Conditions requises pour le déploiement d'AD FS
S’applique à : Azure, Office 365, Power BI, Windows Intune
Pour qu’un nouveau déploiement AD FS crée une approbation de partie de confiance avec Azure AD, vous devez d’abord vous assurer que votre infrastructure réseau d’entreprise est configurée pour prendre en charge les exigences AD FS pour les comptes, la résolution de noms et les certificats. AD FS présente les conditions requises suivantes :
Configuration logicielle requise
Configuration requise des certificats
Configuration requise pour le réseau
Configuration logicielle requise
Le logiciel AD FS doit être installé sur tout ordinateur que vous préparez pour le rôle de serveur de fédération ou de serveur proxy de fédération. Vous pouvez l'installer avec l'Assistant Installation AD FS ou en effectuant une installation silencieuse à l'aide du paramètre adfssetup.exe /quiet à partir d'une ligne de commande.
Pour une plateforme d’installation de base, AD FS nécessite le système d’exploitation Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 ou Windows Server 2012 système d’exploitation R2. AD FS dispose d’un package d’installation distinct pour les plateformes de système d’exploitation Windows Server 2008, Windows Server 2008 R2 (et il est généralement appelé AD FS 2.0) ou peut être installé en ajoutant le rôle serveur de service de fédération dans le cadre du système d’exploitation Windows Server 2012 ou Windows Server 2012 R2.
Si vous utilisez AD FS 2.0 ou les services AD FS dans Windows Server 2012, vous devez déployer et configurer des serveurs proxys de fédération dans le cadre de l'implémentation de votre solution SSO.
Si vous utilisez les services AD FS dans Windows Server 2012 R2, vous devez déployer des proxys d'application web pour configurer votre déploiement AD FS pour l'accès extranet. Dans Windows Server 2012 R2, un proxy d'application web, nouveau service du rôle de serveur Accès à distance, est utilisé pour activer vos services AD FS et permettre ainsi un accès à l'extérieur du réseau d'entreprise. Pour plus d’informations, voir Vue d’ensemble du proxy d’application Web.
Prérequis
Pendant l'installation d'AD FS, l'Assistant Installation effectue un contrôle automatique et, si nécessaire, installe les deux applications prérequises et les correctifs associés. Dans la plupart des cas, il installe toutes les applications prérequises nécessaires à l'installation et au fonctionnement d'AD FS,
Toutefois, il existe une exception : lorsque vous installez AD FS sur la plateforme Windows Server 2008 (en tant que package d’installation distinct appelé AD FS 2.0). Si c’est le cas dans votre situation de déploiement, vous devez d’abord vous assurer que .NET 3.5 SP1 est installé sur les serveurs exécutant Windows Server 2008 avant d’installer le logiciel AD FS 2.0, car il s’agit d’un prérequis d’AD FS 2.0 et qu’il ne sera pas automatiquement installé par l’Assistant Installation d’AD FS 2.0 sur cette plateforme. Si .NET 3.5 SP1 n’est pas installé, l’Assistant Installation d’AD FS 2.0 empêche l’installation du logiciel AD FS 2.0.
Correctifs
Vous devez installer les correctifs logiciels AD FS 2.0 après avoir installé AD FS 2.0. Pour plus d’informations, voir Description du correctif cumulatif 2 pour les services ADFS (Active Directory Federation Services) 2.0.
Virtualisation
AD FS prend en charge la virtualisation logicielle des rôles de serveur de fédération et de serveur proxy de fédération. Par rapport à la redondance, nous vous recommandons de stocker chaque machine virtuelle AD FS sur un serveur virtuel physique distinct.
Pour plus d’informations sur la configuration d’un environnement serveur virtuel avec la technologie de virtualisation Microsoft, voir Hyper-V Getting Started Guide (Guide de prise en main d’Hyper-V).
Configuration requise des certificats
Les certificats jouent le rôle le plus critique dans la sécurisation des communications entre les serveurs de fédération, les proxys d’application web, les proxys de serveur de fédération, le service cloud et les clients web. Les conditions requises en matière de certificats varient selon que vous configurez un serveur de fédération, un proxy d'application web ou un serveur proxy de fédération, comme le décrivent les tableaux suivants.
Certificats des serveurs de fédération
Les serveurs de fédération ont besoin des certificats indiqués dans le tableau suivant.
| Type de certificat | Description | Ce que vous devez savoir avant d'effectuer le déploiement |
|---|---|---|
Certificat SSL (aussi appelé certificat d'authentification serveur) pour les services AD FS dans Windows Server 2012 R2 |
Il s'agit d'un certificat SSL (Secure Sockets Layer) standard utilisé pour sécuriser les communications entre les serveurs de fédération, les clients, le proxy d'application web et les serveurs proxys de fédération. |
AD FS nécessite un certificat pour l'authentification de serveur SSL sur chaque serveur de fédération de votre batterie de serveurs de fédération. Le même certificat doit être utilisé sur chaque serveur de fédération d'une batterie. Le certificat et sa clé privée doivent être disponibles. Par exemple, si vous avez le certificat et sa clé privée dans un fichier .pfx, vous pourrez importer le fichier directement dans l'Assistant Configuration des services AD FS. Ce certificat SSL doit contenir les éléments suivants :
|
Certificat SSL (aussi appelé certificat d'authentification serveur) pour les versions héritées d'AD FS |
Il s'agit d'un certificat SSL (Secure Sockets Layer) standard utilisé pour sécuriser les communications entre les serveurs de fédération, les clients, le proxy d'application web et les serveurs proxys de fédération. |
AD FS nécessite un certificat SSL lors de la configuration des paramètres de serveur de fédération. Par défaut, AD FS utilise le certificat SSL configuré pour le site web par défaut dans Internet Information Services (IIS). Le nom de l'objet de ce certificat SSL est utilisé pour déterminer le nom du service de fédération de chaque instance d'AD FS que vous déployez. Pour cette raison, vous pouvez envisager de choisir un nom d’objet sur n’importe quelle nouvelle autorité de certification émise par l’autorité de certification qui représente le mieux le nom de votre entreprise ou de votre organisation au service cloud et ce nom doit être routable Par Internet. Par exemple, dans le schéma proposé plus haut (voir « Phase 2 »), le nom d’objet du certificat sera fs.fabrikam.com. Important AD FS exige que le nom d'objet de ce certificat ne contienne pas de point (nom-court). Obligatoire: Étant donné que ce certificat doit être approuvé par les clients des services cloud AD FS et Microsoft, utilisez un certificat SSL émis par une autorité de certification publique (tierce) ou par une autorité de certification subordonné à une racine approuvée publiquement; par exemple, VeriSign ou Thawte. |
Certificat de signature de jetons |
Il s’agit d’un certificat X.509 standard utilisé pour signer en toute sécurité tous les jetons que le serveur de fédération émet et que le service cloud accepte et valide. |
Le certificat de signature de jetons doit contenir une clé privée et être lié à une source digne de confiance dans le service de fédération. Par défaut, AD FS crée un certificat auto-signé. Cependant, selon les besoins de votre organisation, vous pouvez le remplacer par un certificat émis par une autorité de certification à l'aide du composant logiciel enfichable Gestion AD FS. Recommandation: Utilisez le certificat de signature de jeton auto-signé généré par AD FS. De cette façon, AD FS gérera automatiquement ce certificat par défaut. Par exemple, dans le cas où ce certificat venait à expirer, AD FS génère à l'avance un nouveau certificat auto-signé. |
Avertissement
Le certificat de signature de jetons est essentiel à la stabilité du service de fédération. En cas de modification, le service cloud doit être informé de cette modification. Sinon, les demandes adressées au service cloud échouent. Pour plus d’informations sur la gestion des certificats dans la batterie de serveurs de fédération AD FS et le service cloud, consultez Propriétés de mise à jour de l’approbation.
Certificats d'ordinateur proxy
Les serveurs proxys de fédération nécessitent le certificat du tableau suivant.
| Type de certificat | Description | Ce que vous devez savoir avant d'effectuer le déploiement |
|---|---|---|
Certificat SSL |
Il s'agit d’un certificat SSL standard utilisé pour sécuriser les communications entre un serveur de fédération, un serveur proxy de fédération ou un proxy d'application web et les ordinateurs clients Internet. |
Ce certificat d'authentification serveur est le même que celui utilisé par les serveurs de fédération du réseau d'entreprise. Ce certificat doit avoir le même nom d’objet que le certificat SSL configuré sur le serveur de fédération du réseau d’entreprise. Si vous utilisez les services AD FS sur Windows Server 2008 ou Windows Server 2012, vous devez installer ce certificat de site web par défaut sur le serveur proxy de fédération. Si vous utilisez les services AD FS sur Windows Server 2012 R2, vous devez importer ce certificat dans le magasin de certificats personnels de votre proxy d'application web. Recommandation: Utilisez le même certificat d’authentification de serveur que celui configuré sur le serveur de fédération auquel ce proxy de serveur de fédération ou ce Proxy d'application web se connectera. |
Pour plus d’informations sur les certificats utilisés par les serveurs de fédération et les proxys de serveur de fédération, consultez le Guide de conception AD FS 2.0 ou Windows Server 2012 Guide de conception AD FS.
Configuration requise pour le réseau
La configuration appropriée des services réseau suivants est essentielle au succès du déploiement d'AD FS dans votre organisation.
Connectivité réseau TCP/IP
Pour que AD FS fonctionne, il doit exister une connectivité réseau TCP/IP entre le client, les contrôleurs de domaine, les serveurs de fédération et les serveurs proxys de fédération.
DNS
Le service réseau principal qui est essentiel à l’opération d’AD FS, autre qu’Active Directory, est dns (Domain Name System). Quand DNS est déployé, les utilisateurs peuvent se connecter aux ordinateurs et autres ressources sur les réseaux IP à l'aide de noms d'ordinateur conviviaux faciles à retenir.
Le processus de mise à jour du système DNS pour prendre en charge AD FS consiste à configurer les éléments suivants :
serveurs DNS internes du réseau d’entreprise pour résoudre le nom DNS de cluster en adresse IP de cluster pour le cluster NLB que vous configurez sur l’hôte NLB du réseau d’entreprise. Par exemple, résolution de fs.fabrikam.com en 172.16.1.3.
Serveurs DNS du réseau de périmètre pour résoudre le nom DNS de cluster en adresse IP de cluster pour le cluster NLB que vous configurez sur l’hôte NLB du périmètre. Par exemple, la résolution de fs.fabrikam.com en 192.0.2.3.
Conditions requises en matière d’équilibrage de la charge réseau (NLB)
L’équilibrage de la charge réseau est requis pour assurer la tolérance de pannes, la haute disponibilité et l’équilibrage de la charge à travers plusieurs nœuds. Il peut être implémenté pour le matériel, les logiciels ou les deux. Vous devez configurer les enregistrements de ressources DNS en fonction du nom de votre service de fédération pour le cluster NLB de sorte que le nom de domaine complet (FQDN) du cluster (aussi appelé nom DNS du cluster dans cet article) soit résolu en adresse IP de cluster.
Pour plus d’informations sur l’adresse IP du cluster NLB ou le nom de domaine complet (FQDN) du cluster, voir Specifying the Cluster Parameters (Définition des paramètres de cluster).
Utilisation de la protection étendue pour l’authentification
Si vos ordinateurs disposent d’une protection étendue pour l’authentification et que vous utilisez Firefox, Chrome ou Safari, vous ne pourrez peut-être pas vous connecter au service cloud à l’aide de l’Authentification Windows intégré à partir du réseau d’entreprise. Dans ce cas, vos utilisateurs recevront régulièrement des invitations de connexion. Cela est dû à la configuration par défaut (sur les systèmes d’exploitation clients Windows 7 et corrigés) pour AD FS et la protection étendue pour l’authentification.
Tant que Firefox, Chrome et Safari prennent en charge la protection étendue pour l’authentification, l’option recommandée est destinée à tous les clients qui accèdent au service cloud pour installer et utiliser Windows Internet Explorer 8. Si vous souhaitez utiliser l’authentification unique pour le service cloud avec Firefox, Chrome ou Safari, il existe deux autres solutions à prendre en compte. Ces approches peuvent, toutefois, entraîner des problèmes de sécurité. Pour plus d’informations, consultez Conseil de sécurité Microsoft : Protection étendue pour l’authentification. Les solutions sont les suivantes :
Désinstallation pour les correctifs logiciels de la protection étendue de l’authentification sur votre ordinateur.
Modification du paramètre de protection étendue de l'authentification sur le serveur AD FS. Pour plus d’informations, consultez Configuration des options avancées pour AD FS 2.0.
Reconfiguration des paramètres d'authentification pour la page web AD FS sur chaque serveur de fédération, de l'authentification Windows intégrée à l'utilisation de l'authentification basée sur des formulaires.
Étape suivante
Maintenant que vous avez examiné les exigences de déploiement d’AD FS, l’étape suivante consiste à préparer votre infrastructure réseau pour les serveurs de fédération.