Configurer les paramètres du fournisseur WS-Federation pour les portails

Un seul serveur Active Directory Federation Services peut être ajouté (ou un autre service d'émission de jeton de sécurité compatible WS-Federation) comme fournisseur d'identité. En outre, un seul espace de noms Azure ACS peut être configuré comme ensemble de fournisseurs d'identité individuels. Les paramètres pour AD FS et ACS sont basés sur les propriétés de la classe WsFederationAuthenticationOptions.

Créer une approbation de partie de confiance AD FS

À l'aide de l'outil Gestion AD FS, accédez à Relations d'approbation > Approbations de partie de confiance.

  1. Sélectionnez Ajouter l’approbation d’une partie de confiance.
  2. Bienvenue : sélectionnez Démarrer.
  3. Sélectionner une source de données : sélectionnez Entrer manuellement les données concernant la partie de confiance, puis Suivant.
  4. Entrer le nom complet : entrez un nom et sélectionnez Suivant. Exemple : https://portal.contoso.com/
  5. Choisir le profil : sélectionnez Profil AD FS 2.0, puis Suivant.
  6. Configurer le certificat : sélectionnez Suivant.
  7. Configurer l'URL : activez la case à cocher Activer la prise en charge du protocole passif WS-Federation.

URL du protocole passif WS-Federation de la partie de confiance : entrez https://portal.contoso.com/signin-federation

  • Remarque : AD FS nécessite que le portail s'exécute sur HTTPS.

    Note

    Le point de terminaison obtenu contient les paramètres suivants :
    Type de point de terminaison : WS-Federation

  1. Configurer les identités : spécifiez https://portal.contoso.com/, sélectionnez Ajouter, puis Suivant. Le cas échéant, d'autres d'identités peuvent être ajoutées pour chaque portail de partie de confiance supplémentaire. Les utilisateurs pourront s'authentifier sur une ou toutes les identités disponibles.
  2. Choisir les règles d'autorisation d'émission : sélectionnez Autoriser l'accès de tous les utilisateurs à cette partie de confiance, puis Suivant.
  3. Prêt à ajouter l'approbation : sélectionnez Suivant.
  4. Sélectionnez Fermer.

Ajoutez la revendication ID de nom à l'approbation de partie de confiance :

Transformer le nom du compte Windows en ID de nom (transformer une revendication entrante) :

Créer des paramètres de site AD FS

Appliquez les paramètres de site du portail référençant l'approbation de partie de confiance AD FS ci-dessus.

Note

Une configuration AD FS (STS) standard utilise uniquement les paramètres suivants (avec des exemples de valeur) :

Les Métadonnées de fédération peuvent être récupérées dans PowerShell en exécutant le script suivant sur le serveur AD FS : Import-Module adfs Get-ADFSEndpoint -AddressPath /FederationMetadata/2007-06/FederationMetadata.xml

Nom du paramètre de site Description
Authentication/Registration/ExternalLoginEnabled Active ou désactive la connexion et l'inscription du compte externe. Valeur par défaut : true
Authentication/WsFederation/ADFS/MetadataAddress Obligatoire. URL des métadonnées WS-Federation du serveur AD FS (STS). Se termine généralement par le chemin d'accès : /FederationMetadata/2007-06/FederationMetadata.xml. Exemple : https://adfs.contoso.com/FederationMetadata/2007-06/FederationMetadata.xml. Pour plus d’informations : WsFederationAuthenticationOptions.MetadataAddress.
Authentication/WsFederation/ADFS/AuthenticationType Obligatoire. Type de logiciel intermédiaire d'authentification OWIN. Spécifiez la valeur de l'attribut entityID à la racine du fichier XML des métadonnées de fédération. Exemple : http://adfs.contoso.com/adfs/services/trust. Pour plus d’informations : AuthenticationOptions.AuthenticationType.
Authentication/WsFederation/ADFS/Wtrealm Obligatoire. Identificateur de la partie de confiance AD FS. Exemple :https://portal.contoso.com/. Pour plus d’informations : WsFederationAuthenticationOptions.Wtrealm.
Authentication/WsFederation/ADFS/Wreply Obligatoire. Point de terminaison passif de WS-Federation AD FS. Exemple : https://portal.contoso.com/signin-federation. Pour plus d’informations : WsFederationAuthenticationOptions.Wreply.
Authentication/WsFederation/ADFS/Caption Recommandé. Texte que l'utilisateur peut afficher dans l'interface utilisateur de connexion. Valeur par défaut : ADFS. Pour plus d’informations : WsFederationAuthenticationOptions.Caption.
Authentication/WsFederation/ADFS/CallbackPath Chemin d'accès contraint facultatif sur lequel traiter le rappel d'authentification. Pour plus d’informations : WsFederationAuthenticationOptions.CallbackPath.
Authentication/WsFederation/ADFS/SignOutWreply Valeur « Wreply » utilisée pendant la déconnexion. Pour plus d'informations : WsFederationAuthenticationOptions.SignOutWreply.
Authentication/WsFederation/ADFS/BackchannelTimeout Valeur du délai d'expiration pour les communications des canaux arrière. Exemple : 00:05:00 (5 minutes). Pour plus d’informations : WsFederationAuthenticationOptions.BackchannelTimeout.
Authentication/WsFederation/ADFS/RefreshOnIssuerKeyNotFound Détermine si une actualisation des métadonnées doit être tentée après une exception SecurityTokenSignatureKeyNotFoundException. Pour plus d’informations : WsFederationAuthenticationOptions.RefreshOnIssuerKeyNotFound.
Authentication/WsFederation/ADFS/UseTokenLifetime Indique que le cycle de vie de la session d'authentification (par exemple, les cookies) doit correspondre à celui du jeton d'authentification. WsFederationAuthenticationOptions.UseTokenLifetime.
Authentication/WsFederation/ADFS/AuthenticationMode Mode du logiciel intermédiaire d'authentification OWIN. Pour plus d’informations : AuthenticationOptions.AuthenticationMode.
Authentication/WsFederation/ADFS/SignInAsAuthenticationType AuthenticationType utilisé lors de la création de System.Security.Claims.ClaimsIdentity. Pour plus d’informations : WsFederationAuthenticationOptions.SignInAsAuthenticationType.
Authentication/WsFederation/ADFS/ValidAudiences Liste séparée par des virgules d'URL d'audience. Pour plus d'informations : TokenValidationParameters.AllowedAudiences.
Authentication/WsFederation/ADFS/ValidIssuers Liste séparée par des virgules d'URL d'émetteur. Pour plus d'informations : TokenValidationParameters.ValidIssuers.
Authentication/WsFederation/ADFS/ClockSkew Horloge à appliquer lors de la validation des heures.
Authentication/WsFederation/ADFS/NameClaimType Type de revendication utilisé par ClaimsIdentity pour enregistrer la revendication de nom.
Authentication/WsFederation/ADFS/RoleClaimType Type de revendication utilisé par ClaimsIdentity pour enregistrer la revendication de rôle.
Authentication/WsFederation/ADFS/RequireExpirationTime Valeur indiquant si les jetons doivent avoir une valeur « expiration ».
Authentication/WsFederation/ADFS/RequireSignedTokens Une valeur indiquant si un System.IdentityModel.Tokens.SecurityToken xmlns="http://ddue.schemas.microsoft.com/authoring/2003/5" peut être valide s'il n'est pas signé.
Authentication/WsFederation/ADFS/SaveSigninToken Valeur booléenne permettant de contrôler si le jeton d'origine est enregistré lors de la création d'une session.
Authentication/WsFederation/ADFS/ValidateActor Valeur indiquant si System.IdentityModel.Tokens.JwtSecurityToken.Actor doit être validé.
Authentication/WsFederation/ADFS/ValidateAudience Valeur booléenne permettant de contrôler si l'audience est validée pendant la validation du jeton.
Authentication/WsFederation/ADFS/ValidateIssuer Valeur booléenne permettant de contrôler si l'émetteur est validé pendant la validation du jeton.
Authentication/WsFederation/ADFS/ValidateLifetime Valeur booléenne permettant de contrôler si le cycle de vie est validé pendant la validation du jeton.
Authentication/WsFederation/ADFS/ValidateIssuerSigningKey Valeur booléenne qui contrôle si la validation de System.IdentityModel.Tokens.SecurityKey qui a signé securityToken xmlns="http://ddue.schemas.microsoft.com/authoring/2003/5" est appelée.
Authentication/WsFederation/ADFS/Whr Spécifie un paramètre « whr » dans l'URL de redirection du fournisseur d'identité. Pour plus d'informations : wsFederation.

Paramètres WS-Federation pour Azure Active Directory

La section précédente décrivant AD FS peut aussi être appliquée à Azure Active Directory (Azure AD), car Azure AD se comporte comme un service d'émission de jeton de sécurité compatible WS-Federation standard. Pour démarrer, connectez-vous au Portail de gestion Azure et créez ou sélectionnez un répertoire existant. Lorsqu'un répertoire est disponible, suivez les instructions pour ajouter une application au répertoire.

  1. Dans le menu Applications du répertoire, sélectionnez Ajouter.
  2. Sélectionnez Ajouter une application que mon organisation développe.
  3. Spécifiez un nom personnalisé pour l'application, puis choisissez le type Application Web et/ou API Web.
  4. Pour l'URL de connexion et l'URI d'ID d'application, indiquez l'URL du portail pour les deux champs https://portal.contoso.com/. Cela correspond à la valeur du paramètre de site Wtrealm.
  5. À ce stade, une nouvelle application est créée. Accédez à la section Configurer du menu. Dans la section Authentification unique, mettez à jour la première entrée URL de réponse pour inclure un chemin d'accès dans l'URL http://portal.contoso.com/signin-azure-ad.
    • Cela correspond à la valeur du paramètre de site Wreply.
  6. Sélectionnez Enregistrer dans le pied de page.
  7. Dans le menu du pied de page, sélectionnez Afficher les points de terminaison et notez le champ Document des métadonnées de fédération.

Cela correspond à la valeur du paramètre de site MetadataAddress.

  • Collez cette URL dans une fenêtre du navigateur pour afficher le fichier XML des métadonnées de fédération et noter l'attribut entityID de l'élément racine.

  • Cela correspond à la valeur du paramètre de site AuthenticationType.

Note

Une configuration Azure AD standard utilise uniquement les paramètres suivants (avec des exemples de valeur) :

Configurer l'authentification de l'application Facebook

Appliquez la configuration décrite dans la rubrique Authentification de l'application Facebook (onglet de page) pour les portails.

Voir aussi

Configurer l'authentification sur le portail Dynamics 365
Définir l'identité d'authentification pour un portail
Paramètres du fournisseur OAuth2 pour les portails
Paramètres du fournisseur Open ID Connect pour les portails
Paramètres du fournisseur SAML 2.0 pour les portails
Authentification de l'application Facebook (onglet de page) pour les portails