Partager via

Configurer manuellement un compte de service pour une batterie de serveurs de fédération

Si vous prévoyez de configurer une batterie de serveurs de fédération dans Services ADFS, vous devez créer et configurer un compte de service dédié dans Active Directory Domain Services (AD DS) où se trouvera la batterie. Configurez ensuite chaque serveur de fédération de la batterie pour qu'il utilise ce compte. Vous devez effectuer les opérations suivantes dans votre organisation si vous voulez autoriser les ordinateurs clients du réseau d'entreprise à s'authentifier auprès de n'importe quel serveur de fédération dans une batterie de serveurs AD FS à l'aide de l'authentification Windows intégrée.

Important

Depuis AD FS 3.0 (Windows Server 2012 R2), AD FS prend en charge l’utilisation d’un compte de service administré de groupe (gMSA) comme compte de service. Il s’agit de l’option recommandée, car elle supprime le besoin de gérer le mot de passe du compte de service au fil du temps. Ce document décrit l’autre cas d’utilisation d’un compte de service traditionnel, par exemple dans des domaines qui exécutent encore Windows Server 2008 R2 ou un niveau fonctionnel du domaine antérieur.

Notes

Vous ne devez exécuter les tâches de cette procédure qu’une seule fois pour l’ensemble de la batterie de serveurs de fédération. Par la suite, quand vous créerez un serveur de fédération à l'aide de l'Assistant Configuration du serveur de fédération AD FS, vous devrez spécifier ce même compte dans la page de l'Assistant Compte de service de chaque serveur de fédération de la batterie.

Créer un compte de service dédié

  1. Créez un compte de service/d'utilisateur dédié dans la forêt Active Directory se trouvant dans l'organisation du fournisseur d'identité. Ce compte est nécessaire pour permettre au protocole d'authentification Kerberos de fonctionner dans un scénario de batterie et pour autoriser l'authentification directe sur chaque serveur de fédération. Utilisez ce compte uniquement pour les besoins de la batterie de serveurs de fédération.

  2. Modifiez les propriétés du compte d'utilisateur, puis cochez la case Le mot de passe n'expire jamais. Cela garantit que ce compte de service pourra continuer d'être utilisé même en cas de changement de mot de passe du domaine.

    Remarque

    L'utilisation du compte de service réseau pour ce compte dédié entraînera aléatoirement des échecs lors de tentatives d'accès réalisées via l'authentification intégrée de Windows, car les tickets Kerberos ne pourront pas être validés d'un serveur à l'autre.

Définir le SPN du compte de service

  1. Du fait que l'identité du pool d'applications AD FS est utilisée en tant que compte de service/d'utilisateur de domaine, vous devez configurer le nom de principal du service (SPN) pour ce compte dans le domaine à l'aide de l'outil en ligne de commande Setspn.exe. Setspn.exe est installé par défaut sur les ordinateurs exécutant Windows Server 2008. Exécutez la commande suivante sur un ordinateur joint au même domaine que celui où se trouve le compte de service/d'utilisateur :

    setspn -a host/<server name> <service account>

    Par exemple, dans un scénario où chaque serveur de fédération est en cluster sous le nom d'hôte DNS fs.fabrikam.com et où le compte de service affecté à l'application de pools AD FS s'appelle adfs2farm, tapez la commande suivante et appuyez sur ENTRÉE :

    setspn -a host/fs.fabrikam.com adfs2farm

    Effectuez cette opération une seule fois pour ce compte.

  2. Après avoir modifié le pool d'applications AD FS pour le compte de service, définissez les listes de contrôle d'accès (ACL) sur la base de données SQL Server pour autoriser l'accès en lecture à ce nouveau compte. Cela permet au pool d'applications AD FS de lire les données de stratégie.