiente em um estado em que você não possa mais autenticar, uma opção de reversão estará disponível.If an error occurs that leaves the environment in a state where you can no longer authenticate, a rollback option is available.

  1. Abra uma sessão do Windows PowerShell com privilégios elevados e execute os seguintes comandos:Open an elevated Windows PowerShell session and run the following commands:

    $creds = Get-Credential
    Enter-PSSession -ComputerName <IP Address of ERCS> -ConfigurationName PrivilegedEndpoint -Credential $creds
    
  2. Em seguida, execute o seguinte cmdlet:Then run the following cmdlet:

    Reset-DatacenterIntegrationConfiguration
    

    Depois de executar a ação de reversão, todas as alterações de configuração são revertidas.After running the rollback action, all configuration changes are rolled back. Somente a autenticação com o usuário CloudAdmin interno é possível.Only authentication with the built-in CloudAdmin user is possible.

    Importante

    Você deve configurar o proprietário original da assinatura do provedor padrão.You must configure the original owner of the default provider subscription.

    Set-ServiceAdminOwner -ServiceAdminOwnerUpn "azurestackadmin@[Internal Domain]"
    

Coletando logs adicionaisCollecting additional logs

Se qualquer um dos cmdlets falhar, você poderá coletar logs adicionais usando o Get-Azurestacklogs cmdlet.If any of the cmdlets fail, you can collect additional logs by using the Get-Azurestacklogs cmdlet.

  1. Abra uma sessão do Windows PowerShell com privilégios elevados e execute os seguintes comandos:Open an elevated Windows PowerShell session and run the following commands:

    $creds = Get-Credential
    Enter-pssession -ComputerName <IP Address of ERCS> -ConfigurationName PrivilegedEndpoint -Credential $creds
    
  2. Em seguida, execute o seguinte cmdlet:Then run the following cmdlet:

    Get-AzureStackLog -OutputPath \\myworkstation\AzureStackLogs -FilterByRole ECE
    

Próximas etapasNext steps

Integrar soluções de monitoramento externoIntegrate external monitoring solutions