Configurer un environnement de laboratoire AD FS
Cette rubrique indique les étapes de la configuration d'un environnement de test que vous pouvez utiliser pour effectuer les procédures des guides pas à pas suivants :
Procédure pas à pas : Joindre un espace de travail avec un appareil iOS
Procédure pas à pas : Joindre un espace de travail avec un appareil Windows
Guide pas à pas : Gérer les risques avec le contrôle d’accès conditionnel
Remarque
Nous vous déconseillons d'installer le serveur web et le serveur de fédération sur le même ordinateur.
Pour configurer cet environnement de test, effectuez les étapes suivantes :
Étape 1 : Configurer le contrôleur de domaine (DC1)
Dans le cadre de cet environnement de test, vous pouvez appeler votre domaine Active Directory racine contoso.com et spécifier pass@word1 comme mot de passe administrateur.
- Installez le service de rôle AD DS et installez les services de domaine Active Directory (AD DS) pour que votre ordinateur fasse office de contrôleur de domaine dans Windows Server 2012 R2. Cette opération met à niveau votre schéma AD DS dans le cadre de la création du contrôleur de domaine. Pour plus d’informations et pour obtenir des instructions détaillées, voir https://technet.microsoft.com/ library/hh472162.aspx.
Créer les comptes Active Directory de test
Une fois que votre contrôleur de domaine est opérationnel, vous pouvez créer un groupe de test, tester des comptes d'utilisateur dans ce domaine et ajouter le compte d'utilisateur au compte de groupe. Vous utilisez ces comptes pour effectuer les procédures des guides pas à pas mentionnés plus haut dans cette rubrique.
Créez les comptes ci-après :
Utilisateur : Robert Hatley avec les informations d’identification suivantes : Nom d’utilisateur : RobertH Mot de passe : P@ssword
Groupe : Finance
Pour plus d’informations sur la création de comptes d’utilisateurs et de groupes dans Active Directory (AD), voir https://technet.microsoft.com/library/cc783323%28v=ws.10%29.aspx.
Ajoutez le compte Robert Hatley au groupe Finance. Pour plus d’informations sur l’ajout d’un utilisateur à un groupe dans Active Directory, consultez https://technet.microsoft.com/library/cc737130%28v=ws.10%29.aspx.
Créer un compte de service géré de groupe
Le compte de service géré de groupe est nécessaire pendant l’installation et la configuration des Active Directory Federation Services (AD FS).
Pour créer un compte de service géré de groupe
Ouvrez une fenêtre de commande Windows PowerShell et tapez les commandes suivantes :
Add-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10) New-ADServiceAccount FsGmsa -DNSHostName adfs1.contoso.com -ServicePrincipalNames http/adfs1.contoso.com
Étape 2 : Configurer le serveur de fédération (ADFS1) avec Device Registration Service
Pour configurer un autre ordinateur virtuel, installez Windows Server 2012 R2 et connectez-le au domaine contoso.com. Configurez l’ordinateur après l’avoir joint au domaine, puis procédez à l’installation et à la configuration du rôle AD FS.
Installer un certificat SSL de serveur
Vous devez installer un certificat SSL (Secure Socket Layer) de serveur sur le serveur ADFS1 dans le magasin de l'ordinateur local. Le certificat DOIT posséder les attributs suivants :
Nom du sujet (nom commun) : adfs1.contoso.com
Autre nom de l'objet (DNS) : adfs1.contoso.com
Autre nom de l'objet (DNS) : enterpriseregistration.contoso.com
Guide Service Web Inscription de certificats
Active Directory Federation Services How-To Video Series: Updating Certificates (Série de vidéos de procédure sur les services AD FS : Mise à jour des certificats).
Installer le rôle serveur AD FS
Pour installer le service de rôle de service de fédération
Connectez-vous au serveur à l'aide du compte d'administrateur de domaine administrator@contoso.com.
Démarrez le Gestionnaire de serveur. Pour démarrer le Gestionnaire de serveur, cliquez sur Gestionnaire de serveur dans l'écran d'accueil Windows, ou cliquez sur Gestionnaire de serveur dans la barre des tâches Windows sur le Bureau Windows. Sous l'onglet Démarrage rapide de la vignette Bienvenue sur la page Tableau de bord, cliquez sur Ajouter des rôles et des fonctionnalités. Vous pouvez également cliquer sur Ajouter des rôles et fonctionnalités dans le menu Gérer.
Dans la page Avant de commencer , cliquez sur Suivant.
Dans la page Sélectionner le type d’installation, cliquez sur Installation basée sur un rôle ou une fonctionnalité, puis sur Suivant.
Dans la page Sélectionner le serveur de destination, cliquez sur Sélectionner un serveur du pool de serveurs, vérifiez que l'ordinateur cible est sélectionné, puis cliquez sur Suivant.
Dans la page Sélectionner des rôles de serveurs, cliquez sur Services AD FS (Active Directory Federation Services), puis cliquez sur Suivant.
Dans la page Sélectionner les composants, cliquez sur Suivant.
Dans la page Services AD FS (Active Directory Federation Services), cliquez sur Suivant.
Après avoir vérifié les informations de la page Confirmer les sélections d'installation, cochez la case Redémarrer le serveur de destination automatiquement si nécessaire, puis cliquez sur Installer.
Dans la page Progression de l'installation, vérifiez que tout a été correctement installé, puis cliquez sur Fermer.
Configurer le serveur de fédération
L'étape suivante consiste à configurer le serveur de fédération.
Pour configurer le serveur de fédération
Dans la page Tableau de bord du Gestionnaire de serveur, cliquez sur le drapeau Notifications, puis sur Configurer le service FS (Federation Service) sur le serveur.
L'Assistant Configuration des services AD FS (Active Directory Federation Services) s'ouvre.
Dans la page Bienvenue, sélectionnez Créer le premier serveur de fédération dans une batterie de serveurs de fédération, puis cliquez sur Suivant.
Dans la page Connexion à AD DS, spécifiez un compte doté de droits d'administrateur de domaine pour le domaine Active Directory contoso.com auquel cet ordinateur est joint, puis cliquez sur Suivant.
Dans la page Spécifier les propriétés de service, effectuez la procédure suivante, puis cliquez sur Suivant :
Importez le certificat SSL que vous avez obtenu précédemment. Ce certificat est le certificat d'authentification de service requis. Accédez à l'emplacement de votre certificat SSL.
Comme nom de service de fédération, tapez adfs1.contoso.com. Cette valeur est celle que vous avez fournie quand vous avez inscrit un certificat SSL dans les services de certificats Active Directory (AD CS).
Comme nom complet pour le service de fédération, tapez Contoso Corporation.
Dans la page Spécifier un compte de service, sélectionnez Utiliser un compte d'utilisateur de domaine ou de service administré de type groupe existant, puis spécifiez le compte de service géré de groupe fsgmsa que vous avez créé en même temps que le contrôleur de domaine.
Dans la page Spécifier une base de données de configuration, sélectionnez Créer une base de données sur ce serveur à l'aide de la base de données interne Windows, puis cliquez sur Suivant.
Dans la page Examiner les options, vérifiez les choix que vous avez effectués pour la configuration, puis cliquez sur Suivant.
Dans la page Vérifications des conditions préalables, assurez-vous que toutes les vérifications des conditions préalables ont été correctement effectuées, puis cliquez sur Configurer.
Dans la page Résultats, passez en revue les résultats, vérifiez si la configuration s'est déroulée correctement, puis cliquez sur Étapes ultérieures requises pour le déploiement de votre service FS (Federation Service).
Configurer Device Registration Service
L'étape suivante consiste à configurer Device Registration Service sur le serveur ADFS1. Regardez la vidéo Active Directory Federation Services How-To Video Series: Enabling the Device Registration Service(Série de vidéos de procédure sur les services AD FS : Activation du service DRS)
Pour configurer Device Registration Service pour Windows Server 2012 RTM
-
Important
L'étape suivante s'applique à la version Windows Server 2012 R2 RTM.
Ouvrez une fenêtre de commande Windows PowerShell et tapez les commandes suivantes :
Initialize-ADDeviceRegistration
Quand vous êtes invité à indiquer un compte de service, tapez contoso\fsgmsa$.
Maintenant exécutez l’applet de commande Windows PowerShell.
Enable-AdfsDeviceRegistration
Sur le serveur ADFS1, dans la console Gestion AD FS, accédez à Stratégies d'authentification. Sélectionnez Modifier l'authentification principale globale. Cochez la case Activer l'authentification des appareils, puis cliquez sur OK.
Ajouter les enregistrements de ressource d'hôte (A) et d'alias (CNAME) à DNS
Sur le contrôleur de domaine DC1, vous devez vous assurer que les enregistrements DNS (Domain Name System) suivants sont créés pour Device Registration Service.
Entrée | Type | Adresse |
---|---|---|
adfs1 | Hôte (A) | Adresse IP du serveur AD FS |
enterpriseregistration | Alias (CNAME) | adfs1.contoso.com |
Vous pouvez utiliser la procédure suivante pour ajouter un enregistrement de ressource d'hôte (A) aux serveurs de noms DNS d'entreprise pour le serveur de fédération et Device Registration Service.
Vous devez au minimum être membre du groupe des administrateurs ou d'un groupe équivalent pour effectuer cette procédure. Passez en revue les informations relatives à l’utilisation des comptes et des appartenances au groupe appropriés sous le lien HYPERTEXTE « https://go.microsoft.com/fwlink/?LinkId=83477 » Groupes locaux et de domaine par défaut (https://go.microsoft.com/fwlink/p/?LinkId=83477).
Pour ajouter des enregistrements de ressource d'hôte (A) et d'alias (CNAME) à DNS pour votre serveur de fédération
Sur le contrôleur de domaine (DC1), à partir du Gestionnaire de serveur, dans le menu Outils, cliquez sur DNS pour ouvrir le composant logiciel enfichable DNS.
Dans l'arborescence de la console, développez DC1, développez Zones de recherche directes, cliquez avec le bouton droit sur contoso.com, puis cliquez sur Nouvel hôte (A ou AAAA).
Dans Nom, tapez le nom à utiliser pour votre batterie AD FS. Pour cette procédure pas à pas, tapez adfs1.
Dans Adresse IP, tapez l'adresse IP du serveur ADFS1. Cliquez sur Ajouter un hôte.
Cliquez avec le bouton droit sur contoso.com, puis cliquez sur Nouvel alias (CNAME).
Dans la boîte de dialogue Nouvel enregistrement de ressource, tapez enterpriseregistration dans la zone Nom de l'alias.
Dans la zone Nom de domaine pleinement qualifié (FQDN) pour l'hôte de destination, tapez adfs1.contoso.com, puis cliquez sur OK.
Important
Dans un déploiement réel, si votre entreprise possède plusieurs suffixes de nom d'utilisateur principal (UPN), vous devez créer un enregistrement CNAME par suffixe UPN dans DNS.
Étape 3 : Configurer le serveur web (WebServ1) et un exemple d’application basée sur les revendications
Configurez un ordinateur virtuel (WebServ1) en installant le système d'exploitation Windows Server 2012 R2 et connectez-le au domaine contoso.com. Après l'avoir joint au domaine, vous pouvez passer à l'installation et à la configuration du rôle de serveur web.
Pour effectuer les procédures pas à pas mentionnées plus haut dans cette rubrique, vous devez posséder un exemple d'application sécurisé par votre serveur de fédération (ADFS1).
Vous devez effectuer les étapes suivantes pour configurer un serveur web avec cet exemple d'application basée sur des revendications.
Notes
Ces étapes ont été testées sur un serveur web exécutant le système d'exploitation Windows Server 2012 R2.
Installer le rôle de serveur web et Windows Identity Foundation
Installer le Kit de développement logiciel (SDK) de Windows Identity Foundation
Configurer l'exemple d'application basée sur des revendications dans IIS
Créer une approbation de partie de confiance sur votre serveur de fédération
Installer le rôle de serveur web et Windows Identity Foundation
-
Remarque
Vous devez avoir accès au support d’installation Windows Server 2012 R2.
Connectez-vous à WebServ1 en utilisant administrator@contoso.com et le mot de passe pass@word1.
Depuis le Gestionnaire de serveur, sous l'onglet Démarrage rapide de la vignette Bienvenue sur la page Tableau de bord, cliquez sur Ajouter des rôles et des fonctionnalités. Vous pouvez également cliquer sur Ajouter des rôles et fonctionnalités dans le menu Gérer.
Dans la page Avant de commencer , cliquez sur Suivant.
Dans la page Sélectionner le type d’installation, cliquez sur Installation basée sur un rôle ou une fonctionnalité, puis sur Suivant.
Dans la page Sélectionner le serveur de destination, cliquez sur Sélectionner un serveur du pool de serveurs, vérifiez que l'ordinateur cible est sélectionné, puis cliquez sur Suivant.
Dans la page Sélectionner des rôles de serveurs, cochez la case Serveur Web (IIS), cliquez sur Ajouter des fonctionnalités, puis cliquez sur Suivant.
Dans la page Sélectionner des fonctionnalités, sélectionnez Windows Identity Foundation 3.5, puis cliquez sur Suivant.
Dans la page Rôle de serveur web (IIS), cliquez sur Suivant.
Dans la page Sélectionner les services de rôle, sélectionnez et développez Développement d'applications. Sélectionnez ASP.NET 3.5, cliquez sur Ajouter des fonctionnalités, puis cliquez sur Suivant.
Dans la page Confirmer les sélections d'installation, cliquez sur Spécifier un autre chemin d'accès source. Entrez le chemin d'accès du répertoire Sxs sur le support d'installation de Windows Server 2012 R2. Par exemple, D:\Sources\Sxs. Cliquez sur OK, puis sur Installer.
Installer le Kit de développement logiciel (SDK) de Windows Identity Foundation
- Exécutez WindowsIdentityFoundation-SDK-3.5.msi pour installer le Kit de développement logiciel (SDK) de Windows Identity Foundation version 3.5. Choisissez toutes les options par défaut.
Configurer l'exemple d'application basée sur des revendications dans IIS
Installez un certificat SSL valide dans le magasin de certificats de l'ordinateur. Le certificat doit contenir le nom de votre serveur web, webserv1.contoso.com.
Copiez le contenu de C:Program Files (x86)Windows Identity Foundation SDKv3.5SamplesQuick StartWeb ApplicationPassiveRedirectBasedClaimsAwareWebApp to C:InetpubClaimapp.
Modifiez le fichier Default.aspx.cs de manière à éviter tout filtrage de revendications. Ainsi, l'exemple d'application affiche toutes les revendications émises par le serveur de fédération. Effectuez les actions suivantes :
Ouvrez Default.aspx.cs dans un éditeur de texte.
Dans le fichier, recherchez la seconde occurrence d’
ExpectedClaims
.Commentez la totalité de l’instruction
IF
ainsi que ses accolades. Indiquez les commentaires en tapant « // » (sans les guillemets) au début des lignes concernées.L’instruction
FOREACH
doit maintenant ressembler à l’exemple de code suivant.Foreach (claim claim in claimsIdentity.Claims) { //Before showing the claims validate that this is an expected claim //If it is not in the expected claims list then don't show it //if (ExpectedClaims.Contains( claim.ClaimType ) ) // { writeClaim( claim, table ); //} }
Enregistrez et fermez le fichier Default.aspx.cs.
Ouvrez web.config dans un éditeur de texte.
Supprimez la totalité de la section
<microsoft.identityModel>
. Supprimez tout le code depuisincluding <microsoft.identityModel>
jusqu’à</microsoft.identityModel>
(compris).Enregistrez et fermez web.config.
Configurer le Gestionnaire des services Internet
Ouvrez Gestionnaire des services Internet (IIS) .
Accédez à Pools d'applications, cliquez avec le bouton droit sur DefaultAppPool, puis sélectionnez Paramètres avancés. Définissez Charger le profil utilisateur sur True, puis cliquez sur OK.
Cliquez avec le bouton droit sur DefaultAppPool, puis sélectionnez Paramètres de base. Définissez Version CLR .NET sur Version CLR .NET v2.0.50727.
Cliquez avec le bouton droit sur Site Web par défaut, puis sélectionnez Modifier les liaisons.
Ajoutez une liaison HTTPS au port 443 avec le certificat SSL que vous avez installé.
Cliquez avec le bouton droit sur Site Web par défaut, puis sélectionnez Ajouter une application.
Affectez la valeur claimapp à l’alias et la valeur c:inetpubclaimapp au chemin physique.
Pour que claimapp fonctionne avec votre serveur de fédération, procédez comme suit :
Exécutez FedUtil.exe qui se trouve à l’emplacement suivant : C:Program Files (x86)Windows Identity Foundation SDKv3.5.
Définissez l’emplacement de configuration de l’application sur C:inetputclaimappweb.config puis définissez l’URI de l’application sur l’URL de votre site, https://webserv1.contoso.com /claimapp/. Cliquez sur Suivant.
Sélectionnez Utiliser un STS existant, puis accédez à l’URL des métadonnées de votre serveur AD FS https://adfs1.contoso.com/federationmetadata/2007-06/federationmetadata.xml. Cliquez sur Suivant.
Sélectionnez Désactiver la validation de la chaîne de certificats, puis cliquez sur Suivant.
Sélectionnez Aucun chiffrement, puis cliquez sur Suivant. Dans la page Revendications proposées, cliquez sur Suivant.
Cochez la case Planifier une tâche pour effectuer des mises à jour quotidiennes des métadonnées WS-Federation. Cliquez sur Terminer.
Votre exemple d'application est maintenant configuré. Si vous testez l’URL d’application https://webserv1.contoso.com/claimapp, elle doit vous rediriger vers votre serveur de fédération. Le serveur de fédération doit afficher une page d'erreur, car vous n'avez pas encore configuré l'approbation de partie de confiance. En d’autres termes, vous n’avez pas sécurisé cette application test avec AD FS.
Vous devez à présent sécuriser votre exemple d’application qui s’exécute sur votre serveur web avec AD FS. Pour ce faire, vous pouvez ajouter une approbation de partie de confiance à votre serveur de fédération (ADFS1).
Créer une approbation de partie de confiance sur votre serveur de fédération
Sur votre serveur de fédération (ADFS1), dans la console Gestion AD FS, accédez à Approbations de partie de confiance, puis cliquez sur Ajouter une approbation de partie de confiance.
Dans la page Sélectionner une source de données, sélectionnez Importer les données, publiées en ligne ou sur un réseau local, concernant la partie de confiance, entrez l'URL des métadonnées de claimapp, puis cliquez sur Suivant. Grâce à l'outil FedUtil.exe, vous avez créé un fichier .xml de métadonnées. Ce fichier se trouve à l’emplacement suivant : https://webserv1.contoso.com/claimapp/federationmetadata/2007-06/federationmetadata.xml.
Dans la page Entrer le nom complet, spécifiez le nom complet de votre approbation de partie de confiance, claimapp, puis cliquez sur Suivant.
Dans la page Configurer l'authentification multifacteur maintenant ?, sélectionnez Ne pas configurer les paramètres d'authentification multifacteur pour cette approbation de partie de confiance, puis cliquez sur Suivant.
Dans la page Choisir les règles d'autorisation d'émission, sélectionnez Autoriser l'accès de tous les utilisateurs à cette partie de confiance, puis cliquez sur Suivant.
Dans la page Prêt à ajouter l'approbation, cliquez sur Suivant.
Dans la boîte de dialogue Modifier les règles de revendication, cliquez sur Ajouter une règle.
Dans la page Choisir le type de règle, sélectionnez Envoyer les revendications en utilisant une règle personnalisée, puis cliquez sur Suivant.
Dans la page Configurer la règle de revendication, dans la zone Nom de la règle de revendication, tapez All Claims. Dans la zone Règle personnalisée, tapez la règle de revendication suivante.
c:[ ] => issue(claim = c);
Cliquez sur Terminer, puis sur OK.
Étape 4 : Configurer l’ordinateur client (Client1)
Configurez une autre machine virtuelle et installez Windows 8.1. Cette machine virtuelle doit se trouver sur le même réseau virtuel que les autres machines. Cette machine NE DOIT PAS être jointe au domaine Contoso.
Le client DOIT approuver le certificat SSL utilisé pour le serveur de fédération (ADFS1), que vous avez configuré dans Step 2: Configure the federation server (ADFS1) with Device Registration Service. Il doit aussi pouvoir valider les informations sur la révocation du certificat.
Vous devez également configurer un compte Microsoft et l'utiliser pour vous connecter à Client1.
Voir aussi
Série de vidéos sur les procédures des Active Directory Federation Services : installation d’une batterie de serveurs AD FS Série de vidéos sur les procédures des Active Directory Federation Services : mise à jour des certificats Série de vidéos sur les procédures des Active Directory Federation Services : ajouter une approbation de partie de confiance Série de vidéos sur les procédures des Active Directory Federation Services : activation du service d’inscription d’appareil Série de vidéos sur les procédures des Active Directory Federation Services : installation du Proxy d’application Web