Pré-requisitos para a implementação do Serviço de Aplicações no Azure Stack Hub
Importante
Atualize o Azure Stack Hub para uma versão suportada (ou implemente o Azure Stack Development Kit mais recente), se necessário, antes de implementar ou atualizar o fornecedor de recursos (RP) Serviço de Aplicações. Certifique-se de que lê as notas de versão do RP para saber mais sobre novas funcionalidades, correções e quaisquer problemas conhecidos que possam afetar a sua implementação.
Versão mínima suportada do Azure Stack Hub Serviço de Aplicações versão do RP 2301 e mais recente Instalador 2302 (notas de versão)
Antes de implementar Serviço de Aplicações do Azure no Azure Stack Hub, tem de concluir os passos de pré-requisito neste artigo.
Antes de começar
Esta secção lista os pré-requisitos para implementações integradas do sistema e do Azure Stack Development Kit (ASDK).
Pré-requisitos do fornecedor de recursos
Se já instalou um fornecedor de recursos, provavelmente concluiu os seguintes pré-requisitos e pode ignorar esta secção. Caso contrário, conclua estes passos antes de continuar:
Registe a instância do Azure Stack Hub no Azure, caso ainda não o tenha feito. Este passo é necessário, pois irá ligar-se e transferir itens para o marketplace a partir do Azure.
Se não estiver familiarizado com a funcionalidade Gestão do Marketplace do portal de administrador do Azure Stack Hub, reveja Transferir itens do marketplace do Azure e publique no Azure Stack Hub. O artigo explica-lhe o processo de transferência de itens do Azure para o marketplace do Azure Stack Hub. Abrange cenários ligados e desligados. Se a instância do Azure Stack Hub estiver desligada ou parcialmente ligada, existem pré-requisitos adicionais para concluir em preparação para a instalação.
Atualize o seu diretório Microsoft Entra casa. A partir da compilação 1910, tem de ser registada uma nova aplicação no inquilino do diretório principal. Esta aplicação permitirá ao Azure Stack Hub criar e registar com êxito fornecedores de recursos mais recentes (como Hubs de Eventos e outros) com o seu inquilino Microsoft Entra. Esta é uma ação única que tem de ser efetuada após a atualização para a compilação 1910 ou mais recente. Se este passo não estiver concluído, as instalações do fornecedor de recursos do marketplace falharão.
- Depois de atualizar com êxito a instância do Azure Stack Hub para 1910 ou superior, siga as instruções para clonar/transferir o repositório ferramentas do Azure Stack Hub Tools.
- Em seguida, siga as instruções para Atualizar o Azure Stack Hub Microsoft Entra Diretório Principal (depois de instalar atualizações ou novos Fornecedores de Recursos).
Scripts do instalador e auxiliar
Transfira o Serviço de Aplicações em scripts auxiliares de implementação do Azure Stack Hub.
Nota
Os scripts do programa auxiliar de implementação requerem o módulo do AzureRM PowerShell. Veja Instalar o módulo do AzureRM do PowerShell para o Azure Stack Hub para obter detalhes de instalação.
Transfira o Serviço de Aplicações no instalador do Azure Stack Hub.
Extraia os ficheiros dos scripts auxiliares .zip ficheiro. São extraídos os seguintes ficheiros e pastas:
- Common.ps1
- Create-AADIdentityApp.ps1
- Create-ADFSIdentityApp.ps1
- Create-AppServiceCerts.ps1
- Get-AzureStackRootCert.ps1
- BCDR
- ReACL.cmd
- Pasta Módulos
- GraphAPI.psm1
Certificados e configuração do servidor (Sistemas Integrados)
Esta secção lista os pré-requisitos para implementações integradas do sistema.
Requisitos de certificados
Para executar o fornecedor de recursos em produção, tem de fornecer os seguintes certificados:
- Certificado de domínio predefinido
- Certificado de API
- Certificado de publicação
- Certificado de identidade
Além dos requisitos específicos listados nas secções seguintes, também utilizará uma ferramenta mais tarde para testar os requisitos gerais. Veja Validar certificados PKI do Azure Stack Hub para obter a lista completa de validações, incluindo:
- Formato de ficheiro de . PFX
- Utilização da chave definida para autenticação de servidor e cliente
- e várias outras
Certificado de domínio predefinido
O certificado de domínio predefinido é colocado na função de front-end. As aplicações de utilizador para o caráter universal ou o pedido de domínio predefinido para Serviço de Aplicações do Azure utilizar este certificado. O certificado também é utilizado para operações de controlo de origem (Kudu).
O certificado tem de estar no formato .pfx e deve ser um certificado universal de três requerentes. Este requisito permite que um certificado cubra o domínio predefinido e o ponto final do SCM para operações de controlo de origem.
| Formato | Exemplo |
|---|---|
*.appservice.<region>.<DomainName>.<extension> |
*.appservice.redmond.azurestack.external |
*.scm.appservice.<region>.<DomainName>.<extension> |
*.scm.appservice.redmond.azurestack.external |
*.sso.appservice.<region>.<DomainName>.<extension> |
*.sso.appservice.redmond.azurestack.external |
Certificado de API
O certificado de API é colocado na função Gestão. O fornecedor de recursos utiliza-o para ajudar a proteger as chamadas à API. O certificado para publicação tem de conter um assunto que corresponda à entrada DNS da API.
| Formato | Exemplo |
|---|---|
| api.appservice.<região>.<DomainName>.<extensão> | api.appservice.redmond.azurestack.external |
Certificado de publicação
O certificado para a função publisher protege o tráfego FTPS para os proprietários de aplicações quando carregam conteúdo. O certificado para publicação tem de conter um assunto que corresponda à entrada DNS de FTPS.
| Formato | Exemplo |
|---|---|
| ftp.appservice.<região>.<DomainName>.<extensão> | ftp.appservice.redmond.azurestack.external |
Certificado de identidade
O certificado da aplicação de identidade permite:
- Integração entre o diretório Microsoft Entra ID ou Serviços de Federação do Active Directory (AD FS) (AD FS), o Azure Stack Hub e Serviço de Aplicações para suportar a integração com o fornecedor de recursos de computação.
- Cenários de início de sessão único para ferramentas de programação avançadas no Serviço de Aplicações do Azure no Azure Stack Hub.
O certificado de identidade tem de conter um assunto que corresponda ao seguinte formato.
| Formato | Exemplo |
|---|---|
| sso.appservice.<região>.<DomainName>.<extensão> | sso.appservice.redmond.azurestack.external |
Validar certificados
Antes de implementar o fornecedor de recursos Serviço de Aplicações, deve validar os certificados a utilizar com a ferramenta Verificador de Preparação do Azure Stack Hub disponível no Galeria do PowerShell. A Ferramenta de Verificador de Preparação do Azure Stack Hub valida que os certificados PKI gerados são adequados para Serviço de Aplicações implementação.
Como melhor prática, ao trabalhar com qualquer um dos certificados PKI do Azure Stack Hub necessários, deve planear tempo suficiente para testar e reeditar certificados, se necessário.
Preparar o servidor de ficheiros
Serviço de Aplicações do Azure requer a utilização de um servidor de ficheiros. Para implementações de produção, o servidor de ficheiros tem de ser configurado para estar altamente disponível e capaz de lidar com falhas.
Modelo de início rápido para servidor de ficheiros de elevada disponibilidade e SQL Server
Está agora disponível um modelo de início rápido de arquitetura de referência que irá implementar um servidor de ficheiros e SQL Server. Este modelo suporta a infraestrutura do Active Directory numa rede virtual configurada para suportar uma implementação de elevada disponibilidade de Serviço de Aplicações do Azure no Azure Stack Hub.
Importante
Este modelo é oferecido como uma referência ou exemplo de como pode implementar os pré-requisitos. Uma vez que o Operador do Azure Stack Hub gere estes servidores, especialmente em ambientes de produção, deve configurar o modelo conforme necessário ou exigido pela sua organização.
Nota
A instância do sistema integrado tem de conseguir transferir recursos do GitHub para concluir a implementação.
Passos para implementar um servidor de ficheiros personalizado
Importante
Se optar por implementar Serviço de Aplicações numa rede virtual existente, o servidor de ficheiros deve ser implementado numa Sub-rede separada da Serviço de Aplicações.
Nota
Se tiver optado por implementar um servidor de ficheiros com qualquer um dos modelos de Início Rápido mencionados acima, pode ignorar esta secção à medida que os servidores de ficheiros estão configurados como parte da implementação do modelo.
Aprovisionar grupos e contas no Active Directory
Crie os seguintes grupos de segurança global do Active Directory:
- FileShareOwners
- FileShareUsers
Crie as seguintes contas do Active Directory como contas de serviço:
- FileShareOwner
- FileShareUser
Como melhor prática de segurança, os utilizadores destas contas (e para todas as funções Web) devem ser exclusivos e ter nomes de utilizador e palavras-passe fortes. Defina as palavras-passe com as seguintes condições:
- A opção Ativar Palavra-passe nunca expira.
- Ativar o Utilizador não pode alterar a palavra-passe.
- Desativar O utilizador tem de alterar a palavra-passe no próximo início de sessão.
Adicione as contas às associações de grupo da seguinte forma:
- Adicione FileShareOwner ao grupo FileShareOwners .
- Adicione FileShareUser ao grupo FileShareUsers .
Aprovisionar grupos e contas num grupo de trabalho
Nota
Quando estiver a configurar um servidor de ficheiros, execute todos os seguintes comandos a partir de uma Linha de Comandos de Administrador.
Não utilize o PowerShell.
Quando utiliza o modelo Resource Manager do Azure, os utilizadores já são criados.
Execute os seguintes comandos para criar as contas FileShareOwner e FileShareUser. Substitua pelos
<password>seus próprios valores.net user FileShareOwner <password> /add /expires:never /passwordchg:no net user FileShareUser <password> /add /expires:never /passwordchg:noDefina as palavras-passe das contas para nunca expirarem ao executar os seguintes comandos WMIC:
WMIC USERACCOUNT WHERE "Name='FileShareOwner'" SET PasswordExpires=FALSE WMIC USERACCOUNT WHERE "Name='FileShareUser'" SET PasswordExpires=FALSECrie os grupos locais FileShareUsers e FileShareOwners e adicione as contas no primeiro passo:
net localgroup FileShareUsers /add net localgroup FileShareUsers FileShareUser /add net localgroup FileShareOwners /add net localgroup FileShareOwners FileShareOwner /add
Aprovisionar a partilha de conteúdos
A partilha de conteúdos contém o conteúdo do site do inquilino. O procedimento para aprovisionar a partilha de conteúdos num único servidor de ficheiros é o mesmo para ambientes do Active Directory e do grupo de trabalho. No entanto, é diferente para um cluster de ativação pós-falha no Active Directory.
Aprovisionar a partilha de conteúdos num único servidor de ficheiros (Active Directory ou grupo de trabalho)
Num único servidor de ficheiros, execute os seguintes comandos numa linha de comandos elevada. Substitua o valor de pelos C:\WebSites caminhos correspondentes no seu ambiente.
set WEBSITES_SHARE=WebSites
set WEBSITES_FOLDER=C:\WebSites
md %WEBSITES_FOLDER%
net share %WEBSITES_SHARE% /delete
net share %WEBSITES_SHARE%=%WEBSITES_FOLDER% /grant:Everyone,full
Configurar o controlo de acesso às partilhas de ficheiros
Execute os seguintes comandos numa linha de comandos elevada no servidor de ficheiros ou no nó de cluster de ativação pós-falha, que é o proprietário atual do recurso do cluster. Substitua os valores em itálico por valores específicos do seu ambiente.
Active Directory
set DOMAIN=<DOMAIN>
set WEBSITES_FOLDER=C:\WebSites
icacls %WEBSITES_FOLDER% /reset
icacls %WEBSITES_FOLDER% /grant Administrators:(OI)(CI)(F)
icacls %WEBSITES_FOLDER% /grant %DOMAIN%\FileShareOwners:(OI)(CI)(M)
icacls %WEBSITES_FOLDER% /inheritance:r
icacls %WEBSITES_FOLDER% /grant %DOMAIN%\FileShareUsers:(CI)(S,X,RA)
icacls %WEBSITES_FOLDER% /grant *S-1-1-0:(OI)(CI)(IO)(RA,REA,RD)
Grupo de Trabalho
set WEBSITES_FOLDER=C:\WebSites
icacls %WEBSITES_FOLDER% /reset
icacls %WEBSITES_FOLDER% /grant Administrators:(OI)(CI)(F)
icacls %WEBSITES_FOLDER% /grant FileShareOwners:(OI)(CI)(M)
icacls %WEBSITES_FOLDER% /inheritance:r
icacls %WEBSITES_FOLDER% /grant FileShareUsers:(CI)(S,X,RA)
icacls %WEBSITES_FOLDER% /grant *S-1-1-0:(OI)(CI)(IO)(RA,REA,RD)
Preparar a instância do SQL Server
Nota
Se optou por implementar o modelo de Início Rápido para o Servidor de Ficheiros de Elevada Disponibilidade e SQL Server, pode ignorar esta secção à medida que o modelo implementa e configura SQL Server numa configuração HA.
Para a Serviço de Aplicações do Azure nas bases de dados de alojamento e medição do Azure Stack Hub, tem de preparar uma instância de SQL Server para armazenar as bases de dados Serviço de Aplicações.
Para fins de produção e elevada disponibilidade, deve utilizar uma versão completa do SQL Server 2014 SP2 ou posterior, ativar a autenticação em modo misto e implementar numa configuração de elevada disponibilidade.
A instância SQL Server para Serviço de Aplicações do Azure no Azure Stack Hub tem de estar acessível a partir de todas as funções de Serviço de Aplicações. Pode implementar SQL Server na Subscrição de Fornecedor Predefinida no Azure Stack Hub. Em alternativa, pode utilizar a infraestrutura existente na sua organização (desde que exista conectividade ao Azure Stack Hub). Se estiver a utilizar uma imagem Azure Marketplace, lembre-se de configurar a firewall em conformidade.
Nota
Estão disponíveis várias imagens de VM IaaS do SQL através da funcionalidade Gestão do Marketplace. Certifique-se de que transfere sempre a versão mais recente da Extensão IaaS do SQL antes de implementar uma VM com um item do Marketplace. As imagens do SQL são as mesmas que as VMs do SQL que estão disponíveis no Azure. Para as VMs do SQL criadas a partir destas imagens, a extensão IaaS e os melhoramentos do portal correspondentes fornecem funcionalidades como a aplicação de patches automática e as capacidades de cópia de segurança.
Para qualquer uma das funções de SQL Server, pode utilizar uma instância predefinida ou uma instância nomeada. Se utilizar uma instância nomeada, certifique-se de que inicia manualmente o serviço SQL Server Browser e abre a porta 1434.
O instalador Serviço de Aplicações irá verificar para garantir que o SQL Server tem a contenção da base de dados ativada. Para ativar a contenção da base de dados no SQL Server que irá alojar as bases de dados Serviço de Aplicações, execute estes comandos SQL:
sp_configure 'contained database authentication', 1;
GO
RECONFIGURE;
GO
Certificados e configuração do servidor (ASDK)
Esta secção lista os pré-requisitos para implementações do ASDK.
Certificados necessários para a implementação do ASDK de Serviço de Aplicações do Azure
O script Create-AppServiceCerts.ps1 funciona com a autoridade de certificação do Azure Stack Hub para criar os quatro certificados necessários Serviço de Aplicações.
| Nome de ficheiro | Utilização |
|---|---|
| _.appservice.local.azurestack.external.pfx | Serviço de Aplicações certificado SSL predefinido |
| api.appservice.local.azurestack.external.pfx | certificado SSL da API Serviço de Aplicações |
| ftp.appservice.local.azurestack.external.pfx | certificado SSL do publicador do Serviço de Aplicações |
| sso.appservice.local.azurestack.external.pfx | certificado de aplicação de identidade Serviço de Aplicações |
Para criar os certificados, siga estes passos:
- Inicie sessão no anfitrião do ASDK com a conta AzureStack\AzureStackAdmin.
- Abra uma sessão elevada do PowerShell.
- Execute o scriptCreate-AppServiceCerts.ps1 a partir da pasta onde extraiu os scripts do programa auxiliar. Este script cria quatro certificados na mesma pasta que o script que Serviço de Aplicações precisa para criar certificados.
- Introduza uma palavra-passe para proteger os ficheiros .pfx e tome nota dos mesmos. Tem de introduzi-lo mais tarde, no Serviço de Aplicações no instalador do Azure Stack Hub.
Create-AppServiceCerts.ps1 parâmetros de script
| Parâmetro | Obrigatório ou opcional | Valor predefinido | Description |
|---|---|---|---|
| pfxPassword | Necessário | Nulo | Palavra-passe que ajuda a proteger a chave privada do certificado |
| DomainName | Necessário | local.azurestack.external | Sufixo de domínio e região do Azure Stack Hub |
Modelo de início rápido para o servidor de ficheiros para implementações de Serviço de Aplicações do Azure no ASDK.
Apenas para implementações do ASDK, pode utilizar o exemplo de modelo de implementação do Azure Resource Manager para implementar um servidor de ficheiros de nó único configurado. O servidor de ficheiros de nó único estará num grupo de trabalho.
Nota
A instância do ASDK tem de conseguir transferir recursos do GitHub para concluir a implementação.
SQL Server instância
Para o Serviço de Aplicações do Azure nas bases de dados de alojamento e medição do Azure Stack Hub, tem de preparar uma instância SQL Server para manter as bases de dados Serviço de Aplicações.
Para implementações do ASDK, pode utilizar SQL Server Express 2014 SP2 ou posterior. SQL Server tem de ser configurado para suportar a autenticação do Modo Misto porque Serviço de Aplicações no Azure Stack Hub NÃO suporta a Autenticação do Windows.
A instância SQL Server para Serviço de Aplicações do Azure no Azure Stack Hub tem de estar acessível a partir de todas as funções Serviço de Aplicações. Pode implementar SQL Server na Subscrição de Fornecedor Predefinida no Azure Stack Hub. Em alternativa, pode utilizar a infraestrutura existente na sua organização (desde que exista conectividade ao Azure Stack Hub). Se estiver a utilizar uma imagem Azure Marketplace, lembre-se de configurar a firewall em conformidade.
Nota
Estão disponíveis várias imagens de VM IaaS do SQL através da funcionalidade Gestão do Marketplace. Certifique-se de que transfere sempre a versão mais recente da Extensão IaaS do SQL antes de implementar uma VM com um item do Marketplace. As imagens SQL são as mesmas que as VMs do SQL que estão disponíveis no Azure. Para as VMs SQL criadas a partir destas imagens, a extensão IaaS e os melhoramentos correspondentes do portal fornecem funcionalidades como a aplicação de patches automática e as capacidades de cópia de segurança.
Para qualquer uma das funções SQL Server, pode utilizar uma instância predefinida ou uma instância nomeada. Se utilizar uma instância com nome, certifique-se de que inicia manualmente o serviço SQL Server Browser e abre a porta 1434.
O instalador de Serviço de Aplicações irá verificar se o SQL Server tem a contenção da base de dados ativada. Para ativar a contenção da base de dados no SQL Server que irá alojar as bases de dados Serviço de Aplicações, execute estes comandos SQL:
sp_configure 'contained database authentication', 1;
GO
RECONFIGURE;
GO
Preocupações de licenciamento para o servidor de ficheiros necessário e o SQL Server
Serviço de Aplicações do Azure no Azure Stack Hub requer um servidor de ficheiros e SQL Server para funcionar. Pode utilizar recursos pré-existentes localizados fora da implementação do Azure Stack Hub ou implementar recursos na subscrição do Fornecedor Predefinido do Azure Stack Hub.
Se optar por implementar os recursos na Subscrição de Fornecedor Predefinida do Azure Stack Hub, as licenças para esses recursos (Licenças do Windows Server e Licenças de SQL Server) serão incluídas no custo de Serviço de Aplicações do Azure no Azure Stack Hub, sujeitas às seguintes restrições:
- a infraestrutura é implementada na Subscrição de Fornecedor Predefinida;
- a infraestrutura é utilizada exclusivamente pelo Serviço de Aplicações do Azure no fornecedor de recursos do Azure Stack Hub. Nenhuma outra carga de trabalho, administrativa (outros fornecedores de recursos, por exemplo: SQL-RP) ou inquilino (por exemplo: aplicações de inquilino, que requerem uma base de dados), tem permissão para utilizar esta infraestrutura.
Responsabilidade operacional dos servidores de ficheiros e sql
Os operadores da cloud são responsáveis pela manutenção e operação do Servidor de Ficheiros e SQL Server. O fornecedor de recursos não gere estes recursos. O operador da cloud é responsável por fazer uma cópia de segurança das bases de dados Serviço de Aplicações e da partilha de ficheiros de conteúdo do inquilino.
Obter o certificado de raiz do Azure Resource Manager para o Azure Stack Hub
Abra uma sessão elevada do PowerShell num computador que possa alcançar o ponto final privilegiado no Sistema Integrado do Azure Stack Hub ou no Anfitrião ASDK.
Execute o scriptGet-AzureStackRootCert.ps1 a partir da pasta onde extraiu os scripts do programa auxiliar. O script cria um certificado de raiz na mesma pasta que o script que Serviço de Aplicações precisa para criar certificados.
Quando executa o seguinte comando do PowerShell, tem de fornecer o ponto final privilegiado e as credenciais do AzureStack\CloudAdmin.
Get-AzureStackRootCert.ps1
Get-AzureStackRootCert.ps1 parâmetros de script
| Parâmetro | Obrigatório ou opcional | Valor predefinido | Description |
|---|---|---|---|
| PrivilegedEndpoint | Necessário | AzS-ERCS01 | Ponto final privilegiado |
| CloudAdminCredential | Necessário | AzureStack\CloudAdmin | Credencial de conta de domínio para administradores da cloud do Azure Stack Hub |
Configuração de rede e identidade
Rede virtual
Nota
A precriação de uma rede virtual personalizada é opcional, uma vez que o Serviço de Aplicações do Azure no Azure Stack Hub pode criar a rede virtual necessária, mas terá de comunicar com o SQL e o Servidor de Ficheiros através de endereços IP públicos. Se utilizar o Serviço de Aplicações servidor de ficheiros HA e SQL Server modelo de Início Rápido para implementar os recursos do SQL e do Servidor de Ficheiros pré-requisitos, o modelo também implementará uma rede virtual.
Serviço de Aplicações do Azure no Azure Stack Hub permite-lhe implementar o fornecedor de recursos numa rede virtual existente ou permite-lhe criar uma rede virtual como parte da implementação. A utilização de uma rede virtual existente permite a utilização de IPs internos para ligar ao servidor de ficheiros e SQL Server necessários por Serviço de Aplicações do Azure no Azure Stack Hub. A rede virtual tem de ser configurada com o seguinte intervalo de endereços e sub-redes antes de instalar Serviço de Aplicações do Azure no Azure Stack Hub:
Rede virtual - /16
Sub-redes
- ControllersSubnet /24
- ManagementServersSubnet /24
- FrontEndsSubnet /24
- PublishersSubnet /24
- WorkersSubnet /21
Importante
Se optar por implementar Serviço de Aplicações numa rede virtual existente, o SQL Server deve ser implementado numa Sub-rede separada do Serviço de Aplicações e do Servidor de Ficheiros.
Criar uma Aplicação de Identidade para Ativar Cenários de SSO
Serviço de Aplicações do Azure utiliza uma Aplicação de Identidade (Principal de Serviço) para suportar as seguintes operações:
- Integração de conjuntos de dimensionamento de máquinas virtuais em escalões de trabalho.
- SSO para o portal Funções do Azure e ferramentas avançadas para programadores (Kudu).
Dependendo do fornecedor de identidade que o Azure Stack Hub está a utilizar, Microsoft Entra ID ou Serviços de Federação do Active Directory (AD FS) (ADFS), tem de seguir os passos adequados abaixo para criar o principal de serviço para utilização pelo Serviço de Aplicações do Azure no fornecedor de recursos do Azure Stack Hub.
Criar uma Aplicação Microsoft Entra
Siga estes passos para criar o principal de serviço no inquilino do Microsoft Entra:
- Abra uma instância do PowerShell como azurestack\AzureStackAdmin.
- Aceda à localização dos scripts que transferiu e extraiu no passo de pré-requisito.
- Instale o PowerShell para o Azure Stack Hub.
- Execute o scriptCreate-AADIdentityApp.ps1 . Quando lhe for pedido, introduza o ID de inquilino Microsoft Entra que está a utilizar para a implementação do Azure Stack Hub. Por exemplo, introduza myazurestack.onmicrosoft.com.
- Na janela Credenciais, introduza a sua conta de administrador do serviço Microsoft Entra e a palavra-passe. Selecione OK.
- Introduza o caminho do ficheiro de certificado e a palavra-passe do certificado para o certificado criado anteriormente. Por predefinição, o certificado criado para este passo é sso.appservice.local.azurestack.external.pfx.
- Anote o ID da aplicação devolvido na saída do PowerShell. Utilize o ID nos passos seguintes para dar consentimento para as permissões da aplicação e durante a instalação.
- Abra uma nova janela do browser e inicie sessão no portal do Azure como administrador do serviço Microsoft Entra.
- Abra o serviço Microsoft Entra.
- Selecione Registos de Aplicações no painel esquerdo.
- Procure o ID da aplicação que anotou no passo 7.
- Selecione o Serviço de Aplicações registo da aplicação na lista.
- Selecione Permissões de API no painel esquerdo.
- Selecione Conceder consentimento de administrador para <o inquilino>, em que <o inquilino> é o nome do seu inquilino Microsoft Entra. Confirme a concessão de consentimento ao selecionar Sim.
Create-AADIdentityApp.ps1
| Parâmetro | Obrigatório ou opcional | Valor predefinido | Description |
|---|---|---|---|
| DirectoryTenantName | Necessário | Nulo | Microsoft Entra ID do inquilino. Indique o GUID ou a cadeia de carateres. Um exemplo é myazureaaddirectory.onmicrosoft.com. |
| AdminArmEndpoint | Necessário | Nulo | Administração ponto final do Azure Resource Manager. Um exemplo é adminmanagement.local.azurestack.external. |
| TenantARMEndpoint | Necessário | Nulo | Ponto final Resource Manager inquilino do Azure. Um exemplo é management.local.azurestack.external. |
| AzureStackAdminCredential | Necessário | Nulo | Microsoft Entra credencial de administrador do serviço. |
| CertificateFilePath | Necessário | Nulo | Caminho completo para o ficheiro de certificado de aplicação de identidade gerado anteriormente. |
| CertificatePassword | Necessário | Nulo | Palavra-passe que ajuda a proteger a chave privada do certificado. |
| Ambiente | Opcional | AzureCloud | O nome do Ambiente de Cloud suportado no qual o Serviço Graph do Azure Active Directory de destino está disponível. Valores permitidos: "AzureCloud", "AzureChinaCloud", "AzureUSGovernment", "AzureGermanCloud". |
Criar uma aplicação ADFS
- Abra uma instância do PowerShell como azurestack\AzureStackAdmin.
- Aceda à localização dos scripts que transferiu e extraiu no passo de pré-requisito.
- Instale o PowerShell para o Azure Stack Hub.
- Execute o scriptCreate-ADFSIdentityApp.ps1 .
- Na janela Credenciais , introduza a sua conta de administrador da cloud do AD FS e a sua palavra-passe. Selecione OK.
- Indique o caminho do ficheiro de certificado e a palavra-passe do certificado para o certificado criado anteriormente. Por predefinição, o certificado criado para este passo é sso.appservice.local.azurestack.external.pfx.
Create-ADFSIdentityApp.ps1
| Parâmetro | Obrigatório ou opcional | Valor predefinido | Description |
|---|---|---|---|
| AdminArmEndpoint | Necessário | Nulo | Administração ponto final do Azure Resource Manager. Um exemplo é adminmanagement.local.azurestack.external. |
| PrivilegedEndpoint | Necessário | Nulo | Ponto final privilegiado. Um exemplo é AzS-ERCS01. |
| CloudAdminCredential | Necessário | Nulo | Credencial de conta de domínio para administradores da cloud do Azure Stack Hub. Um exemplo é Azurestack\CloudAdmin. |
| CertificateFilePath | Necessário | Nulo | Caminho completo para o ficheiro PFX do certificado da aplicação de identidade. |
| CertificatePassword | Necessário | Nulo | Palavra-passe que ajuda a proteger a chave privada do certificado. |
Transferir itens do Azure Marketplace
Serviço de Aplicações do Azure no Azure Stack Hub requer que os itens sejam transferidos a partir do Azure Marketplace, disponibilizando-os no Marketplace do Azure Stack Hub. Estes itens têm de ser transferidos antes de iniciar a implementação ou atualização de Serviço de Aplicações do Azure no Azure Stack Hub:
Importante
O Windows Server Core não é uma imagem de plataforma suportada para utilização com Serviço de Aplicações do Azure no Azure Stack Hub.
Não utilize imagens de avaliação para implementações de produção.
- A versão mais recente da imagem da VM do Datacenter do Windows Server 2022.
Imagem de VM completa do Windows Server 2022 Datacenter com Microsoft.Net 3.5.1 SP1 ativado. Serviço de Aplicações do Azure no Azure Stack Hub requer que o Microsoft .NET 3.5.1 SP1 esteja ativado na imagem utilizada para implementação. As imagens do Windows Server 2022 sindicadas no Marketplace não têm esta funcionalidade ativada e em ambientes desligados não conseguem aceder ao Microsoft Update para transferir os pacotes a instalar através do DISM. Por conseguinte, tem de criar e utilizar uma imagem do Windows Server 2022 com esta funcionalidade pré-ativada com implementações desligadas.
Veja Adicionar uma imagem de VM personalizada ao Azure Stack Hub para obter detalhes sobre como criar uma imagem personalizada e adicionar ao Marketplace. Certifique-se de que especifica as seguintes propriedades ao adicionar a imagem ao Marketplace:
- Publisher = MicrosoftWindowsServer
- Oferta = WindowsServer
- SKU = AppService
- Versão = Especifique a versão "mais recente"
- Extensão de Script Personalizado v1.9.1 ou superior. Este item é uma extensão de VM.
Passos seguintes
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários