Gérer et personnaliser Active Directory Federation Services à l’aide d’Azure AD Connect

Cet article décrit comment gérer et personnaliser Active Directory Federation Services (ADFS) à l’aide d’Azure Active Directory (Azure AD) Connect. Il indique également d’autres tâches courantes liées à AD FS que vous devrez peut-être effectuer pour terminer la configuration d’une batterie de serveurs AD FS.

Rubrique Sujet traité
Gérer AD FS
Réparation de l’approbation Réparation de l’approbation de fédération avec Microsoft 365.
Fédérer avec Azure AD à l’aide d’un ID de connexion de substitution Configurer la fédération à l’aide d’un ID de connexion de substitution
Ajout d’un serveur AD FS Extension d’une batterie de serveurs AD FS à l’aide d’un serveur AD FS supplémentaire.
Ajouter un serveur de proxy d’application web AD FS Extension d’une batterie de serveurs AD FS à l’aide d’un serveur de proxy d’application web.
Ajout d’un domaine fédéré Ajout d’un domaine fédéré.
Mettre à jour le certificat TLS/SSL Mise à jour du certificat TLS/SSL pour une batterie de serveurs AD FS.
Personnaliser AD FS
Ajout d’une illustration ou d’un logo de société personnalisé Personnalisation de la page de connexion AD FS à l’aide d’une illustration ou d’un logo de société.
Ajout d’une description de connexion Ajout d’une description de la page de connexion.
Modification des règles de revendication AD FS Modification des revendications AD FS pour différents scénarios de fédération.

Gérer AD FS

Vous pouvez effectuer différentes tâches associées à AD FS dans Azure AD Connect avec une intervention minime de l’utilisateur à l’aide de l’Assistant Azure AD Connect. Une fois que vous avez terminé l’installation d’Azure AD Connect à l’aide de l’Assistant, vous pouvez à nouveau exécuter l’Assistant pour effectuer des tâches supplémentaires.

Réparation de l’approbation

Vous pouvez utiliser Azure AD Connect pour vérifier l’état actuel des services AD FS et Azure AD et prendre des mesures appropriées pour réparer l’approbation. Pour réparer l’approbation des services Azure AD et AD FS, procédez comme suit :

  1. Sélectionnez Réparer la confiance AAD et ADFS dans la liste des tâches disponibles. Repair AAD and ADFS Trust

  2. Dans la page Connexion à Azure AD, saisissez vos informations d’identification d’administrateur global d’Azure AD, puis cliquez sur Suivant. Screenshot that shows the

  3. Dans la page Informations d’identification d’accès à distance , indiquez les informations d’identification de l’administrateur de domaine.

    Screenshot that shows the

    Lorsque vous cliquez sur Suivant, Azure AD Connect vérifie l’intégrité du certificat et affiche les éventuels problèmes.

    State of certificates

    La page Prêt à configurer affiche la liste des actions qui seront effectuées afin de réparer l’approbation.

    Screenshot that shows the

  4. Cliquez sur Installer pour réparer l’approbation.

Notes

Azure AD Connect peut seulement réparer ou modifier les certificats auto-signés. Azure AD Connect ne permet pas de réparer les certificats tiers.

Fédération avec Azure AD via AlternateID

Il est recommandé que le nom d’utilisateur principal (UPN) local et le nom d’utilisateur principal cloud soient identiques. Si l’UPN local utilise un domaine non routable (par exemple, Contoso.local) ou s’il ne peut pas être modifié en raison de dépendances d’application locales, nous vous recommandons de configurer un autre ID de connexion. Un ID de connexion de substitution permet de configurer une expérience de connexion où les utilisateurs peuvent se connecter avec un attribut autre que leur UPN, comme leur adresse e-mail. Le choix de nom d’utilisateur principal dans Azure AD Connect est par défaut l’attribut userPrincipalName dans Active Directory. Si vous choisissez n’importe quel autre attribut pour le nom d’utilisateur principal et fédérez avec AD FS, Azure AD Connect configurera AD FS pour l’ID de connexion de substitution. Vous trouverez ci-dessous un exemple de choix d’un autre attribut pour le nom d’utilisateur principal :

Alternate ID attribute selection

La configuration d’un ID de connexion de substitution pour AD FS comprend deux étapes principales :

  1. Configuration du jeu de revendications d'émission : les règles de revendication d'émission dans la partie de confiance Azure AD sont modifiées pour utiliser l'attribut UserPrincipalName sélectionné en tant qu'ID de substitution de l'utilisateur.

  2. Activation d'un ID de connexion de substitution dans la configuration d'AD FS : la configuration d'AD FS est mise à jour afin qu'AD FS puisse rechercher des utilisateurs dans les forêts appropriées à l'aide de l'ID de substitution. Cette configuration est prise en charge pour AD FS sur Windows Server 2012 R2 (avec KB2919355) ou version ultérieure. Si les serveurs AD FS sont sous 2012 R2, Azure AD Connect vérifie la présence de la base de connaissances requise. Si la base de connaissances n’est pas détectée, un avertissement s’affiche après la configuration, comme indiqué ci-dessous :

    Warning for missing KB on 2012R2

    Pour corriger la configuration en cas de bases de connaissances manquantes, installez la mise à jour KB2919355 requise, puis réparez l’approbation à l’aide de Réparer l’approbation AAD et AD FS.

Notes

Pour plus d’informations sur ID de substitution et les étapes de configuration manuelle, lisez Configuration d’un ID de connexion de substitution

Ajout d’un serveur AD FS

Notes

Pour ajouter un serveur AD FS, Azure AD Connect requiert le certificat PFX. Par conséquent, vous ne pouvez effectuer cette opération que si vous avez configuré la batterie de serveurs AD FS à l’aide d’Azure AD Connect.

  1. Sélectionnez Déploiement d’un serveur de fédération supplémentaire, puis cliquez sur Suivant.

    Additional federation server

  2. Dans la page Connexion à Azure AD, saisissez vos informations d’identification d’administrateur global d’Azure AD, puis cliquez sur Suivant.

    Screenshot that shows the

  3. Indiquez les informations d’identification de l’administrateur de domaine.

    Domain administrator credentials

  4. Azure AD Connect vous demande le mot de passe du fichier PFX que vous avez fourni lors de la configuration de votre nouvelle batterie de serveurs AD FS avec Azure AD Connect. Cliquez sur Saisie du mot de passe pour fournir le mot de passe du fichier PFX.

    Screenshot that shows the

    Screenshot that shows the

  5. Dans la page Serveurs AD FS , entrez le nom ou l’adresse IP du serveur à ajouter à la batterie de serveurs AD FS.

    AD FS servers

  6. Cliquez sur Suivant et parcourez la page Configurer finale. Une fois qu’Azure AD Connect a fini d’ajouter les serveurs à la batterie de serveurs AD FS, vous avez la possibilité de vérifier la connectivité.

    Screenshot that shows the

    Screenshot that shows the

Ajout d’un serveur WAP AD FS

Notes

Pour ajouter un serveur de proxy d’application web AD FS, Azure AD Connect requiert le certificat PFX. Par conséquent, vous ne pouvez effectuer cette opération que si vous avez configuré la batterie de serveurs AD FS à l’aide d’Azure AD Connect.

  1. Sélectionnez Déployer le proxy d’application web dans la liste des tâches disponibles.

    Deploy Web Application Proxy

  2. Indiquez les informations d’identification de l’administrateur global Azure.

    Screenshot that shows the

  3. Dans la page Spécifiez le certificat SSL , indiquez le mot de passe du fichier PFX que vous avez fourni lors de la configuration de la batterie de serveurs AD FS avec Azure AD Connect. Certificate password

    Specify TLS/SSL certificate

  4. Ajoutez le serveur à ajouter en tant que serveur de proxy d’application web. Étant donné que le serveur de proxy d’application web peut être joint ou non au domaine, l’Assistant vous demande les informations d’identification administratives du serveur en cours d’ajout.

    Administrative server credentials

  5. Dans la page Informations d’identification de confiance du proxy , indiquez les informations d’identification de l’administrateur pour configurer l’approbation du proxy et accéder au serveur principal dans la batterie de serveurs AD FS.

    Proxy trust credentials

  6. Dans la page Prêt à configurer , l’Assistant affiche la liste des actions qui seront effectuées.

    Screenshot that shows the

  7. Cliquez sur Installer pour terminer la configuration. Une fois la configuration terminée, l’Assistant vous permet de vérifier la connectivité aux serveurs. Cliquez sur Vérifier pour vérifier la connectivité.

    Installation complete

Ajout d’un domaine fédéré

Il est facile d’ajouter un domaine à fédérer avec Azure AD à l’aide d’Azure AD Connect. Azure AD Connect ajoute le domaine de la fédération et modifie les règles de revendication pour identifier correctement l’émetteur lorsque plusieurs domaines sont fédérés avec Azure AD.

  1. Pour ajouter un domaine fédéré, sélectionnez la tâche Ajout d’un domaine Azure AD supplémentaire.

    Additional Azure AD domain

  2. Dans la page suivante de l’Assistant, indiquez les informations d’identification de l’administrateur global d’Azure AD.

    Connect to Azure AD

  3. Dans la page Informations d’identification d’accès à distance , indiquez les informations d’identification de l’administrateur de domaine.

    Remote access credentials

  4. Dans la page suivante, l’Assistant affiche une liste de domaines Azure AD dans lesquels vous pouvez fédérer votre annuaire local. Sélectionnez le domaine dans la liste.

    Azure AD domain

    Après avoir choisi le domaine, l’Assistant présente des informations utiles concernant les autres actions qu’il va effectuer et l’impact de la configuration. Dans certains cas, si vous sélectionnez un domaine qui n’est pas encore vérifié dans Azure AD, l’Assistant affiche des informations pour vous aider à vérifier le domaine. Pour plus d’informations, consultez Ajouter un nom de domaine personnalisé à Azure Active Directory .

  5. Cliquez sur Suivant. La page Prêt à configurer affiche la liste des actions qui seront effectuées par Azure AD Connect. Cliquez sur Installer pour terminer la configuration.

    Ready to configure

Notes

Les utilisateurs du domaine fédéré ajouté doivent être synchronisés pour pouvoir se connecter à Azure AD.

Personnalisation d’AD FS

Les sections suivantes fournissent des informations concernant certaines tâches courantes que vous devrez peut-être effectuer pour personnaliser votre page de connexion AD FS.

Pour changer le logo de la société affiché sur la page Connexion, utilisez l’applet de commande et la syntaxe Windows PowerShell suivantes.

Notes

Les dimensions recommandées pour le logo sont 260 x 35 à 260 PPP avec une taille de fichier maximale de 35 Ko.

Set-AdfsWebTheme -TargetName default -Logo @{path="c:\Contoso\logo.PNG"}

Notes

Le paramètre TargetName est obligatoire. Le thème par défaut publié avec AD FS est nommé Par défaut.

Ajout d’une description de connexion

Pour ajouter une description de la page de connexion, utilisez l’applet de commande et la syntaxe Windows PowerShell suivantes.

Set-AdfsGlobalWebContent -SignInPageDescriptionText "<p>Sign-in to Contoso requires device registration. Click <A href='http://fs1.contoso.com/deviceregistration/'>here</A> for more information.</p>"

Modification des règles de revendication AD FS

AD FS prend en charge un langage complet, qui permet de créer des règles de revendication personnalisées. Pour plus d’informations, consultez Rôle du langage de règle de revendication.

Les sections suivantes décrivent comment écrire des règles personnalisées pour certains scénarios se rapportant à la fédération des services Azure AD et AD FS.

ID non modifiable à condition que la valeur soit présente dans l’attribut

Azure AD Connect vous permet de spécifier un attribut à utiliser comme ancre source, lorsque les objets sont synchronisés avec Azure AD. Si la valeur de l’attribut personnalisé n’est pas vide, vous souhaiterez peut-être émettre une revendication d’ID non modifiable.

Par exemple, vous pouvez sélectionner ms-ds-consistencyguid comme attribut de l’ancre source et émettre ms-ds-consistencyguid comme ImmutableID, si l’attribut a une valeur. Si l’attribut n’a pas de valeur, émettez l’ID non modifiable objectGuid . Vous pouvez construire le jeu de règles de revendication personnalisées, comme indiqué dans la section suivante.

Règle 1 : attributs de la requête

c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]
=> add(store = "Active Directory", types = ("http://contoso.com/ws/2016/02/identity/claims/objectguid", "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"), query = "; objectGuid,ms-ds-consistencyguid;{0}", param = c.Value);

Dans cette règle, vous interrogez les valeurs de ms-ds-consistencyguid et objectGuid de l’utilisateur à partir d’Active Directory. Remplacez le nom du magasin par un nom de magasin approprié dans votre déploiement AD FS. Remplacez également le type de revendication par un type approprié à votre fédération, comme défini pour objectGuid et ms-ds-consistencyguid.

Par ailleurs, utiliser add à la place de issue évite d’ajouter un problème à la sortie de l’entité et permet d’utiliser les valeurs en tant que valeurs intermédiaires. Vous allez émettre la revendication dans une règle ultérieure, après avoir établi la valeur à utiliser comme ID non modifiable.

Règle 2 : s'assurer que l'ID ms-ds-consistencyguid existe pour l'utilisateur

NOT EXISTS([Type == "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"])
=> add(Type = "urn:anandmsft:tmp/idflag", Value = "useguid");

Cette règle définit un indicateur temporaire idflag dont la valeur est useguid si aucun ID ms-ds-concistencyguid n’est renseigné pour l’utilisateur. Il y a une logique à cela : AD FS n’autorise pas les revendications vides. De ce fait, lorsque vous ajoutez des revendications http://contoso.com/ws/2016/02/identity/claims/objectguid et http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid dans la règle 1, vous vous retrouvez avec une revendication msdsconsistencyguid uniquement si la valeur est renseignée pour l’utilisateur. Si elle n’est pas indiquée, AD FS voit que sa valeur sera vide et le supprime immédiatement. Tous les objets auront un objectGuid. Donc, cette revendication sera toujours là après l’exécution de la règle 1.

Règle 3 : émettre ms-ds-consistencyguid comme ID non modifiable s'il est présent

c:[Type == "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"]
=> issue(Type = "http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID", Value = c.Value);

Il s’agit d’un contrôle Exist implicite. Si la valeur de la revendication existe, alors émettez-la en tant qu’ID non modifiable. L’exemple précédent utilise le nameidentifier de revendication. Vous devez le remplacer par un type de revendication approprié pour l’ID non modifiable dans votre environnement.

Règle 4 : émettre objectGuid comme ID non modifiable si ms-ds-consistencyGuid n'est pas présent

c1:[Type == "urn:anandmsft:tmp/idflag", Value =~ "useguid"]
&& c2:[Type == "http://contoso.com/ws/2016/02/identity/claims/objectguid"]
=> issue(Type = "http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID", Value = c2.Value);

Dans cette règle, vous vérifiez simplement l’indicateur temporaire idflag. Vous décidez s’il faut émettre la revendication en fonction de sa valeur.

Notes

L’ordre de ces règles est important.

Authentification unique avec un UPN de sous-domaine

Vous pouvez ajouter plusieurs domaines à fédérer à l’aide d’Azure AD Connect, comme indiqué dans Ajout d’un domaine fédéré. Azure AD Connect version 1.1.553.0 et ultérieures crée automatiquement la règle de revendication issuerID appropriée. Si vous ne pouvez pas utiliser Azure AD Connect version 1.1.553.0 ou ultérieures, il est recommandé d’utiliser l’outil Règles de revendication Azure AD RPT afin de générer et de définir les règles de revendication appropriées pour l’approbation de partie de confiance Azure AD.

Étapes suivantes

En savoir plus sur les options de connexion de l’utilisateur.