« La théorie, c'est quand on sait tout et que rien ne fonctionne. La pratique, c'est quand tout fonctionne et que personne ne sait pourquoi. Ici, nous avons réuni théorie et pratique : Rien ne fonctionne... et personne ne sait pourquoi ! »

Recherche glossaire

Rechercher dans les définitions (terme ou expression)
Commence par Contient Terme exactSe prononce comme

Traduction

frendeitptes
Print Friendly, PDF & Email
Etoiles inactivesEtoiles inactivesEtoiles inactivesEtoiles inactivesEtoiles inactives
 

ADFS (Active Directory Federation Services)

ADFS est une solution permettant aux utilisateurs de s'autentifier auprès d'applications WEB se trouvant dans un réseau local et/ou dans une société partenaire. ADFS répondant au standard de l'industrie, il est compatible avec des fournisseurs d'autentifications tiers.

ADFS apporte les solutions suivantes:

  • Identification
  • Authentification
  • Autorisation

Le tuto va mettre en place une solution ADFS offrant un accès à une aplication WEB. Le schéma ci-dessous montre l'infrastructure mise en place nécessaire.

Install ADFS 1

Prérequis

Prérequis

Pour ce tuto, la présence du serveur "ServeurC" n'est pas nécessaire et ne sera par conséquent pas solicité pour la mise en place ru rôle ADFS.

Je pars du principe que sur le serveur "DC1" est déjà installé et configuré par défaut le rôle d'autorité de certification avec en sus:

  • La création d'un modèle de certificat nommé "Serveur Web Formation" basé sur le modèle par défaut "Serveur Web" avec les modification suivantes:
    • Autorisez les ordinateurs du domaine à procéder à l'inscription du certificat
    • Autorisez l'exportation de la clé privée

Installation de IIS

Sur le serveur "ServeurA", serveur ADFS, installé le rôle IIS par défaut.

Sur le serveur "ServeurB", serveur hébergeant une application WEB, installé le rôle IIS par défaut et ajoutez l'authentification Windows que vous activerez.

Install ADFS 2

Install ADFS 3

Sur le serveur DNS, Créez un nouveau enregistrement de type A

Install ADFS 4

En donnant comme nom "ADFS" et en spécifiant l'adresse IP 172.16.0.12 correspondant à votre futur serveur ADFS  nommé "ServeurB"

Install ADFS 5

Affectation de certificat sur le serveur "ServeurB"

Loguez-vous sur le serveur "ServeurB" afin d'obtenir un certificat de serveur WEB. Pour cela, créez une console mmc en y ajoutant le snap-in "Certificat - Ordinateur".

Install ADFS 6

Sélectionnez "Stratégie d'inscription à Active Directory"

Install ADFS 7

Puis sélectionnez votre certificat "Serveur WEB Formation" et cliquez sur le lient "L'inscription pour obtenir..."

Install ADFS 8

Dans le zone "Nom du sujet", sélectionnez "Nom commun" et renseignez "adfs.formation.local"

Dans le zone "Autre nom", sélectionnez "DNS" et renseignez "adfs.formation.local" au minima

Install ADFS 9

Procédez à l'inscription

Install ADFS 10

Petite vérification

Install ADFS 11

Afin d'ouvrir le site WEB en HTTPS, dans la console IIS, faites un clic droit sur "Default Web Site" puis "Modifier les liaisons..."

Install ADFS 12

Cliquez sur "Ajouter..."

Install ADFS 13

Sélectionnez  dans "Type" "https" ainsi que votre certificat "adfs.formation.local"

Install ADFS 14

Fermer

Install ADFS 15

Affectation de certificat sur le serveur "ServeurA"

Refaites les actions précédement menées sur le serveur "ServeurB" sur le serveur "ServeurA" à l'identique en indiquant dans le certificat les différents nom du serveur:

  • ServeurA
  • ServeurA.formation.local

Installation d'ADFS

Installation d'ADFS

Sur le serveur "ServeurB", procédez à l'installation du rôle "Services de fédération Active Directory (ADFS)"

Install ADFS 16

Install ADFS 17

Dans PowerShell en mode administrateur, lancez la commande suivante:

Add-KdsRootKey -EffectiveTime (Get-Date).Addhours(-10)

Install ADFS 18

Execution de l'assistant

Une fois le rôle installé, dans le gestionnaire de serveur, cliquez sur le triangle jaune afin de configurez le service FS (Federation Service)

Install ADFS 19

Je vous invite bien entendu à prendre le temps de lire chaque boîte de dialogue afin de vous imprégnier des différents options.

Install ADFS 20

Ciquez sur "Modifier"

Install ADFS 21

Afin de renseigner un compte d'administration

Install ADFS 22

Puis cliquez sur "Suivant"

Install ADFS 23

Sélectionnez votre certificat SSL et nommez le service FS

Install ADFS 24

Dans le cas improbable que la commande powershel précédente est été omise ou erronée, vous ne seriez pas en mesure de créer un compte géré de groupe.

Je l'ai nommé "ServiceADFS"

Install ADFS 25

Cliquez sur "Suivant" afin de créer une base de données sur ce serveur

Install ADFS 26

Cliquez sur "Suivant"

Install ADFS 27

Voici le contenu du script:

#
# Script Windows PowerShell pour le déploiement d’AD FS
#

Import-Module ADFS

# Get the credential used for performaing installation/configuration of ADFS
$installationCredential = Get-Credential -Message "Entrez les informations d’identification du compte utilisé pour effectuer la configuration."

Install-AdfsFarm `
-CertificateThumbprint:"6DB0B508838D05EAF4F004D6E4F5809986889C37" `
-Credential:$installationCredential `
-FederationServiceDisplayName:"ADFS-Formation" `
-FederationServiceName:"adfs.formation.local" `
-GroupServiceAccountIdentifier:"FORMATION\ServiceADFS`$"

Cliquez sur "Configurer"

Install ADFS 28

Install ADFS 29

Pensez à redémarrer le serveur

Install ADFS 30

Création des règles ADFS

Création des règles ADFS

Le serveur ADFS étant installé, vous devez configurer les règles de revendications. Lancez la console "Gestion ADFS"

regle ADFS 1

Ouvrez le noeud "Approbations de fournisseur de revendication"

regle ADFS 2

Après un clic droit sur "Active Directory", sélectionnez "Modifier les règles de revendication..."

regle ADFS 3

"Ajouter un règle..."

regle ADFS 4

Assurez-vous que le modèle de règle de revendication actuellement sélectionné est bien sur "Envoyer les attributs LDAP en tant que revendications"

regle ADFS 5

  • Nommez la règle de revendication
  • Sélectionnez le magasin d'attributs "Active Directory"
  • Insérez les attributs suivants en renseignant les types de revendication correspondantes:

regle ADFS 7

Cliquez sur "Terminer" puis sur "Ok"

regle ADFS 8

Le serveur ADFS est a présent opérationnel

Afin de le validez, loguez vous sur un poste client et renseignez l'url https://adfs.formation.local/federationmetadata/2007-06/federationmetadata.xml

Un contenu similaire devrait apparaître...

Param Web 15

Paramétrage de Windows Identity Foundation

Paramétrage Paramétrage de Windows Identity Foundation

Interressons nous à présent au serveur "ServeurA" hébergeant l'application Web que nous devons mettre en relation avec le serveur ADFS.

Sur le serveur "ServeurA", installez la fonctionnalité "Windows Identity Foundation 3.5"

Param Web 1

Param Web 2

Téléchargez ce dossier FormationTestApp que vous décompresserez dans le répertoire "c:\inetpub\wwwroot"

Activez l'exploration de répertoire

Param Web 3

Puis faites un test de connexion

Param Web 4

Il faut savoir que lorsque vous installez la fonctionnalité "Windows Identity Foudation", vous n'avez pas accès aux outils et il est nécessaire de les télécharger indépendament.

Cliquez sur le lien suivant afin de les télécaharger.

https://www.microsoft.com/en-US/download/details.aspx?id=4451

Téléchargement du kit "Windows Identity Foudation SDK 4.0"

Param Web 5

Param Web 6

Lancez l'installation par défaut du kit

Param Web 7

Param Web 8

Param Web 9

Param Web 10

Param Web 11

Une fois le kit installé, sélectionnez dans le gestionnaire de serveur, menu outils, "Windows Identity Foudation Federation Utility"

Param Web 12
Indiquez le chemin d'accès du fichier "Web.config" ainsi que l'url

Param Web 13

Sélectionnez "Use an existing STS" et renseignez l'url https://adfs.formation.local/federationmetadata/2007-06/federationmetadata.xml. Cliquez sur "Test location..."

Param Web 14

Un contenu similaire devrait apparaître...

Param Web 15

Param Web 16

Cliquez sur "Next"

Param Web 17

Cliquez sur "Next"

Param Web 18

Cliquez sur "Next"

Param Web 19

Puis pour finir, cliquez sur "Finish"

Param Web 20

Param Web 21

Votre application WEB est configuré pour être authentifié par ADFS.

Configuration de l'approbation de confiance

Configuration de l'approbation de confiance

Au stade actuelle, l'application WEB s'est à qui s'adresser pour l'autentification mais ce n'est pas pour autant qu'ADFS va procéder à l'autentification. Vous allez pour cela ajouter une approbation de partie de confiance.

Dans la console ADFS, faites un clic droit sur "Approbation de partie de confiance" - "Ajouter une approbation de partie de confiance"

 Approbation confiance 1

Cliquez sur "Démarrer"

Approbation confiance 2

Renseignez l'url de l'application WEB, puis sur "Suivant"

Approbation confiance 3

Renseignez un nom explicite pour cette approbation de confiance

Approbation confiance 4

Sélectionnez "Autoriser tout le monde", puis suivant

Approbation confiance 5

"Suivant"

Approbation confiance 6

"Fermer"

Approbation confiance 7

Création des règles de revendication

Création des règles de revendication

L'approbation de partie de confiance créée, reste à la paramétrer. Editéez-la

Regle revendication 1

Vous allez ajouter 4 règles:

  • Adresse mail
  • Nom
  • UPN
  • Nom de compte Windows

"Ajouter une règle"

Regle revendication 2

Sélectionnez "Passer ou filtrer une revendication entrante"

Regle revendication 3

"Suivant"

Sélectionnez "Passer ou filtrer une revendication entrante"

Regle revendication 4

Dans type de revendication, sélectionnez "Nom de compte Windows", puis "Terminer"

Regle revendication 5

Ajouter une règle

Regle revendication 6

"Suivant"

Sélectionnez "Passer ou filtrer une revendication entrante"

Regle revendication 4

Dans type de revendication, sélectionnez "Adresse de messagerie", puis "Terminer"

Regle revendication 7

"Ajouter une règle"

Regle revendication 8

"Suivant"

Sélectionnez "Passer ou filtrer une revendication entrante"

Regle revendication 4

Dans type de revendication, sélectionnez "UPN", puis "Terminer"

Regle revendication 9

"Ajouter une règle"

Regle revendication 10

"Suivant"

Sélectionnez "Passer ou filtrer une revendication entrante"

Regle revendication 4

Dans type de revendication, sélectionnez "Nom", puis "Terminer"

Regle revendication 11

"OK"

Regle revendication 12

Tester ADFS

Tester ADFS

Sur un poste client, dans votre navigateur EDGE, renseignez l'URL https://serveura.formation.local/formationtestapp/ (mettez bien le "/" à la fin)

autentifiez-vous

Test ADFS 1

la page web s'ouvre

Test ADFS 2

Dans les paramètres IE, dans la zone site de confiance, ajouter les 2 URLs suivantes:

Test ADFS 3

"Ok"

Test ADFS 4

Fermez votre navigateur

Test ADFS 5

Retournez sur la même page Web

Test ADFS 2

Vous devez être authentifié pour pouvoir laisser des commentaires...

Print Friendly, PDF & Email