Prerequisiti per la distribuzione del servizio app nell'hub di Azure Stack

Importante

Aggiornare hub di Azure Stack a una versione supportata, se necessario, prima di distribuire o aggiornare il provider di risorse Servizio app di Azure. Assicurarsi di leggere le note sulla versione per il provider di risorse per informazioni sulle nuove funzionalità, sulle correzioni e sugli eventuali problemi noti che possono influire sulla distribuzione.

Versione minima dell'hub di Azure Stack supportata Versione del provider di risorse di App Service
2311 e versioni ulteriori 25R1 programma di installazione, 25R1 pacchetto offline (note sulla versione)

Prima di distribuire Servizio app di Azure in hub di Azure Stack, completare i passaggi dei prerequisiti descritti in questo articolo.

hub di Azure Stack distribuzioni di sistema integrate

Prerequisiti del provider di risorse

Se è già stato installato un provider di risorse, è probabile che siano stati completati i prerequisiti seguenti e che sia possibile ignorare questa sezione. In caso contrario, completare questi passaggi prima di continuare.

  1. Registra l'istanza di hub di Azure Stack con Azure, se non l'hai già fatto. È necessario registrare l'istanza di hub di Azure Stack con Azure perché ci si connetterà a Azure e scaricare elementi dal marketplace.

  2. Se non si ha familiarità con la funzionalità di gestione del Marketplace del portale di amministrazione dell'hub di Azure Stack, vedere Scaricare gli elementi del Marketplace da Azure e pubblicare nell'hub di Azure Stack. L'articolo illustra il processo di download di elementi da Azure al marketplace dell'hub di Azure Stack. Vengono illustrati gli scenari connessi e disconnessi. Se l'istanza di hub di Azure Stack è disconnessa o parzialmente connessa, è necessario completare ulteriori prerequisiti per la preparazione dell'installazione.

  3. Aggiornare la home directory di Microsoft Entra. A partire dalla build 1910, è necessario registrare una nuova applicazione nel tenant della home directory. Questa app consente ad hub di Azure Stack di creare e registrare con successo provider di risorse più recenti (ad esempio Hub eventi di Azure e altri ancora) nel tenant Microsoft Entra.

    Questa azione è necessaria dopo l'aggiornamento alla build 1910 o successiva. Se non si completa questo passaggio, le installazioni dei provider di risorse dal marketplace hanno esito negativo.

  4. Dopo aver aggiornato correttamente l'istanza di hub di Azure Stack alla versione 1910 o successiva, seguire le instructions per clonare/scaricare il repository hub di Azure Stack Tools.

  5. Seguire le istruzioni per aggiornare la directory principale Microsoft Entra di hub di Azure Stack (dopo l'installazione degli aggiornamenti o di nuovi provider di risorse).

Script di installazione e di supporto

  1. Scaricare gli script helper per la distribuzione del servizio app in hub di Azure Stack.

    Gli script helper di distribuzione richiedono il modulo AzureRM PowerShell. Per informazioni dettagliate sull'installazione, vedere Installare i moduli Az di PowerShell e Azure Stack per hub di Azure Stack.

  2. Scaricare installer per il servizio app in hub di Azure Stack.

  3. Estrarre il contenuto del file .zip per gli script helper. Vengono estratti i file e le cartelle seguenti:

    • Common.ps1
    • Create-AADIdentityApp.ps1
    • Create-ADFSIdentityApp.ps1
    • Create-AppServiceCerts.ps1
    • Get-AzureStackRootCert.ps1
    • BCDR
      • ReACL.cmd
    • Cartella moduli
      • GraphAPI.psm1

Requisiti del certificato

Per eseguire il provider di risorse nell'ambiente di produzione, è necessario fornire i certificati seguenti:

  • Certificato di dominio predefinito
  • Certificato API
  • Certificato di pubblicazione
  • Certificato di identità

Oltre ai requisiti specifici elencati nelle sezioni seguenti, si usa uno strumento in un secondo momento per testare i requisiti generali. Per l'elenco completo delle convalide, vedere Validate hub di Azure Stack certificati PKI. Le validazioni includono:

  • Formato di file con estensione pfx.
  • Utilizzo della chiave impostato su autenticazione server e client.
  • Molti altri.

Certificato di dominio predefinito

Il provider di risorse inserisce il certificato di dominio predefinito nel ruolo front-end. Le applicazioni utente per le richieste di domini wildcard o predefiniti di Servizio app di Azure usano questo certificato. Il certificato protegge anche le operazioni di controllo del codice sorgente (Kudu).

Il certificato deve essere in formato .pfx e deve essere un certificato wildcard a tre soggetti. Questo requisito consente a un certificato di coprire sia il dominio predefinito che l'endpoint scm per le operazioni di controllo del codice sorgente.

Formato Esempio
*.appservice.<region>.<DomainName>.<extension> *.appservice.redmond.azurestack.external
*.scm.appservice.<region>.<DomainName>.<extension> *.scm.appservice.redmond.azurestack.external
*.sso.appservice.<region>.<DomainName>.<extension> *.sso.appservice.redmond.azurestack.external

Certificato API

Inserire il certificato API nel ruolo di gestione. Il provider di risorse lo usa per proteggere le chiamate API. Il certificato per la pubblicazione deve contenere un oggetto corrispondente alla voce DNS dell'API.

Formato Esempio
api.appservice.<region>.<DomainName>.<extension> api.appservice.redmond.azurestack.external

Certificato di pubblicazione

Il certificato per il ruolo di pubblicazione consente di proteggere il traffico FTPS per i proprietari di app quando caricano il contenuto. Il certificato per la pubblicazione deve contenere un oggetto corrispondente alla voce DNS FTPS.

Formato Esempio
ftp.appservice.<region>.<DomainName>.<extension> ftp.appservice.redmond.azurestack.external

Certificato di identità

Il certificato per l'app di identità abilita:

  • Integrazione tra la directory Microsoft Entra o Active Directory Federation Services (AD FS), hub di Azure Stack e App Service per supportare l'integrazione con il provider di risorse di elaborazione.
  • Scenari di Single Sign-On (SSO) per strumenti di sviluppo avanzati all'interno di Servizio app di Azure in hub di Azure Stack.

Il certificato di identità deve contenere un oggetto che corrisponde al formato seguente.

Formato Esempio
sso.appservice.<region>.<DomainName>.<extension> sso.appservice.redmond.azurestack.external

Convalida del certificato

Prima di distribuire il provider di risorse del servizio app, validate i certificati usando lo strumento hub di Azure Stack Readiness Checker disponibile nel PowerShell Gallery. Lo strumento di verifica dell'idoneità dell'hub di Azure Stack verifica che i certificati PKI generati siano adatti per la distribuzione servizio app.

Quando si lavora con uno qualsiasi dei necessari certificati PKI di hub di Azure Stack, è opportuno prevedere tempo sufficiente per testare e, se necessario, riemettere i certificati.

Preparazione del file server

Servizio app di Azure richiede un file server. Per le distribuzioni di produzione, è necessario configurare il file server in modo che sia a disponibilità elevata e in grado di gestire gli errori.

Usare un modello di avvio rapido per un file server e un SQL Server

È disponibile un modello quickstart per un'architettura di riferimento per la distribuzione di un file server a disponibilità elevata e SQL Server. Questo modello supporta l'infrastruttura di Active Directory all'interno di una rete virtuale configurata per supportare una distribuzione a elevata disponibilità di Servizio app di Azure in hub di Azure Stack.

L'operatore hub di Azure Stack gestisce questi server, in particolare negli ambienti di produzione. Configurare il modello in base alle esigenze o necessarie per l'organizzazione.

Nota

L'istanza di sistema integrata deve essere in grado di scaricare le risorse da GitHub per completare la distribuzione.

Distribuire un file server personalizzato

Se si sceglie di distribuire il servizio app in una rete virtuale esistente, distribuire il file server in una subnet separata dal servizio app.

Se si sceglie di distribuire un file server usando uno dei modelli di avvio rapido indicati in precedenza, è possibile ignorare questa sezione. I file server vengono configurati come parte della distribuzione del modello.

Effettuare il provisioning di gruppi e account in Active Directory

  1. Creare i seguenti gruppi di sicurezza globali di Active Directory:

    • FileShareOwners
    • FileShareUsers

  2. Creare gli account Active Directory seguenti come account del servizio:

    • FileShareOwner
    • FileShareUser

    Come procedura consigliata per la sicurezza, usare utenti univoci per questi account (e per tutti i ruoli Web). Usare anche nomi utente e password sicuri. Impostare le password con le condizioni seguenti:

    • Attiva La password non scade mai.
    • Abilita l'utente non può modificare la password.
    • Disabilitare l'utente deve modificare la password all'accesso successivo.

  3. Aggiungere gli account alle appartenenze a gruppi come riportato di seguito:

    • Aggiungere FileShareOwner al gruppo FileShareOwners.
    • Aggiungere FileShareUser al gruppo FileShareUsers .
Effettuare il provisioning di gruppi e account in un gruppo di lavoro

Quando si configura un file server, eseguire tutti i comandi seguenti da un prompt dei comandi dell'amministratore. Non usare PowerShell.

Quando si usa il modello di Azure Resource Manager, gli utenti sono già stati creati.

  1. Eseguire i comandi seguenti per creare gli account FileShareOwner e FileShareUser . Sostituire <password> con i propri valori.

    net user FileShareOwner <password> /add /expires:never /passwordchg:no
net user FileShareUser <password> /add /expires:never /passwordchg:no

  2. Impostare le password per gli account in modo che non scadano mai eseguendo i comandi seguenti WMIC :

    WMIC USERACCOUNT WHERE "Name='FileShareOwner'" SET PasswordExpires=FALSE
WMIC USERACCOUNT WHERE "Name='FileShareUser'" SET PasswordExpires=FALSE

  3. Creare i gruppi locali FileShareUsers e FileShareOwners e aggiungere gli account nel primo passaggio:

    net localgroup FileShareUsers /add
net localgroup FileShareUsers FileShareUser /add
net localgroup FileShareOwners /add
net localgroup FileShareOwners FileShareOwner /add

Effettuare il provisioning della condivisione del contenuto

La condivisione del contenuto contiene il contenuto del sito Web del tenant. La procedura per effettuare il provisioning della condivisione contenuto in un singolo file server è la stessa per gli ambienti di Active Directory e del gruppo di lavoro. È diverso per un cluster di failover in Active Directory.

In un singolo file server per Active Directory o un gruppo di lavoro eseguire i comandi seguenti in un prompt dei comandi con privilegi elevati. Sostituire il valore di C:\WebSites con i percorsi corrispondenti nel proprio ambiente.

set WEBSITES_SHARE=WebSites
set WEBSITES_FOLDER=C:\WebSites
md %WEBSITES_FOLDER%
net share %WEBSITES_SHARE% /delete
net share %WEBSITES_SHARE%=%WEBSITES_FOLDER% /grant:Everyone,full

Configurazione del controllo di accesso alle condivisioni

Eseguire i comandi seguenti in un prompt dei comandi con privilegi elevati sul file server oppure sul nodo del cluster di failover che è attualmente il proprietario della risorsa del cluster. Sostituire le variabili con i valori specifici dell'ambiente.

Active Directory

set DOMAIN=<DOMAIN>
set WEBSITES_FOLDER=C:\WebSites
icacls %WEBSITES_FOLDER% /reset
icacls %WEBSITES_FOLDER% /grant Administrators:(OI)(CI)(F)
icacls %WEBSITES_FOLDER% /grant %DOMAIN%\FileShareOwners:(OI)(CI)(M)
icacls %WEBSITES_FOLDER% /inheritance:r
icacls %WEBSITES_FOLDER% /grant %DOMAIN%\FileShareUsers:(CI)(S,X,RA)
icacls %WEBSITES_FOLDER% /grant *S-1-1-0:(OI)(CI)(IO)(RA,REA,RD)

Gruppo di lavoro

set WEBSITES_FOLDER=C:\WebSites
icacls %WEBSITES_FOLDER% /reset
icacls %WEBSITES_FOLDER% /grant Administrators:(OI)(CI)(F)
icacls %WEBSITES_FOLDER% /grant FileShareOwners:(OI)(CI)(M)
icacls %WEBSITES_FOLDER% /inheritance:r
icacls %WEBSITES_FOLDER% /grant FileShareUsers:(CI)(S,X,RA)
icacls %WEBSITES_FOLDER% /grant *S-1-1-0:(OI)(CI)(IO)(RA,REA,RD)

Preparazione dell'istanza di SQL Server

Nota

Se si sceglie di distribuire il modello di avvio rapido per un file server a disponibilità elevata e SQL Server, è possibile ignorare questa sezione. Il modello distribuisce e configura SQL Server in una configurazione a disponibilità elevata.

Per i database di hosting e misurazione per Servizio app di Azure in hub di Azure Stack, è necessario preparare un'istanza di SQL Server per contenere i database del servizio app.

Per ambienti di produzione e alta disponibilità, utilizzare una versione completa di SQL Server 2016 SP3 o successiva, abilitare l'autenticazione in modalità mista e distribuire in una configurazione ad alta disponibilità.

Tutti i ruoli del servizio app devono accedere all'istanza di SQL Server per Servizio app di Azure in hub di Azure Stack. È possibile distribuire SQL Server nella sottoscrizione del provider predefinita in hub di Azure Stack. In alternativa, è possibile usare l'infrastruttura esistente all'interno dell'organizzazione, purché ci sia connettività a hub di Azure Stack. Se si usa un'immagine Microsoft Marketplace, ricordarsi di configurare il firewall di conseguenza.

Nota

Le immagini SQL Infrastructure as a Service (IaaS) per le macchine virtuali (VM) sono disponibili tramite la funzionalità Gestione del Marketplace. Assicurarsi di scaricare sempre la versione più recente dell'estensione SQL IaaS prima di distribuire una macchina virtuale usando un elemento del Marketplace. Le immagini SQL sono le stesse delle macchine virtuali SQL disponibili in Azure. Per le macchine virtuali SQL create da queste immagini, l'estensione IaaS e i miglioramenti del portale corrispondenti offrono funzionalità come l'applicazione automatica di patch e le funzionalità di backup.

Per uno dei ruoli di SQL Server, è possibile utilizzare un'istanza predefinita o una denominata. Se si usa un'istanza denominata, assicurarsi di avviare manualmente il servizio browser SQL Server e aprire la porta 1434.

Il programma di installazione del servizio app verifica che SQL Server abbia il contenimento del database abilitato. Per abilitare il contenimento del database nell'istanza di SQL Server che ospita i database del servizio app, eseguire questi comandi SQL:

sp_configure 'contained database authentication', 1;
GO
RECONFIGURE;
GO

Considerazioni sulle licenze per il file server e SQL Server necessari

Servizio app di Azure in hub di Azure Stack richiede un file server e SQL Server per funzionare. È possibile usare risorse preesistenti che si trovano all'esterno della distribuzione hub di Azure Stack o distribuire risorse all'interno della sottoscrizione del provider predefinito hub di Azure Stack.

Se si sceglie di distribuire le risorse all'interno della sottoscrizione del provider predefinito hub di Azure Stack, il costo di Servizio app di Azure su hub di Azure Stack include le licenze per tali risorse (licenze Windows Server e licenze SQL Server). Le licenze sono soggette ai vincoli seguenti:

  • L'infrastruttura viene distribuita nella sottoscrizione del provider predefinita.
  • Il provider di risorse per Servizio app di Azure su hub di Azure Stack usa esclusivamente l'infrastruttura. Non è consentito utilizzare questa infrastruttura per altri carichi di lavoro amministrativi (altri provider di risorse, come SQL-RP) né per carichi di lavoro dei tenant (ad esempio app dei tenant che richiedono un database).

Responsabilità operativa per il file server e SQL Server

Gli operatori cloud sono responsabili della manutenzione e del funzionamento del file server e SQL Server. Il provider di risorse non gestisce queste risorse. L'operatore cloud è responsabile del backup dei database del servizio app e della condivisione file di contenuto del tenant.

Script per il recupero del certificato radice Azure Resource Manager per hub di Azure Stack

Aprire una sessione di PowerShell con privilegi elevati in un computer in grado di raggiungere l'endpoint con privilegi nel sistema integrato dell'hub di Azure Stack.

Eseguire lo Get-AzureStackRootCert.ps1 script dalla cartella in cui sono stati estratti gli script helper. Lo script crea un certificato radice nella stessa cartella in cui si trova lo script, necessario ad App Service per la creazione di certificati.

Quando si esegue il comando di PowerShell seguente, specificare l'endpoint con privilegi e le credenziali per AzureStack\CloudAdmin:

Get-AzureStackRootCert.ps1

Parametri di script Get-AzureStackRootCert.ps1

Parametro Obbligatorio o facoltativo Valore predefinito Descrizione
PrivilegedEndpoint Richiesto AzS-ERCS01 Endpoint privilegiato
CloudAdminCredential Richiesto AzureStack\CloudAdmin Credenziali dell'account di dominio per gli amministratori cloud dell'hub di Azure Stack

Configurazione di rete e identità

La configurazione di rete e identità per Servizio app di Azure in hub di Azure Stack comporta la configurazione dell'infrastruttura di rete e della gestione delle identità necessaria per supportare il provider di risorse.

Configurare una rete virtuale

Con Servizio app di Azure in hub di Azure Stack, è possibile distribuire il provider di risorse in una rete virtuale esistente o creare una rete virtuale come parte della distribuzione. Se si usa una rete virtuale esistente, è possibile usare indirizzi IP interni per connettersi al file server e all'istanza di SQL Server richiesta da App Service in hub di Azure Stack.

Prima di installare il servizio app in hub di Azure Stack, configurare la rete virtuale con l'intervallo di indirizzi e le subnet seguenti:

  • Rete virtuale, /16

  • Sottoreti:

    • ControllersSubnet, /24
    • ManagementServersSubnet, /24
    • FrontEndsSubnet, /24
    • PublishersSubnet, /24
    • WorkersSubnet, /21

La creazione di una rete virtuale personalizzata in anticipo è facoltativa. Servizio app di Azure in hub di Azure Stack può creare la rete virtuale necessaria, ma deve comunicare con SQL Server e il file server tramite indirizzi IP pubblici. Se si utilizza il modello di avvio rapido per il file server a disponibilità elevata di App Service e SQL Server per distribuire le risorse server necessarie, il modello distribuisce anche una rete virtuale.

Importante

Se si sceglie di distribuire il servizio app in una rete virtuale esistente, distribuire SQL Server in una subnet separata dal servizio app e dal file server.

Creare un'applicazione di identità per abilitare gli scenari SSO

Servizio app di Azure usa un'applicazione di identità (entità servizio) per supportare le operazioni seguenti:

  • Integrazione dei set di scalabilità di macchine virtuali nei livelli di lavoro
  • SSO per il portale di Funzioni di Azure e gli strumenti di sviluppo avanzati (Kudu)

A seconda del provider di identità usato da hub di Azure Stack (Microsoft Entra ID o AD FS), seguire i passaggi appropriati per creare l'entità servizio che Servizio app di Azure userà nel provider di risorse di hub di Azure Stack.

Creare un'app Microsoft Entra

Segui questi passaggi per creare l'entità servizio nel tenant Microsoft Entra:

  1. Aprire un'istanza di PowerShell come azurestack\AzureStackAdmin.

  2. Vai al percorso in cui si trovano gli script che hai scaricato ed estratto in precedenza in questo articolo.

  3. Installare PowerShell per l'hub di Azure Stack.

  4. Eseguire lo script Create-AADIdentityApp.ps1. Quando richiesto, immettere l'ID tenant di Microsoft Entra usato per la distribuzione dell'hub di Azure Stack. Ad esempio, immettere myazurestack.onmicrosoft.com.

  5. Nella finestra Credenziali immettere l'account amministratore del servizio Microsoft Entra e la password. Seleziona OK.

  6. Immettere il percorso del file del certificato e la password del certificato per il certificato creato in precedenza. Il certificato per questo passaggio è sso.appservice.local.azurestack.external.pfx per impostazione predefinita.

  7. Prendere nota dell'ID dell'applicazione nell'output di PowerShell. Usare l'ID nei passaggi seguenti per fornire il consenso per le autorizzazioni dell'applicazione e durante l'installazione.

  8. Aprire una nuova finestra del browser e accedere al portale di Azure come amministratore del servizio Microsoft Entra.

  9. Aprire il servizio Microsoft Entra.

  10. Nel riquadro sinistro selezionare Registrazioni app.

  11. Cercare l'ID applicazione annotato nel passaggio 7.

  12. Selezionare la registrazione dell'applicazione App Service dall'elenco.

  13. Nel riquadro sinistro selezionare Autorizzazioni API.

  14. Selezionare Concedi il consenso dell'amministratore pertenant, dove tenant è il nome del tenant Microsoft Entra. Selezionare per confermare la concessione del consenso.

  15. Negli scenari multi-tenant, eseguire lo script PowerShell seguente per concedere le autorizzazioni Directory.Read.All e user_impersonation alla registrazione dell'app di App Service usando l'endpoint amministratore di Azure Resource Manager.

    # Build the admin endpoint by replacing the region and the FQDN with the values specific to your system
$adminarmendpoint = https://adminmanagement.<region>.<FQDN>/
Add-AzEnvironment -Name "AzureStackAdmin" -ArmEndpoint $userarmendpoint
# Home directory
$AADTenantName = "xxx"
$authEndpoint = (Get-AzEnvironment -Name "AzureStackAdmin").ActiveDirectoryAuthority.TrimEnd('/')
$TenantId = (invoke-restmethod "$($AuthEndpoint)/$($AADTenantName)/.well-known/openid-configuration").issuer.TrimEnd('/').Split('/')[-1]
Login-AzAccount -EnvironmentName "AzureStackAdmin" -TenantId $TenantID

# Enter the region name of your Azure Stack Hub system
$Location = '<region>'
$AppServicesAppId = '' # The identity app's application ID; use the Azure portal to get it - Entra ID - App Registration - App Services - Application ID
$AppServicesObjectId = '' # The identity app's object ID; use the Azure portal to get it - Entra ID - App Registration - App Services - Object ID

# The applicationId property in the JSON returned from https://<AdminArmEndpoint>/metadata/identity?api-version=2015-01-01
$TenantArmAppId = (Invoke-WebRequest "$adminarmendpoint/metadata/identity?api-version=2015-01-01" -UseBasicParsing | select -ExpandProperty Content | ConvertFrom-Json | select applicationId).applicationId

$params = @{
    ResourceGroupName = "system.$Location"
    ResourceType = 'Microsoft.Subscriptions.Providers/applicationRegistrations'
    ResourceName = 'AppService'
    ApiVersion = '2018-05-01'
    Location = $Location
    Properties = @{
        appId = $AppServicesAppId
        objectId = $AppServicesObjectId
        appRoleAssignments = @(@{
            client = $AppServicesAppId
            roleId = ([guid]('00000002-0000-0000-c000-000000000000')).ToString() # Well-known value for the Directory.Read.All permission
            resource = ([guid]('00000002-0000-0000-c000-000000000000')).ToString() # Well-known value for Microsoft.Azure.ActiveDirectory
        })
        oAuth2PermissionGrants = @(@{
            client = $AppServicesAppId
            resource = ([guid]('00000002-0000-0000-c000-000000000000')).ToString() # Well-known value for Microsoft.Azure.ActiveDirectory
            scope = 'User.Read Directory.Read.All'
        }, @{
            client = $AppServicesAppId
            resource = $tenantArmAppId
            scope = 'user_impersonation'
        })
    }
}
New-AzResource @params -Verbose -Force

    Dopo aver eseguito questo script, ogni tenant che deve usare il servizio app deve eseguire nuovamente lo script di registrazione. Vedere Configurare multi-tenancy in hub di Azure Stack.

Create-AADIdentityApp script di PowerShell

Create-AADIdentityApp.ps1
Parametro Obbligatorio o facoltativo Valore predefinito Descrizione
DirectoryTenantName Richiesto Null ID tenant di Microsoft Entra Specificare il GUID o la stringa. Un esempio è myazureaaddirectory.onmicrosoft.com.
AdminArmEndpoint Richiesto Null Amministratore dell'endpoint di Azure Resource Manager. Un esempio è adminmanagement.local.azurestack.external.
TenantARMEndpoint Richiesto Null Endpoint di Azure Resource Manager del tenant. Un esempio è management.local.azurestack.external.
AzureStackAdminCredential Richiesto Null Credenziali di amministratore del servizio Microsoft Entra.
CertificateFilePath Richiesto Null Percorso completo del file di certificato dell'applicazione di identità generato in precedenza.
CertificatePassword Richiesto Null Password che consente di proteggere la chiave privata del certificato.
Environment Facoltativo AzureCloud Nome dell'ambiente cloud supportato in cui è disponibile il servizio di Microsoft Graph di destinazione. Valori consentiti: AzureCloud, AzureChinaCloud, AzureUSGovernment, AzureGermanCloud.

Creare un'app AD FS

  1. Aprire un'istanza di PowerShell come azurestack\AzureStackAdmin.

  2. Vai nel percorso in cui si trovano gli script che hai scaricato ed estratto in precedenza in questo articolo.

  3. Installare PowerShell per l'hub di Azure Stack.

  4. Eseguire lo script Create-ADFSIdentityApp.ps1.

  5. Nella finestra Credenziale, immettere l'account amministratore cloud di AD FS e la password. Seleziona OK.

  6. Specificare il percorso del file di certificato e la password del certificato per il certificato creato in precedenza. Il certificato per questo passaggio è sso.appservice.local.azurestack.external.pfx per impostazione predefinita.

Create-ADFSIdentityApp.ps1
Parametro Obbligatorio o facoltativo Valore predefinito Descrizione
AdminArmEndpoint Richiesto Null Amministratore dell'endpoint di Azure Resource Manager. Un esempio è adminmanagement.local.azurestack.external.
PrivilegedEndpoint Richiesto Null Endpoint privilegiato. Un esempio è AzS-ERCS01.
CloudAdminCredential Richiesto Null Credenziali dell'account di dominio per gli amministratori cloud dell'hub di Azure Stack. Un esempio è Azurestack\CloudAdmin.
CertificateFilePath Richiesto Null Percorso completo del file PFX del certificato dell'applicazione di gestione delle identità.
CertificatePassword Richiesto Null Password che consente di proteggere la chiave privata del certificato.

Scaricare elementi da Microsoft Marketplace

Servizio app di Azure su hub di Azure Stack richiede di scaricare gli elementi da Microsoft Marketplace per renderli disponibili nel marketplace hub di Azure Stack. Prima di avviare la distribuzione o l'aggiornamento di Servizio app di Azure in hub di Azure Stack, scaricare gli elementi seguenti.

Importante

Windows Server Core non è un'immagine della piattaforma supportata da usare con Servizio app di Azure in hub di Azure Stack.

Non usare immagini di valutazione per le implementazioni in produzione.

  • Versione più recente dell'immagine della macchina virtuale Windows Server 2022 Datacenter.

  • Windows Server 2022 Datacenter immagine completa della macchina virtuale con Microsoft .NET 3.5.1 SP1 attivata. Servizio app di Azure su hub di Azure Stack richiede che Microsoft .NET 3.5.1 SP1 sia attivato nell'immagine usata per la distribuzione. Le immagini di Windows Server 2022 distribuite dal Marketplace non dispongono di questa funzionalità abilitata. Negli ambienti disconnessi, l'immagine non può raggiungere Microsoft Update per scaricare i pacchetti da installare usando DISM. È necessario creare e usare un'immagine Windows Server 2022 con questa funzionalità pre-abilitata per le distribuzioni disconnesse.

    Per informazioni sulla creazione di un'immagine personalizzata e sull'aggiunta a Marketplace, vedere Aggiungi un'immagine di macchina virtuale personalizzata a hub di Azure Stack. Assicurarsi di specificare le proprietà seguenti quando si aggiunge l'immagine al Marketplace:

    • Editore: Immetti MicrosoftWindowsServer.
    • Offerta: Inserisci WindowsServer.
    • SKU: immettere AppService.
    • Versione: specificare la versione più recente.
  • Estensione script personalizzata v1.9.1 o successiva. Questo elemento è un'estensione della macchina virtuale.

Contenuti correlati

  • Last updated on