1. 一个公网IP地址,这个公网IP地址是需要发布ADFS服务,从而在从AzureAD重定向到ADFS服务时能找到。实际环境中,可以使用ADFS Proxy或者Windows ApplicationProxy,或者其他反向代理将ADFS发布出来。测试环境中,我们会Azure的虚拟机,因为Azure虚拟机所在的CloudService提供了一个公网地址。2. 一个公网证书,这是客户端通过https的ADFS服务时需要的证书,测试环境中我们就不适用公网证书了,使用自建的CA服务器,缺点是客户端访问会报证书错误,或者得提前在客户端安装证书,但这不影响实际功能使用。以下测试环境中需要使用Azure,至少需要一个Azure订阅,具体步骤如下1. 首先登陆Azure的门户,在网络中创建一个虚拟网络2. 创建完成后,我们创建2个Server 2012 r2 虚拟机,一台为DC,一台为ADFS。在虚拟机的设置里,网络选择我们刚刚创建的CorpNet,针对ADFS,我们需要在端口上把HTTPS和HTTP都打开。3. 在创建过程中,我们先下载一下Azure的PowerShell组件,我们需要为这两个虚拟机固定一下IP地址。注:Azure Powershell是需要.net framework 4.5的,所以如果你目前的PC是Win7或者更老版本的话,请安装.NET framework 4.5使用MSTSC远程登陆创建好的DC和ADFS,查看这两台服务器的目前分配得到的IP地址,这是用我们创建的CorpNet的DHCP分配的,我们需要让他们固定使用这两个IP,以免在虚拟机重启后得到不一样的IP。特别是DC,我们必须保证DC和上面的DNS始终是用一个IP地址。5. 记录下来后打开我们安装好的Azure PowerShell,首先连接到我们的Azure账户如果是中国的AzureAdd-AzureAccount -Environment azurechinacloud如果是Global的AzureAdd-AzureAccount6. 登录后,使用以下命令设定固定IP,替换你自己的虚拟机名字以及IP地址。Get-AzureVM -Name corp-dc -ServiceName corp-dc| Set-AzureStaticVNetIP -IPAddress 10.0.0.6 | Update-AzureVMGet-AzureVM -Name corp-adfs -ServiceName corp-adfs | Set-AzureStaticVNetIP -IPAddress 10.0.0.5 | Update-AzureVM注: 这里我们设定的是固定的内部IP,Azure支持设定固定的外部IP地址,这里不详细介绍,具体方法请参阅 设置完成后,我们在DC上,安装DC、DNS的角色。忽略关于DNS的非静态IP的报错。8. 安装完成后,在服务器管理器中选择将此台服务器提升为域控。创建一个新的域。其中在域名这一块,填入你公网域名相同的名字,或者子域名。我拥有jashuang.cn,我这里使用了子域名corp1.jashuang.cn作为我的域,你也可以使用一级域名。然后一路下一步直到安装。9. 安装完成后重启DC。10. 然后我们在DC上安装我们的证书服务,然后一路下一步直到安装。11. 安装完成后,选择配置,在角色服务上,选择证书颁发机构,然后一路下一步,然后选择配置。12. 完成后,我们需要新建一张SSL的证书,用户ADFS的HTTPS通信。运行命令certsrv.msc,在证书模板上右击,选择管理13. 在新窗口招到web服务器证书,右击选择复制模板。在常规标签项,命名为ADFS SSL。进入安全选项卡,添加 domain users,domain computers,权限选择注册和读取进入使用者名称 选项卡, 使用者名称格式变为:公用名,勾选 DNS 名14. 回到证书颁发机构,右击证书模板,点击新建要颁发的证书模板,选择ADFS SSL15. 然后,运行命令domain.msc,打开域和信任管理窗口,我们需要添加UPN名。右击Active Directory域和信任关系,选择属性。在UPN标签项填入我们的域名,点击添加 – > 应用 – > 完成。15. 到此,我们把DC配置完成了。现在先登录到Azure的门户,打开我们之前创建的虚拟网络,在配置选项里,我们需要指定虚拟网络的DNS,将他指向DC,再添加一个指向Azure public DNS的记录(否则外网无法解析),然后点击保存。16. 重启一下ADFS。然后将ADFS加入域中。重启后使用域管理员登录。17. 现在我们在ADFS的HOST文件(路径C:windowssystem32driversetcHosts)中加2条DNS记录,按照自己的域名和DC名以及IP地址加入这两条记录,主要是为了防止DNS解析出现问题时能找到DC。corp1.jashuang.cn 10.0.0.6corp-dc.corp1.jashuang.cn 10.0.0.618. 之后需要安装之前我们的证书。打开 MMC, 点击文件-添加、删除管理单元,选择计算机账户, 选择本地计算机,点击确定,右击 个人,点击 所有任务—申请新证书,一直点击下一步,在证书注册中选择ADFS SSL。然后选择注册19 安装证书完成后,在DC服务器上打开Powershell,运行以下命令。Add-kdsrootKey –effectivetime (get-date).addhours(-10)New-adserviceaccount fsgmsa –dnshostname corp-adfs.corp1.jashuang.cn –serviceprincipalnames http/corp-adfs.corp1.jashuang.cn20. 然后回到ADFS,在ADFS上安装ADFS角色21. 完成后,点击配置ADFS。在指定服务属性里,选择我们之前导入的证书,在服务账号选择fsgmsa,然后一直下一步直到配置完成。23. 配置完成后,安装Web服务器角色,这主要是为了安装IIS管理器。24. 安装完成后,打开IIS管理器, 右击Default Website,选择编辑绑定,点击添加,然后添加HTTPS,证书选择之前我们导入的证书。22. 配置完成后,可以打开IE,输入以下网址,尝试登录,简单测试ADFS是否正常。
WindowsAzure存储使用对称密钥认证系统,一般来说,我们都采用256位密钥签署访问存储系统的每个HTTP请求,为了访问存储,你需要证明你知道这个密钥,这意味着你必须保护好这个密钥,这是一个全有或全无的例子,如果你有这个密钥,你可以做任何事,相反,如果你没有这个密钥,你什么事都做不了。
对于大多数人来说,当他们了解到这个模式时,自然会问“我如何给别人授权访问,但不影响我的主密钥?”,解决办法就是使用WindowsAzure中的共享访问签名(SharedAccessSignatures,SAS),SAS通过指定几个查询字符串参数工作,对它们做哈希算法,然后在查询字符串中签署哈希值,这样不仅可以创建一个唯一可安全访问的URL,而且可以证明是由拥有主密钥的人创建的,查询字符串中的参数包括:
st:签名生效的开始时间,它是可选的,如果不提供,它将使用现在的时间。
se:失效日期和时间,所有签名都是有时间限制的,这个参数是必需的。
sr:签名应用的资源,要么是Blob,要么是容器,这个参数也是必需的。
sp:这是你授予的权限设置,包括读(r),写(w),删除(d)和列表(l),这个参数是必需的。
si:这是一个签名标识符,或一个策略,它是可选的。
sig:这是签署的查询字符串的哈希值和证明它是使用主密钥创建的URI,这个参数是必需的。
还有另一个重要的警告需要在这里重申一下,除非你使用签名标识符(我指的是一个策略),是没有办法让创建的签名寿命超过1小时的,如果使用超长的寿命错误地创建一个SASURL,不使用签名标识符(策略)就不能撤销它,如果这个URL又被泄露出去了,你签署的资源将会长时间开放,存在被滥用的可能,通过签名限制最长的寿命为1小时,可以将暴露的时间范围控制住。
如果你想创建一个长寿命的SAS,必需创建一个策略,这个策略是非常有趣的,因为这个策略包含了上述所有参数,并且是存储在服务中的,这意味着我们可以取消那些权限,或立即改变权限。
我们以MyAzureStorage.com为例,当我登录到这个网站时,从顶部导航栏选择Blob选项,它将会显示我的所有容器,然后我选择一个容器的“行为”菜单,点击“管理策略”,如下图所示。
图1管理容器的策略
接下来,我要创建两个策略(签名标识符),分别取名为Read和Write,它们有不同的生存周期和权限设置,注意我没有指定一个签名生效的开始时间,因此会立即生效,如下图所示。
图2设置策略的属性
接下来我选择该容器下某个Blob的“行为”菜单,并点击“共享”,页面跳转到“共享Blob”,在这里我从策略下拉列表中选择一个前面创建的策略(这里选择了Read),应用给该Blob,如下图所示。
图3共享Blob
你会发现除了可以选择策略外,其它如结束时间和权限都是不能修改的,其原因是策略就象一个模板,如果你在策略中没有设置某个参数值,在共享时还有最后的机会,如果在策略中设定了某个参数的值,在共享时就不能再做修改,要修改只能修改策略。
本回答由网友推荐
如果是新手,用模板更加简便。如果是熟手,当然还是手工更好,有足够自由度和个性化。
1、模板不能修改,选好了模板,用户无法对其进行独立、随意地编辑,无法自定义模板,共享类模板设计出来的页面,往往是一个呆板而雷同的页面,让人感觉死色沉沉。
2、功能简单且没有个性,在页面、风格、功能、维护管理等方面的功能得不到保障。
3、网站自身服务器的约束性,由于管理和维护工作必须在服务商的服务器上完成,因此用户的一些网站也被牢牢捆绑在该公司的服务器上,用户不可以自由地移植到别的服务器上,用户就失去了自由选择的权利。
在五月宣布了 Dev Box 之后,微软终于在本周一开放了公众预览。其背后的想法,是为开发者提供在云端托管的“准备就绪”工作站体验,使之能够轻松利用预配置的环境来编写代码(而无需担心本地设备的架构)。
(来自:Microsoft Blog)
在早期封测(Private Preview)阶段,Dev Box 仅向候补名单中的少数开发者开放体验。
但随着公测(Public Preview)的开启,更多人可以体验其与 Azure 部署环境、Intune 和 Endpoint Manager 的集成。
如有现成的项目模板,你将能够在 Dev Box 上即刻启动并运行。
微软表示,其希望通过这套解决方案,减少 IT 管理员在资源统筹、硬件采购、以及安全合规性等方面遇到的烦恼。
对于开发者来说,也可借助已安装必要工具的 Dev Box,快速上手构建概念验证、然后毫无负担地清除预设环境。
此外作为一项在云端托管的服务,你可通过网络、于任何地方轻松获得访问。
管理方面,Dev Box 支持通过 Azure 活动目录(AAD)进行访问控制,且能够为各种用例配备不同的启动环境。
起步配置为 4 核虚拟 CPU / 16GB 内存,最高可选 32 核 vCPU / 128GB RAM,且采用了即用即付(PAYG)的托管模式。
定价取决于具体的时间占用和资源开销,意味着开发者们能够在每天开工时自动化“预热”Dev Box,然后在空闲时自动退出。
微软指出,开发人员的灵活性和生产力,不能以牺牲安全性或合规性为代价。
● Dev Box 基于 Windows365 构建,使 IT 管理员可通过 Microsoft Intune / Endpoint Manager 轻松管理云 PC 和物理机。
● 管理员能够设置条件访问策略,以确保用户只能从合规设备访问 Dev Box 。● 同时使用加速质量更新,以使开发环境保持在最新状态,方便在整个组织中部署零日补丁、并快速隔离脆弱的设备。
● Endpoint Manager 的深度设备分析服务,可轻松审核应用程序运行状况、设备利用率和其它关键指标。● 开发人员有信心专注于他们的代码,而无需担心让所在组织面临任何不必要的风险。
感兴趣的 Dev Box 客户,现可移步至 Azure 门户网站获取其喜欢的环境、或前往专题页以了解 Dev Box 的。
随着云计算的快速发展,各大IT巨头也分分推出了云计算平台,极大的方便了企业以及用户。Azure云计算平台是由微软提供的一个完整的云计算平台,用户可以充分利用云计算平台的云计算效率的同时,还能在Azure使用开发、测试、部署和管理应用程序所需的各种云服务。Azure提供的各种云服务虽然大多数都要付费才能使用,如今却可以免费注册啦,注册成功即可获取首月 $200 试用 + 12 个月免费标准试用。
首先,注册必备条件:
微软邮箱账号,如果没有可以免费注册一下;Visa或者MasterCard信用卡;好了,下面我们一步一步来注册属于我们自己的Azure免费账户!
首先打开官方网址 我们就可以看到微软Azure全球版标准服务网站。我们点击"免费账户"按钮,进行注册。
点击“免费开始”按钮
系统会提示需要您登陆微软的账户
如没有微软的账户,点击创建,根据提示即可注册一个新的微软账户
创建好登陆成功之后,就需要您根据提示信息输入您绑定银行卡信息,注意:绑定成功会扣除1美元,azure用来验证账户是否可用,会在10个工作日内返回到您的账户中。
需要您填写信用卡信息的时候,需要注意一点,该信用卡只支持VISA和MasterCard的信用卡,其他信用卡暂不支持!!!完成信息填写之后,就可以进入Azure云平台了!
大家可以看一下,里面的功能非常多,除了提供最基本的虚拟机、存储、云端数据库服务,还有最前沿的AI +机器学习。
下面我们看看有哪些免费服务吧?在搜索框中搜索free services就可以查看所有的免费服务了。
具体介绍可参见:
郑重提示!!!
在绑定信用卡的时候,Azure会扣除大概1美元来验证账户是否可用,然后在大概10个工作日会原路返还到信用卡账户中;赠送的200美元是30天内可用,后续的11个月如果使用免费服务不会产生扣费,如果超出仅扣除超出部分费用,所有产品均以美元作为结算货币;如果有不清楚的地方可微信联系我,谢谢!
