AD FS kimliğini Azure Stack Hub veri merkezinizle tümleştirinIntegrate AD FS identity with your Azure Stack Hub datacenter

Azure Stack hub 'ı, kimlik sağlayıcısı olarak Azure Active Directory (Azure AD) veya Active Directory Federasyon Hizmetleri (AD FS) (AD FS) kullanarak dağıtabilirsiniz.You can deploy Azure Stack Hub using Azure Active Directory (Azure AD) or Active Directory Federation Services (AD FS) as the identity provider. Azure Stack hub 'ı dağıtmadan önce seçimi yapmalısınız.You must make the choice before you deploy Azure Stack Hub. Bağlı bir senaryoda Azure AD ' yi veya AD FS seçebilirsiniz.In a connected scenario, you can choose Azure AD or AD FS. Bağlantısı kesik bir senaryo için yalnızca AD FS desteklenir.For a disconnected scenario, only AD FS is supported. Bu makalede Azure Stack hub AD FS veri merkezinizle AD FS tümleştirme gösterilmektedir.This article shows how to integrate Azure Stack Hub AD FS with your datacenter AD FS.

Önemli

Tüm Azure Stack hub çözümünü yeniden dağıtmaya gerek kalmadan kimlik sağlayıcısını değiştiremezsiniz.You can't switch the identity provider without redeploying the entire Azure Stack Hub solution.

Active Directory Federasyon Hizmetleri (AD FS) ve grafikActive Directory Federation Services and Graph

AD FS ile dağıtmak, mevcut bir Active Directory ormanındaki kimliklerin Azure Stack hub 'daki kaynaklarla kimlik doğrulamasından geçmesini sağlar.Deploying with AD FS allows identities in an existing Active Directory forest to authenticate with resources in Azure Stack Hub. Bu mevcut Active Directory ormanı, bir AD FS Federasyon güveni oluşturulmasına izin vermek için AD FS dağıtımı gerektirir.This existing Active Directory forest requires a deployment of AD FS to allow the creation of an AD FS federation trust.

Kimlik doğrulaması, kimliğin bir parçasıdır.Authentication is one part of identity. Azure Stack hub 'ında rol tabanlı erişim denetimi 'ni (RBAC) yönetmek için Graph bileşeninin yapılandırılması gerekir.To manage role-based access control (RBAC) in Azure Stack Hub, the Graph component must be configured. Bir kaynağa erişim atandığında, Graph bileşeni LDAP protokolünü kullanarak mevcut Active Directory ormanında Kullanıcı hesabını arar.When access to a resource is delegated, the Graph component looks up the user account in the existing Active Directory forest using the LDAP protocol.

Azure Stack hub AD FS mimarisi

Mevcut AD FS, Azure Stack hub AD FS (kaynak STS) için talepler gönderen hesap güvenlik belirteci hizmetidir (STS).The existing AD FS is the account security token service (STS) that sends claims to the Azure Stack Hub AD FS (the resource STS). Azure Stack hub 'ında Otomasyon, mevcut AD FS için meta veri uç noktasıyla talep sağlayıcı güveni oluşturur.In Azure Stack Hub, automation creates the claims provider trust with the metadata endpoint for the existing AD FS.

Mevcut AD FS, bağlı olan taraf güveninin yapılandırılması gerekir.At the existing AD FS, a relying party trust must be configured. Bu adım Otomasyon tarafından yapılmaz ve işleç tarafından yapılandırılması gerekir.This step isn't done by the automation, and must be configured by the operator. AD FS için Azure Stack hub VIP uç noktası, model kullanılarak oluşturulabilir https://adfs.<Region>.<ExternalFQDN>/ .The Azure Stack Hub VIP endpoint for AD FS can be created by using the pattern https://adfs.<Region>.<ExternalFQDN>/.

Bağlı olan taraf güveni yapılandırması, Microsoft tarafından sunulan talep dönüştürme kurallarını yapılandırmanızı de gerektirir.The relying party trust configuration also requires you to configure the claim transformation rules that are provided by Microsoft.

Grafik yapılandırması için, var olan Active Directory okuma iznine sahip bir hizmet hesabı sağlanmalıdır.For the Graph configuration, a service account must be provided that has read permission in the existing Active Directory. Bu hesap, RBAC senaryolarını etkinleştirmek üzere otomasyon girişi olarak gereklidir.This account is required as input for the automation to enable RBAC scenarios.

Son adım için, varsayılan sağlayıcı aboneliği için yeni bir sahip yapılandırılır.For the last step, a new owner is configured for the default provider subscription. Bu hesabın Azure Stack hub yönetici portalında oturum açarken tüm kaynaklara tam erişimi vardır.This account has full access to all resources when signed in to the Azure Stack Hub administrator portal.

Gereksinimler:Requirements:

BileşenComponent GereksinimRequirement
GrafGraph Microsoft Active Directory 2012/2012 R2/2016 2019Microsoft Active Directory 2012/2012 R2/2016 2019
AD FSAD FS Windows Server 2012/2012 R2/2016 2019Windows Server 2012/2012 R2/2016 2019

Grafik tümleştirmeyi ayarlamaSetting up Graph integration

Graph yalnızca tek bir Active Directory ormanı ile tümleştirmeyi destekler.Graph only supports integration with a single Active Directory forest. Birden çok orman varsa, kullanıcıları ve grupları getirmek için yalnızca yapılandırmada belirtilen orman kullanılacaktır.If multiple forests exist, only the forest specified in the configuration will be used to fetch users and groups.

Aşağıdaki bilgiler Otomasyon parametrelerinin girişleri olarak gereklidir:The following information is required as inputs for the automation parameters:

ParametreParameter Dağıtım çalışma sayfası parametresiDeployment Worksheet Parameter AçıklamaDescription ÖrnekExample
CustomADGlobalCatalog AD FS orman FQDN 'SIAD FS Forest FQDN Tümleştirmek istediğiniz hedef Active Directory ormanın FQDN 'SIFQDN of the target Active Directory forest that you want to integrate with Contoso.comContoso.com
CustomADAdminCredentials LDAP okuma izni olan bir KullanıcıA user with LDAP Read permission YOURDOMAIN\graphserviceYOURDOMAIN\graphservice

Active Directory siteleri yapılandırmaConfigure Active Directory Sites

Birden çok siteye sahip Active Directory dağıtımları için en yakın Active Directory sitesini Azure Stack hub dağıtımınız olarak yapılandırın.For Active Directory deployments having multiple sites, configure the closest Active Directory Site to your Azure Stack Hub deployment. Yapılandırma Azure Stack hub Graph hizmetinin uzak bir siteden küresel katalog sunucusu kullanarak sorguları çözümlamalarını engeller.The configuration avoids having the Azure Stack Hub Graph service resolve queries using a Global Catalog Server from a remote site.

Azure Stack hub ortak VIP ağ alt ağını Azure Stack hub 'ına en yakın Active Directory sitesine ekleyin.Add the Azure Stack Hub Public VIP network subnet to the Active Directory Site closest to Azure Stack Hub. Örneğin, Active Directory iki sitelim olduğunu varsayalım: Seattle ve Redmond.For example, let's say your Active Directory has two sites: Seattle and Redmond. Seattle sitesinde Azure Stack hub dağıtılırsa, Seattle için Active Directory sitesine Azure Stack hub ortak VIP ağ alt ağını eklersiniz.If Azure Stack Hub is deployed at the Seattle site, you would add the Azure Stack Hub Public VIP network subnet to the Active Directory site for Seattle.

Active Directory siteleri hakkında daha fazla bilgi için bkz. site topolojisini tasarlama.For more information on Active Directory Sites, see Designing the site topology.

Not

Active Directory tek bir siteden oluşur, bu adımı atlayabilirsiniz.If your Active Directory consist of a single site, you can skip this step. Yapılandırılmış bir catch-all alt ağınız varsa, Azure Stack hub ortak VIP ağ alt ağının bunun bir parçası olmadığını doğrulayın.If you have a catch-all subnet configured, validate that the Azure Stack Hub Public VIP network subnet isn't part of it.

Mevcut Active Directory Kullanıcı hesabı oluştur (isteğe bağlı)Create user account in the existing Active Directory (optional)

İsteğe bağlı olarak, mevcut Active Directory grafik hizmeti için bir hesap oluşturabilirsiniz.Optionally, you can create an account for the Graph service in the existing Active Directory. Kullanmak istediğiniz bir hesabınız yoksa bu adımı kullanın.Do this step if you don't already have an account that you want to use.

  1. Mevcut Active Directory, aşağıdaki kullanıcı hesabını (öneri) oluşturun:In the existing Active Directory, create the following user account (recommendation):

    • Kullanıcı adı: graphserviceUsername: graphservice
    • Parola: güçlü bir parola kullanın ve parolayı süresiz olarak yapılandırın.Password: Use a strong password and configure the password to never expire.

    Özel izin veya üyelik gerekmez.No special permissions or membership is required.

Grafiği yapılandırmak için Otomasyonu tetiklemeTrigger automation to configure graph

Bu yordamda, veri merkezi ağınızda Azure Stack hub 'daki ayrıcalıklı uç noktayla iletişim kurabilen bir bilgisayar kullanın.For this procedure, use a computer in your datacenter network that can communicate with the privileged endpoint in Azure Stack Hub.

  1. Yükseltilmiş bir Windows PowerShell oturumu açın (yönetici olarak çalıştır) ve ayrıcalıklı uç noktanın IP adresine bağlanın.Open an elevated Windows PowerShell session (run as administrator), and connect to the IP address of the privileged endpoint. Kimlik doğrulamak için CloudAdmin kimlik bilgilerini kullanın.Use the credentials for CloudAdmin to authenticate.

    $creds = Get-Credential
    $pep = New-PSSession -ComputerName <IP Address of ERCS> -ConfigurationName PrivilegedEndpoint -Credential $creds
    
  2. Ayrıcalıklı uç noktayla bir oturumunuz olduğuna göre, şu komutu çalıştırın:Now that you have a session with the privileged endpoint, run the following command:

    Azure Stack hub derlemesi 2008 ve daha yeni bir sürümü için aşağıdaki betiği çalıştırınRun the below script for Azure Stack Hub build 2008 and newer

     $i = @(
            [pscustomobject]@{ 
                      CustomADGlobalCatalog="fabrikam.com"
                      CustomADAdminCredential= get-credential
                      SkipRootDomainValidation = $false 
                      ValidateParameters = $true
                    }) 
    
     Invoke-Command -Session $pep -ScriptBlock {Register-DirectoryService -customCatalog $using:i} 
    
    
    

    2008 ' dan önceki Azure Stack hub derlemesi için aşağıdaki betiği çalıştırınRun the below script for Azure Stack Hub build prior to 2008

    Invoke-Command -Session $pep -ScriptBlock {Register-DirectoryService -CustomADGlobalCatalog contoso.com} 
    
    
    

    İstendiğinde, Graph hizmeti (graphservice gibi) için kullanmak istediğiniz kullanıcı hesabının kimlik bilgisini belirtin.When prompted, specify the credential for the user account that you want to use for the Graph service (such as graphservice). Register-DirectoryService cmdlet 'inin girişi, ormandaki diğer etki alanı yerine Orman adı/kök etki alanı olmalıdır.The input for the Register-DirectoryService cmdlet must be the forest name / root domain in the forest rather than any other domain in the forest.

    Önemli

    Kimlik bilgileri açılır penceresi için bekleyin (ayrıcalıklı uç noktada kimlik bilgisi al desteklenmez) ve Graph Service hesabı kimlik bilgilerini girin.Wait for the credentials pop-up (Get-Credential isn't supported in the privileged endpoint) and enter the Graph Service Account credentials.

  3. Register-DirectoryService cmdlet 'i, mevcut Active Directory doğrulamanın başarısız olduğu belirli senaryolarda kullanabileceğiniz isteğe bağlı parametrelere sahiptir.The Register-DirectoryService cmdlet has optional parameters that you can use in certain scenarios where the existing Active Directory validation fails. Bu cmdlet yürütüldüğünde, sağlanan etki alanının kök etki alanı olduğunu, bir genel katalog sunucusuna ulaşılmadığını ve sağlanan hesaba okuma erişimi verildiğini doğrular.When this cmdlet is executed, it validates that the provided domain is the root domain, a global catalog server can be reached, and that the provided account is granted read access.

    ParametreParameter AçıklamaDescription
    SkipRootDomainValidation Önerilen kök etki alanı yerine bir alt etki alanı kullanılması gerektiğini belirtir.Specifies that a child domain must be used instead of the recommended root domain.
    ValidateParameters Tüm doğrulama denetimlerini atlar.Bypasses all validation checks.

Grafik protokolleri ve bağlantı noktalarıGraph protocols and ports

Azure Stack hub 'daki Graph hizmeti, hedef Active Directory ormanında oturum açma isteklerini işleyebilde olan yazılabilir bir genel katalog sunucusu (GC) ve Anahtar Dağıtım Merkezi (KDC) ile iletişim kurmak için aşağıdaki protokolleri ve bağlantı noktalarını kullanır.Graph service in Azure Stack Hub uses the following protocols and ports to communicate with a writeable Global Catalog Server (GC) and Key Distribution Center (KDC) that can process login requests in the target Active Directory forest.

Azure Stack hub 'daki Graph hizmeti, hedef Active Directory iletişim kurmak için aşağıdaki protokolleri ve bağlantı noktalarını kullanır:Graph service in Azure Stack Hub uses the following protocols and ports to communicate with the target Active Directory:

TürType Bağlantı noktasıPort ProtokolProtocol
LDAPLDAP 389389 TCP & UDPTCP & UDP
LDAP SSLLDAP SSL 636636 TCPTCP
LDAP GCLDAP GC 32683268 TCPTCP
LDAP GC SSLLDAP GC SSL 32693269 TCPTCP

Federasyon meta verilerini indirerek AD FS tümleştirmeyi ayarlamaSetting up AD FS integration by downloading federation metadata

Aşağıdaki bilgiler Otomasyon parametrelerinin girişi olarak gereklidir:The following information is required as input for the automation parameters:

ParametreParameter Dağıtım çalışma sayfası parametresiDeployment Worksheet Parameter AçıklamaDescription ÖrnekExample
CustomadfnameCustomAdfsName AD FS sağlayıcı adıAD FS Provider Name Talep sağlayıcısının adı.Name of the claims provider.
AD FS giriş sayfasında bu şekilde görünür.It appears that way on the AD FS landing page.
ContosoContoso
CustomADCustomAD
FSFederationMetadataEndpointUriFSFederationMetadataEndpointUri
AD FS meta veri URI 'SIAD FS Metadata URI Federasyon meta veri bağlantısı.Federation metadata link. https: / /ad01.contoso.com/federationmetadata/2007-06/federationmetadata.xmlhttps://ad01.contoso.com/federationmetadata/2007-06/federationmetadata.xml
SigningCertificateRevocationCheckSigningCertificateRevocationCheck NANA CRL denetimini atlamak için isteğe bağlı parametre.Optional Parameter to skip CRL checking. HiçbiriNone

Azure Stack hub 'da talep sağlayıcı güveni yapılandırmak için Otomasyonu tetiklemeTrigger automation to configure claims provider trust in Azure Stack Hub

Bu yordam için Azure Stack hub 'ında ayrıcalıklı uç noktayla iletişim kurabilen bir bilgisayar kullanın.For this procedure, use a computer that can communicate with the privileged endpoint in Azure Stack Hub. Hesap STS AD FS tarafından kullanılan sertifikanın Azure Stack hub ile güvenilir olması beklenir.It's expected that the certificate used by the account STS AD FS is trusted by Azure Stack Hub.

  1. Yükseltilmiş bir Windows PowerShell oturumu açın ve ayrıcalıklı uç noktaya bağlanın.Open an elevated Windows PowerShell session and connect to the privileged endpoint.

    $creds = Get-Credential
    Enter-PSSession -ComputerName <IP Address of ERCS> -ConfigurationName PrivilegedEndpoint -Credential $creds
    
  2. Ayrıcalıklı uç noktaya bağlı olduğunuza göre, ortamınız için uygun parametreleri kullanarak aşağıdaki komutu çalıştırın:Now that you're connected to the privileged endpoint, run the following command using the parameters appropriate for your environment:

    Register-CustomAdfs -CustomAdfsName Contoso -CustomADFSFederationMetadataEndpointUri https://win-SQOOJN70SGL.contoso.com/federationmetadata/2007-06/federationmetadata.xml
    
  3. Ortamınız için uygun parametreleri kullanarak varsayılan sağlayıcı aboneliğinin sahibini güncelleştirmek için aşağıdaki komutu çalıştırın:Run the following command to update the owner of the default provider subscription using the parameters appropriate for your environment:

    Set-ServiceAdminOwner -ServiceAdminOwnerUpn "administrator@contoso.com"
    

Federasyon meta veri dosyası sağlayarak AD FS tümleştirme ayarlamaSetting up AD FS integration by providing federation metadata file

Sürüm 1807 ' den başlayarak, aşağıdaki koşullardan biri doğru ise bu yöntemi kullanın:Beginning with version 1807, use this method if the either of the following conditions are true:

  • Sertifika zinciri, Azure Stack hub 'daki diğer tüm uç noktalarla karşılaştırıldığında AD FS farklıdır.The certificate chain is different for AD FS compared to all other endpoints in Azure Stack Hub.
  • Azure Stack hub 'ın AD FS örneğinden mevcut AD FS sunucusuna ağ bağlantısı yok.There's no network connectivity to the existing AD FS server from Azure Stack Hub's AD FS instance.

Aşağıdaki bilgiler Otomasyon parametrelerinin girişi olarak gereklidir:The following information is required as input for the automation parameters:

ParametreParameter AçıklamaDescription ÖrnekExample
CustomadfnameCustomAdfsName Talep sağlayıcısının adı.Name of the claims provider. AD FS giriş sayfasında bu şekilde görünür.It appears that way on the AD FS landing page. ContosoContoso
CustomadffederationmetadatafilecontentCustomADFSFederationMetadataFileContent Meta veri içeriği.Metadata content. $using: federationMetadataFileContent$using:federationMetadataFileContent

Federasyon meta veri dosyası oluşturCreate federation metadata file

Aşağıdaki yordam için, mevcut AD FS dağıtımına ağ bağlantısı olan bir bilgisayar kullanmanız gerekir. Bu, hesap STS 'si haline gelir.For the following procedure, you must use a computer that has network connectivity to the existing AD FS deployment, which becomes the account STS. Gerekli sertifikaların de yüklenmesi gerekir.The necessary certificates must also be installed.

  1. Yükseltilmiş bir Windows PowerShell oturumu açın ve ortamınız için uygun parametreleri kullanarak aşağıdaki komutu çalıştırın:Open an elevated Windows PowerShell session, and run the following command using the parameters appropriate for your environment:

     $url = "https://win-SQOOJN70SGL.contoso.com/FederationMetadata/2007-06/FederationMetadata.xml"
     $webclient = New-Object System.Net.WebClient
     $webclient.Encoding = [System.Text.Encoding]::UTF8
     $metadataAsString = $webclient.DownloadString($url)
     Set-Content -Path c:\metadata.xml -Encoding UTF8 -Value $metadataAsString
    
  2. Meta veri dosyasını ayrıcalıklı uç noktayla iletişim kurabildiği bir bilgisayara kopyalayın.Copy the metadata file to a computer that can communicate with the privileged endpoint.

Azure Stack hub 'da talep sağlayıcı güveni yapılandırmak için Otomasyonu tetiklemeTrigger automation to configure claims provider trust in Azure Stack Hub

Bu yordam için Azure Stack hub 'daki ayrıcalıklı uç noktayla iletişim kurabilen ve önceki adımda oluşturduğunuz meta veri dosyasına erişebilen bir bilgisayar kullanın.For this procedure, use a computer that can communicate with the privileged endpoint in Azure Stack Hub and has access to the metadata file you created in a previous step.

  1. Yükseltilmiş bir Windows PowerShell oturumu açın ve ayrıcalıklı uç noktaya bağlanın.Open an elevated Windows PowerShell session and connect to the privileged endpoint.

    $federationMetadataFileContent = get-content c:\metadata.xml
    $creds=Get-Credential
    Enter-PSSession -ComputerName <IP Address of ERCS> -ConfigurationName PrivilegedEndpoint -Credential $creds
    
  2. Ayrıcalıklı uç noktaya bağlı olduğunuza göre, ortamınız için uygun parametreleri kullanarak aşağıdaki komutu çalıştırın:Now that you're connected to the privileged endpoint, run the following command using the parameters appropriate for your environment:

    Register-CustomAdfs -CustomAdfsName Contoso -CustomADFSFederationMetadataFileContent $using:federationMetadataFileContent
    
  3. Varsayılan sağlayıcı aboneliğinin sahibini güncelleştirmek için aşağıdaki komutu çalıştırın.Run the following command to update the owner of the default provider subscription. Ortamınız için uygun parametreleri kullanın.Use the parameters appropriate for your environment.

    Set-ServiceAdminOwner -ServiceAdminOwnerUpn "administrator@contoso.com"
    

    Not

    Sertifikayı mevcut AD FS (Account STS) üzerinde döndürdüğünüzde, AD FS tümleştirmesini yeniden ayarlamanız gerekir.When you rotate the certificate on the existing AD FS (account STS), you must set up the AD FS integration again. Meta veri uç noktası ulaşılabilir olsa veya meta veri dosyası sağlanarak yapılandırıldıysa bile tümleştirmeyi ayarlamanız gerekir.You must set up the integration even if the metadata endpoint is reachable or it was configured by providing the metadata file.

Mevcut AD FS dağıtımında bağlı olan tarafı yapılandırma (hesap STS)Configure relying party on existing AD FS deployment (account STS)

Microsoft, talep dönüştürme kuralları da dahil olmak üzere, bağlı olan taraf güvenini yapılandıran bir betik sağlar.Microsoft provides a script that configures the relying party trust, including the claim transformation rules. Komutları elle çalıştırabileceğiniz için betiği kullanmak isteğe bağlıdır.Using the script is optional as you can run the commands manually.

Yardımcı betiği GitHub 'daki Azure Stack hub araçlarından indirebilirsiniz.You can download the helper script from Azure Stack Hub Tools on GitHub.

Komutları el ile çalıştırmaya karar verirseniz, aşağıdaki adımları izleyin:If you decide to manually run the commands, follow these steps:

  1. Aşağıdaki içeriği, veri merkezinizin AD FS örneğine veya grup üyesine bir. txt dosyasına (örneğin, c:\ClaimIssuanceRules.txt olarak kaydedilir) kopyalayın:Copy the following content into a .txt file (for example, saved as c:\ClaimIssuanceRules.txt) on your datacenter's AD FS instance or farm member:

    @RuleTemplate = "LdapClaims"
    @RuleName = "Name claim"
    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"]
    => issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name"), query = ";userPrincipalName;{0}", param = c.Value);
    
    @RuleTemplate = "LdapClaims"
    @RuleName = "UPN claim"
    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"]
    => issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"), query = ";userPrincipalName;{0}", param = c.Value);
    
    @RuleTemplate = "LdapClaims"
    @RuleName = "ObjectID claim"
    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid"]
    => issue(Type = "http://schemas.microsoft.com/identity/claims/objectidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType);
    
    @RuleName = "Family Name and Given claim"
    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"]
    => issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname", "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname"), query = ";sn,givenName;{0}", param = c.Value);
    
    @RuleTemplate = "PassThroughClaims"
    @RuleName = "Pass through all Group SID claims"
    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"]
    => issue(claim = c);
    
    @RuleTemplate = "PassThroughClaims"
    @RuleName = "Pass through all windows account name claims"
    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]
    => issue(claim = c);
    
  2. Extranet ve intranet için Windows Forms tabanlı kimlik doğrulamasının etkinleştirildiğini doğrulayın.Validate that Windows Forms-based authentication for extranet and intranet is enabled. Aşağıdaki cmdlet 'i çalıştırarak zaten etkin olup olmadığını kontrol edebilirsiniz:You can check if its already enabled by running the following cmdlet:

    Get-AdfsAuthenticationProvider | where-object { $_.name -eq "FormsAuthentication" } | select Name, AllowedForPrimaryExtranet, AllowedForPrimaryIntranet
    

    Not

    Windows tümleşik kimlik doğrulaması (WIA) desteklenen Kullanıcı Aracısı dizeleri AD FS dağıtımınız için güncel olmayabilir ve en son istemcileri desteklemek için bir güncelleştirme gerekebilir.The Windows Integrated Authentication (WIA) supported user agent strings may be outdated for your AD FS deployment and may require an update to support the latest clients. WIA destekli Kullanıcı Aracısı dizelerini güncelleştirme hakkında daha fazla bilgi edinmek için, WIA desteklemeyen cihazlar için intranet Forms tabanlı kimlik doğrulaması yapılandırmamakalesinde bulabilirsiniz.You can read more about updating the WIA supported user agent strings in the article Configuring intranet forms-based authentication for devices that don't support WIA.

    Form tabanlı kimlik doğrulama ilkesini etkinleştirme adımları için bkz. kimlik doğrulama Ilkelerini yapılandırma.For steps to enable Form-based authentication policy, see Configure Authentication Policies.

  3. Bağlı olan taraf güvenini eklemek için, aşağıdaki Windows PowerShell komutunu AD FS örneğiniz veya bir grup üyesi üzerinde çalıştırın.To add the relying party trust, run the following Windows PowerShell command on your AD FS instance or a farm member. AD FS uç noktasını güncelleştirdiğinizden emin olun ve adım 1 ' de oluşturulan dosyanın üzerine gelin.Make sure to update the AD FS endpoint and point to the file created in Step 1.

    AD FS 2016/2019 içinFor AD FS 2016/2019

    Add-ADFSRelyingPartyTrust -Name AzureStack -MetadataUrl "https://YourAzureStackADFSEndpoint/FederationMetadata/2007-06/FederationMetadata.xml" -IssuanceTransformRulesFile "C:\ClaimIssuanceRules.txt" -AutoUpdateEnabled:$true -MonitoringEnabled:$true -enabled:$true -AccessControlPolicyName "Permit everyone" -TokenLifeTime 1440
    

    AD FS 2012/2012 R2 içinFor AD FS 2012/2012 R2

    Add-ADFSRelyingPartyTrust -Name AzureStack -MetadataUrl "https://YourAzureStackADFSEndpoint/FederationMetadata/2007-06/FederationMetadata.xml" -IssuanceTransformRulesFile "C:\ClaimIssuanceRules.txt" -AutoUpdateEnabled:$true -MonitoringEnabled:$true -enabled:$true -TokenLifeTime 1440
    

    Önemli

    Windows Server 2012 veya 2012 R2 AD FS kullanırken verme yetkilendirme kurallarını yapılandırmak için AD FS MMC ek bileşenini kullanmanız gerekir.You must use the AD FS MMC snap-in to configure the Issuance Authorization Rules when using Windows Server 2012 or 2012 R2 AD FS.

  4. Azure Stack hub 'a erişmek için Internet Explorer veya Microsoft Edge tarayıcısı kullandığınızda, belirteç bağlamalarını göz ardı etmeniz gerekir.When you use Internet Explorer or the Microsoft Edge browser to access Azure Stack Hub, you must ignore token bindings. Aksi takdirde, oturum açma girişimleri başarısız olur.Otherwise, the sign-in attempts fail. AD FS örneğiniz veya bir grup üyesi üzerinde aşağıdaki komutu çalıştırın:On your AD FS instance or a farm member, run the following command:

    Not

    Windows Server 2012 veya 2012 R2 AD FS kullanılırken bu adım geçerli değildir.This step isn't applicable when using Windows Server 2012 or 2012 R2 AD FS. Bu durumda, bu komutu atlamak ve tümleştirmeyle devam etmek güvenlidir.In that case, it's safe to skip this command and continue with the integration.

    Set-AdfsProperties -IgnoreTokenBinding $true
    

    AD FS 2002 ve üzeri içinFor AD FS 2002 and greater

    Not

    Add-ADFSRelyingPartyTrustMüşterinin sahip olduğu ADFS ana bilgisayarında/grubunda yürütme yaparken önce, ilk olarak ADFS konağında veya grubunda TLS 1.2 ' ın uygulandığından emin olmanız gerekir, bu durumda deneme aşağıdaki hata iletisine neden olur:When executing Add-ADFSRelyingPartyTrust on the customer owned ADFS host/farm, you must first ensure that TLS1.2 is enforced on the ADFS host/farm else the attempt will result in the following error message:

Add-ADFSRelyingPartyTrust : The underlying connection was closed: An unexpected error occurred on a send.

SPN oluşturmaSPN creation

Kimlik doğrulaması için bir hizmet asıl adı (SPN) kullanılması gereken birçok senaryo vardır.There are many scenarios that require the use of a service principal name (SPN) for authentication. Aşağıda bazı örnekler verilmiştir:The following are some examples:

  • Azure Stack hub 'ın AD FS dağıtımıyla CLı kullanımı.CLI usage with AD FS deployment of Azure Stack Hub.
  • AD FS ile dağıtıldığında Azure Stack Hub için System Center yönetim paketi.System Center Management Pack for Azure Stack Hub when deployed with AD FS.
  • AD FS ile dağıtıldığında Azure Stack hub 'ındaki kaynak sağlayıcıları.Resource providers in Azure Stack Hub when deployed with AD FS.
  • Çeşitli uygulamalar.Various apps.
  • Etkileşimli olmayan bir oturum açma gerekir.You require a non-interactive sign-in.

Önemli

AD FS yalnızca etkileşimli oturum açma oturumlarını destekler.AD FS only supports interactive sign-in sessions. Otomatik senaryo için etkileşimli olmayan bir oturum açma gerekliyse, SPN kullanmanız gerekir.If you require a non-interactive sign-in for an automated scenario, you must use a SPN.

SPN oluşturma hakkında daha fazla bilgi için bkz. AD FS için hizmet sorumlusu oluşturma.For more information on creating an SPN, see Create service principal for AD FS.

Sorun gidermeTroubleshooting

Yapılandırma geri almaConfiguration Rollback

Daha önce kimlik doğrulayabileceğiniz bir durumda ortamı atan bir hata oluşursa, geri alma seçeneği kullanılabilir.If an error occurs that leaves the environment in a state where you can no longer authenticate, a rollback option is available.

  1. Yükseltilmiş bir Windows PowerShell oturumu açın ve aşağıdaki komutları çalıştırın:Open an elevated Windows PowerShell session and run the following commands:

    $creds = Get-Credential
    Enter-PSSession -ComputerName <IP Address of ERCS> -ConfigurationName PrivilegedEndpoint -Credential $creds
    
  2. Ardından aşağıdaki cmdlet 'i çalıştırın:Then run the following cmdlet:

    Reset-DatacenterIntegrationConfiguration
    

    Geri alma eylemini çalıştırdıktan sonra tüm yapılandırma değişiklikleri geri alınır.After running the rollback action, all configuration changes are rolled back. Yalnızca yerleşik CloudAdmin kullanıcısı ile kimlik doğrulaması mümkündür.Only authentication with the built-in CloudAdmin user is possible.

    Önemli

    Varsayılan sağlayıcı aboneliğinin orijinal sahibini yapılandırmanız gerekir.You must configure the original owner of the default provider subscription.

    Set-ServiceAdminOwner -ServiceAdminOwnerUpn "azurestackadmin@[Internal Domain]"
    

Ek Günlükler toplanıyorCollecting additional logs

Cmdlet 'lerden herhangi biri başarısız olursa cmdlet 'ini kullanarak ek Günlükler toplayabilirsiniz Get-Azurestacklogs .If any of the cmdlets fail, you can collect additional logs by using the Get-Azurestacklogs cmdlet.

  1. Yükseltilmiş bir Windows PowerShell oturumu açın ve aşağıdaki komutları çalıştırın:Open an elevated Windows PowerShell session and run the following commands:

    $creds = Get-Credential
    Enter-pssession -ComputerName <IP Address of ERCS> -ConfigurationName PrivilegedEndpoint -Credential $creds
    
  2. Ardından aşağıdaki cmdlet 'i çalıştırın:Then run the following cmdlet:

    Get-AzureStackLog -OutputPath \\myworkstation\AzureStackLogs -FilterByRole ECE
    

Sonraki adımlarNext steps

Dış izleme çözümlerini tümleştirmeIntegrate external monitoring solutions