Windows Azure Pack集成AD联合身份认证
2014-03-03 22:04
246 查看
WindowsAzurePack默认情况下是通过注册的方式获取账户,这对于我们已经有了AD的企业来说是非常非常不方便的。不过,通过ActiveDirectoryFederationServices(ADFS)我们能够使WAP与ADDS集成起来,使用我们现有的域账户就能登陆。
首先,我们准备一台ADFS服务器,在角色和功能中添加ADFS服务,如下图。
在进行安装之前,需要为ADFS服务申请一个证书,可通过AD证书服务进行申请,关于证书申请这里就不多做介绍。好了,添加完ADFS服务之后,下面进行配置。
如下图所示,提选择一个连接到ADDS的账户,需要具备域管理员权限。
接下来,指定服务属性,选择我们申请的证书,并填入ADFS显示名称。
指定一个服务账户。
指定数据库,如果没有SQLServer可以选择Windows内部数据库。
配置完毕后,检查先决条件,全部通过开始安装。
等待安装完成后,在工具中打开ADFS管理,如下图。
首先展开信任关系,选择信赖方信任,然后添加信赖方信任,该步骤也可通过AzurePack服务器上C:\ProgramFiles\ManagementService\MgmtSvc-PowerShellAPI\Samples\Authentication\configure-adfs.ps1来编写脚本进行安装:
在联合元数据地址填入WindowsAzurePack租户门户的元数据地址,https://<WAPURL:30081/federationmetadata/2007-06/federationmetadata.xml
填入显示名称,稍后会用到。
多重身份这里保持默认即可。
保持默认,允许所有用户访问。
完成配置,关闭后进行声明规则添加。
添加规则,如下图:
选择以声明方式发送LDAP特性
填入声明规则名称,如LDAPUPN,LDAP特性选择User-Principal-Name,传出声明类型选择UPN
按照以上方式继续创建一个LDAP声明,如下配置。
接下来创建经历或筛选传入声明
如下创建UPN声明。
按照以上方法创建Group传入声明。
OK,完成了全部声明规则配置。
接下来在添加声明提供方信任,如下图
与信赖方信任一样,首先添加联合元数据地址,https://ADFSFQDN.iwstech.local/federationmetadata/2007-06/federationmetadata.xml如下图。
添加一个显示名称。
与上面所介绍的声明规则添加方式相同,添加LDAP与筛选传入声明。
按次序完成4个声明规则的添加。
$dbServer='localhost'
$dbPassword='password'
$portalConfigStoreConnectionString=[string]::Format('DataSource={0};InitialCatalog=Microsoft.MgmtSvc.PortalConfigStore;UserID=sa;Password={1}',$dbServer,$dbPassword)
Set-MgmtSvcRelyingPartySettings-TargetTenant`
-MetadataEndpointhttps://$fqdn/FederationMetadata/2007-06/FederationMetadata.xml`
-ConnectionString$portalConfigStoreConnectionString
首先,我们准备一台ADFS服务器,在角色和功能中添加ADFS服务,如下图。
在进行安装之前,需要为ADFS服务申请一个证书,可通过AD证书服务进行申请,关于证书申请这里就不多做介绍。好了,添加完ADFS服务之后,下面进行配置。
如下图所示,提选择一个连接到ADDS的账户,需要具备域管理员权限。
接下来,指定服务属性,选择我们申请的证书,并填入ADFS显示名称。
指定一个服务账户。
指定数据库,如果没有SQLServer可以选择Windows内部数据库。
配置完毕后,检查先决条件,全部通过开始安装。
等待安装完成后,在工具中打开ADFS管理,如下图。
首先展开信任关系,选择信赖方信任,然后添加信赖方信任,该步骤也可通过AzurePack服务器上C:\ProgramFiles\ManagementService\MgmtSvc-PowerShellAPI\Samples\Authentication\configure-adfs.ps1来编写脚本进行安装:
在联合元数据地址填入WindowsAzurePack租户门户的元数据地址,https://<WAPURL:30081/federationmetadata/2007-06/federationmetadata.xml
填入显示名称,稍后会用到。
多重身份这里保持默认即可。
保持默认,允许所有用户访问。
完成配置,关闭后进行声明规则添加。
添加规则,如下图:
选择以声明方式发送LDAP特性
填入声明规则名称,如LDAPUPN,LDAP特性选择User-Principal-Name,传出声明类型选择UPN
按照以上方式继续创建一个LDAP声明,如下配置。
接下来创建经历或筛选传入声明
如下创建UPN声明。
按照以上方法创建Group传入声明。
OK,完成了全部声明规则配置。
通过Powershell命令Set-AdfsRelyingPartyTrust-TargetIdentifier'http://azureservices/TenantSite'-EnableJWT$true,将EnableJWT开启。
接下来在添加声明提供方信任,如下图
与信赖方信任一样,首先添加联合元数据地址,
添加一个显示名称。
与上面所介绍的声明规则添加方式相同,添加LDAP与筛选传入声明。
按次序完成4个声明规则的添加。
通过下面Powershell将租户门户重定向到ADFS,Set-AdfsRelyingPartyTrust-TargetName"WAPTenantPortal"-ClaimsProviderName@("Azure")
接下来在WindowsAzurePack服务器运行下面脚本,把租户门户配置通过ADFS来验证。$fqdn='ADFSFQDN'
$dbServer='localhost'
$dbPassword='password'
$portalConfigStoreConnectionString=[string]::Format('DataSource={0};InitialCatalog=Microsoft.MgmtSvc.PortalConfigStore;UserID=sa;Password={1}',$dbServer,$dbPassword)
Set-MgmtSvcRelyingPartySettings-TargetTenant`
-MetadataEndpoint
-ConnectionString$portalConfigStoreConnectionString
好了,配置完成后我们打开租户网站,会直接跳转到ADFS验证页面,直接输入域账户即可登录。
完成登录,无需注册。
本文出自“李珣博客-微软技术与云”博客,请务必保留此出处http://lixun.blog.51cto.com/4198640/1367131
相关文章推荐
- 无法在Web服务器上启动调试。调试失败,因为没有启用集成Windows身份认证
- 无责任Windows Azure SDK .NET开发入门篇二[使用Azure AD 进行身份验证]
- 无责任Windows Azure SDK .NET开发入门篇二[使用Azure AD 进行身份验证--2.1使用Azure AD需要了解几个概念]
- 无责任Windows Azure SDK .NET开发入门篇二[使用Azure AD 进行身份验证-2.2身份验证开发]
- 如何启用集成windows身份认证
- XMPP Openfire集成windows身份认证
- 无法在Web服务器上调试程序,调试失败,因为没有启动集成windows身份认证
- XMPP Openfire集成windows身份认证
- 无法在web服务器上启动调试。调试失败,因为没有启用集成windows身份认证
- 无法在Web服务器上启动调试。调试失败,因为没有启用集成Windows身份认证。
- Windows Azure Pack集成配置SPF
- 无责任Windows Azure SDK .NET开发入门(二):使用Azure AD 进行身份验证
- 无法在Web服务器上启动调试。调试失败,因为没有启用集成Windows身份认证。
- 基于windows集成身份认证的“注销”和”切换用户“是这么实现的!
- SSRS使用SSAS作为共享数据源不能使用Windows集成身份验证解决方法
- WIF(Windows Identity Foundation) 被动联合身份验证过程详解
- 微软私有云系列-----windows Azure Pack 安装
- Sharepoint 2010 Form 身份认证的实现(基于AD)
- 现在可用:Workflow Foundation Activity Pack for Windows Azure CTP 1
- ACS被集成到了Windows Azure Management Portal中