Configurer les paramètres du fournisseur WS-Federation pour les portails

Un seul serveur Active Directory Federation Services peut être ajouté (ou un autre service d'émission de jeton de sécurité compatible WS-Federation) comme fournisseur d'identité. En outre, un seul espace de noms Azure ACS peut être configuré comme ensemble de fournisseurs d'identité individuels. Les paramètres pour AD FS et ACS sont basés sur les propriétés de la classe WsFederationAuthenticationOptions.

Créer une approbation de partie de confiance AD FS

À l'aide de l'outil Gestion AD FS, sélectionnez Relations d'approbation > Approbations de partie de confiance.

  1. Cliquez sur Ajouter une approbation de partie de confiance.
  2. Bienvenue : cliquez sur Démarrer.
  3. Sélectionner une source de données : sélectionnez Entrer manuellement les données concernant la partie de confiance et cliquez sur Suivant.
  4. Entrer le nom complet : entrez un nom et cliquez sur Suivant. Exemple : https://portal.contoso.com/
  5. Choisir le profil : sélectionnez Profil AD FS 2.0 et cliquez sur Suivant.
  6. Configurer le certificat : cliquez sur Suivant.
  7. Configurer l'URL : cochez Activer la prise en charge du protocole passif WS-Federation.

URL du protocole passif WS-Federation de la partie de confiance : entrez https://portal.contoso.com/signin-federation

  • Remarque : AD FS nécessite que le portail s'exécute sur HTTPS

    Note

    Le point de terminaison obtenu contient les paramètres suivants :
    Type de point de terminaison : WS-Federation

  1. Configurer les identités : spécifiez https://portal.contoso.com/, cliquez sur Ajouter, puis sur Suivant. Le cas échéant, d'autres d'identités peuvent être ajoutées pour chaque portail de partie de confiance supplémentaire. Les utilisateurs pourront s'authentifier sur une ou toutes les identités disponibles.
  2. Choisir les règles d'autorisation d'émission : sélectionnez Autoriser l'accès de tous les utilisateurs à cette partie de confiance, puis cliquez sur Suivant.
  3. Prêt à ajouter l'approbation : cliquez sur Suivant.
  4. Cliquez sur Fermer.

Ajoutez la revendication ID de nom à l'approbation de partie de confiance :

Transformer le nom du compte Windows en ID de nom (transformer une revendication entrante) :

Créer des paramètres de site AD FS

Appliquez les paramètres de site du portail référençant l'approbation de partie de confiance AD FS ci-dessus.

Note

Une configuration AD FS (STS) standard utilise uniquement les paramètres suivants (avec des exemples de valeur) :

Les Métadonnées de fédération peuvent être récupérées dans PowerShell en exécutant le script suivant sur le serveur AD FS : Import-Module adfs Get-ADFSEndpoint -AddressPath /FederationMetadata/2007-06/FederationMetadata.xml

Nom du paramètre de site Description
Authentication/Registration/ExternalLoginEnabled Active ou désactive la connexion et l'inscription du compte externe. Valeur par défaut : true
Authentication/WsFederation/ADFS/MetadataAddress Obligatoire. URL des métadonnées WS-Federation du serveur AD FS (STS). Se termine généralement par le chemin d'accès : /FederationMetadata/2007-06/FederationMetadata.xml. Exemple : https://adfs.contoso.com/FederationMetadata/2007-06/FederationMetadata.xml. MSDN.
Authentication/WsFederation/ADFS/AuthenticationType Obligatoire. Type de logiciel intermédiaire d'authentification OWIN. Spécifiez la valeur de l'attribut entityID à la racine du fichier XML des métadonnées de fédération. Exemple : http://adfs.contoso.com/adfs/services/trust. MSDN.
Authentication/WsFederation/ADFS/Wtrealm Obligatoire. Identificateur de la partie de confiance AD FS. Exemple : https://portal.contoso.com/. MSDN.
Authentication/WsFederation/ADFS/Wreply Obligatoire. Point de terminaison passif de WS-Federation AD FS. Exemple : https://portal.contoso.com/signin-federation. MSDN.
Authentication/WsFederation/ADFS/Caption Recommandé. Texte que l'utilisateur peut afficher dans l'interface utilisateur de connexion. Valeur par défaut : ADFS. MSDN.
Authentication/WsFederation/ADFS/CallbackPath Chemin d'accès contraint facultatif sur lequel traiter le rappel d'authentification. MSDN.
Authentication/WsFederation/ADFS/SignOutWreply Valeur « Wreply » utilisée pendant la déconnexion. MSDN.
Authentication/WsFederation/ADFS/BackchannelTimeout Valeur du délai d'expiration pour les communications des canaux arrière. Exemple : 00:05:00 (5 minutes). MSDN.
Authentication/WsFederation/ADFS/RefreshOnIssuerKeyNotFound Détermine si une actualisation des métadonnées doit être tentée après une exception SecurityTokenSignatureKeyNotFoundException. MSDN.
Authentication/WsFederation/ADFS/UseTokenLifetime Indique que le cycle de vie de la session d'authentification (par exemple, les cookies) doit correspondre à celui du jeton d'authentification. MSDN.
Authentication/WsFederation/ADFS/AuthenticationMode Mode du logiciel intermédiaire d'authentification OWIN. MSDN.
Authentication/WsFederation/ADFS/SignInAsAuthenticationType AuthenticationType utilisé lors de la création de System.Security.Claims.ClaimsIdentity. MSDN.
Authentication/WsFederation/ADFS/ValidAudiences Liste séparée par des virgules d'URL d'audience. MSDN.
Authentication/WsFederation/ADFS/ValidIssuers Liste séparée par des virgules d'URL d'émetteur. MSDN.
Authentication/WsFederation/ADFS/ClockSkew Horloge à appliquer lors de la validation des heures. MSDN.
Authentication/WsFederation/ADFS/NameClaimType Type de revendication utilisé par ClaimsIdentity pour enregistrer la revendication de nom. MSDN.
Authentication/WsFederation/ADFS/RoleClaimType Type de revendication utilisé par ClaimsIdentity pour enregistrer la revendication de rôle. MSDN.
Authentication/WsFederation/ADFS/RequireExpirationTime Valeur indiquant si les jetons doivent avoir une valeur « expiration ». MSDN.
Authentication/WsFederation/ADFS/RequireSignedTokens Une valeur indiquant si un System.IdentityModel.Tokens.SecurityToken xmlns="http://ddue.schemas.microsoft.com/authoring/2003/5" peut être valide s'il n'est pas signé. MSDN.
Authentication/WsFederation/ADFS/SaveSigninToken Valeur booléenne permettant de contrôler si le jeton d'origine est enregistré lors de la création d'une session. MSDN.
Authentication/WsFederation/ADFS/ValidateActor Valeur indiquant si System.IdentityModel.Tokens.JwtSecurityToken.Actor doit être validé. MSDN.
Authentication/WsFederation/ADFS/ValidateAudience Valeur booléenne permettant de contrôler si l'audience est validée pendant la validation du jeton. MSDN.
Authentication/WsFederation/ADFS/ValidateIssuer Valeur booléenne permettant de contrôler si l'émetteur est validé pendant la validation du jeton. MSDN.
Authentication/WsFederation/ADFS/ValidateLifetime Valeur booléenne permettant de contrôler si le cycle de vie est validé pendant la validation du jeton. MSDN.
Authentication/WsFederation/ADFS/ValidateIssuerSigningKey Valeur booléenne qui contrôle si la validation de System.IdentityModel.Tokens.SecurityKey qui a signé securityToken xmlns="http://ddue.schemas.microsoft.com/authoring/2003/5" est appelée. MSDN.
Authentication/WsFederation/ADFS/Whr Spécifie un paramètre « whr » dans l'URL de redirection du fournisseur d'identité. MSDN.

Paramètres WS-Federation pour Azure Active Directory

La section précédente décrivant AD FS peut aussi être appliquée à Azure Active Directory (Azure AD), car Azure AD se comporte comme un service d'émission de jeton de sécurité compatible WS-Federation standard. Pour démarrer, connectez-vous au Portail de gestion Azure et créez ou sélectionnez un répertoire existant. Lorsqu'un répertoire est disponible, suivez les instructions pour ajouter une application au répertoire.

  1. Dans le menu Applications du répertoire, cliquez sur le bouton Ajouter
  2. Sélectionnez Ajouter une application que mon organisation développe
  3. Spécifiez un nom personnalisé pour l'application et choisissez le type Application Web et/ou API Web
  4. Pour l'URL de connexion et l'URI d'ID d'application, indiquez l'URL du portail pour les deux champs https://portal.contoso.com/. Cela correspond à la valeur du paramètre de site Wtrealm
  5. À ce stade, une nouvelle application est créée. Accédez à la section Configurer du menu. Sous la section Authentification unique, mettez à jour la première entrée URL de réponse pour inclure un chemin d'accès dans l'URL http://portal.contoso.com/signin-azure-ad
    • Cela correspond à la valeur du paramètre de site Wreply
  6. Cliquez sur Enregistrer dans le pied de page
  7. Dans le menu du pied de page, cliquez sur le bouton Afficher les points de terminaison et notez le champ Document des métadonnées de fédération

Cela correspond à la valeur du paramètre de site MetadataAddress

  • Collez cette URL dans une fenêtre du navigateur pour afficher le fichier XML des métadonnées de fédération et noter l'attribut entityID de l'élément racine

  • Cela correspond à la valeur du paramètre de site AuthenticationType

Note

Une configuration Azure AD standard utilise uniquement les paramètres suivants (avec des exemples de valeur) :

Configurer l'authentification de l'application Facebook

Appliquez la configuration décrite dans la rubrique Authentification de l'application Facebook (onglet de page) pour les portails.

Voir aussi

Configurer l'authentification sur le portail Dynamics 365
Définir l'identité d'authentification pour un portail
Paramètres du fournisseur OAuth2 pour les portails
Paramètres du fournisseur Open ID Connect pour les portails
Paramètres du fournisseur SAML 2.0 pour les portails
Authentification de l'application Facebook (onglet de page) pour les portails