Liste de vérification : Configuration d’un serveur de fédération

  • Article

Cette liste de vérification inclut les tâches de déploiement nécessaires pour préparer un serveur exécutant Windows Server® 2012 pour le rôle serveur de fédération dans Services ADFS.

Notes

Effectuez dans l’ordre les tâches répertoriées dans cette liste de vérification. Quand un lien de référence vous conduit à une procédure, revenez dans cet article, une fois les étapes de la procédure effectuées, afin de pouvoir accomplir les tâches restantes de la liste.

Icon for the Setting up a federation server check list.Liste de vérification : Configuration d’un serveur de fédération

Tâche Informations de référence
Avant de commencer à déployer vos serveurs de fédération AD FS, passez en revue : 1.) les avantages et les inconvénients du choix de Base de données interne Windows (WID) ou de SQL Server pour stocker la base de données de configuration AD FS et 2.) les types de topologie de déploiement AD FS et leurs suggestions de positionnement de serveur et de disposition réseau associées. Icon for the Determine Your AD FS Deployment Topology link you can use in reference to setting up a federation server.Déterminer votre topologie de déploiement AD FS

Icon for the AD FS Deployment Topology Considerations link you can use in reference to setting up a federation server.Considérations sur la topologie du déploiement d’AD FS
Passez en revue les conseils de planification de capacité AD FS pour déterminer le nombre approprié de serveurs de fédération que vous devez utiliser dans votre environnement de production. Icon for the Planning for Federation Server Capacity link you can use in reference to setting up a federation server.Planification de la capacité du serveur de fédération
Passez en revue les informations contenues dans le Guide de conception AD FS sur l’emplacement des serveurs de fédération dans votre organisation Icon for the Planning Federation Server Placement link you can use in reference to setting up a federation server.Planification de l’emplacement du serveur de fédération

Icon for the Where to Place a Federation Server link you can use in reference to setting up a federation server.Où placer un serveur de fédération
Déterminez si un serveur de fédération autonome ou si une batterie de serveurs de fédération est préférable pour votre déploiement. Icon for the When to Create a Federation Server link you can use in reference to setting up a federation server.Quand créer un serveur de fédération

Icon for the When to Create a Federation Server Farm link you can use in reference to setting up a federation server.Quand créer une batterie de serveurs de fédération
Déterminez si ce nouveau serveur de fédération sera créé dans l’organisation partenaire de compte ou dans l’organisation partenaire de ressource. Icon for the Review the Role of the Federation Server in the Account Partner link you can use in reference to setting up a federation server.Passer en revue le rôle du serveur de fédération du partenaire de compte

Icon for the Review the Role of the Federation Server in the Resource Partner link you can use in reference to setting up a federation server.Passer en revue le rôle du serveur de fédération du partenaire de ressource
Passez en revue les informations sur la façon dont les serveurs de fédération utilisent les certificats de communication du service et les certificats de signature de jetons pour authentifier en toute sécurité les demandes du client et du serveur proxy de fédération. Attention : l'utilisation de certificats avec des noms d'hôte non qualifiés, comme https://myserver, a longtemps été une pratique courante. Or ces certificats n'offrent aucune garantie de sécurité et peuvent permettre à une personne malveillante d'emprunter l'identité d'un service de fédération AD FS aux clients de l’entreprise. Par conséquent, il est recommandé d’utiliser un nom de domaine complet (FQDN) tel que https://myserver.contoso.com et d’utiliser uniquement les certificats SSL émis pour le FQDN de votre service de fédération. Icon for the Certificate Requirements for Federation Servers link you can use in reference to setting up a federation server.Certificats requis pour les serveurs de fédération
Passez en revue les informations sur la façon de mettre à jour le DNS du réseau d’entreprise afin de pouvoir résoudre correctement les noms des serveurs de fédération. Icon for the Name Resolution Requirements for Federation Servers link you can use in reference to setting up a federation server.Exigences relatives à la résolution de noms pour les serveurs de fédération
Joignez l’ordinateur qui deviendra le serveur de fédération à un domaine dans la forêt du partenaire de compte ou la forêt de partenaires de ressource où il sera utilisé pour authentifier les utilisateurs de cette forêt ou des forêts d’approbation. Note : Si vous souhaitez configurer un serveur de fédération dans l’organisation partenaire de compte, l’ordinateur doit d’abord être joint à n’importe quel domaine de la forêt où votre serveur de fédération sera utilisé pour authentifier les utilisateurs de cette forêt ou des forêts d’approbation. Icon for the Join a Computer to a Domain link you can use in reference to setting up a federation server.Joindre un ordinateur à un domaine
Créez un enregistrement de ressource dans le DNS du réseau d’entreprise qui pointe le nom d’hôte du DNS du serveur de fédération vers l’adresse IP du serveur de fédération. Icon for the Add a Host (A) Resource Record to Corporate DNS for a Federation Server link you can use in reference to setting up a federation server.Ajouter un enregistrement de ressource hôte (A) au DNS d’entreprise pour un serveur de fédération
(Facultatif) Si vous ajoutez un serveur de fédération à une batterie de serveurs de fédération, vous devrez peut-être d’abord exporter la clé privée du certificat de signature de jeton existant (sur le premier serveur de fédération de la batterie de serveurs) afin de disposer d’un format de fichier du certificat prêt lorsque d’autres serveurs de fédération doivent importer le même certificat.

L’exportation de la clé privée n’est pas nécessaire lorsque votre certificat d’authentification de serveur émis peut être réutilisé par plusieurs ordinateurs (sans avoir besoin d’exporter) ou lorsque vous obtenez des certificats d’authentification de serveur uniques pour chaque serveur de fédération dans la batterie. Note :Le composant logiciel enfichable Gestion AD FS fait référence aux certificats d'authentification serveur pour les serveurs de fédération en tant que certificats de communication du service.

 Icon for the Export the Private Key Portion of a Server Authentication Certificate link you can use in reference to setting up a federation server.Exporter la partie clé privée d’un certificat d’authentification de serveur
Après avoir obtenu un certificat d’authentification de serveur (ou clé privée) auprès d’une autorité de certification, vous devez ensuite importer le fichier du certificat sur le site web par défaut pour chaque serveur de fédération. Note : Vous devez installer ce certificat sur le site web par défaut avant de pouvoir utiliser l'Assistant Configuration du serveur de fédération AD FS. Icon for the Import a Server Authentication Certificate to the Default Web Site link you can use in reference to setting up a federation server.Importer un certificat d’authentification de serveur sur le site web par défaut
(Facultatif) En guise d’alternative à l’obtention d’un certificat d’authentification de serveur auprès d’une autorité de certification, vous pouvez utiliser Internet Information Services (IIS) pour créer un exemple de certificat pour votre serveur de fédération. Attention : Il n’est pas recommandé de déployer un serveur de fédération dans un environnement de production à l’aide d’un certificat d’authentification de serveur auto-signé. Icon for the IIS: Create a Self-Signed Server Certificate link you can use in reference to setting up a federation server.IIS : Créer un certificat de serveur auto-signé , puis effectuez la procédure Importer un certificat d’authentification de serveur sur le site web par défaut
Si vous souhaitez configurer un environnement de batterie de serveurs de fédération dans une organisation partenaire de compte, vous devez créer et configurer un compte de service dédié dans Active Directory Domain Services (AD DS) où réside la batterie de serveurs et configurer chaque serveur de fédération de la batterie de serveurs pour utiliser ce compte. En effectuant cette procédure, vous allez autoriser les clients sur le réseau d’entreprise à s’authentifier auprès de l’un des serveurs de fédération de la batterie à l’aide de l’authentification Windows intégrée. Icon for the Manually Configure a Service Account for a Federation Server Farm link you can use in reference to setting up a federation server.Configurer manuellement un compte de service pour une batterie de serveurs de fédération
Installez le service de rôle de service de fédération sur l’ordinateur qui deviendra le serveur de fédération. Icon for the Install the Federation Service Role Service link you can use in reference to setting up a federation server.Installer le service de rôle de service de fédération
Configurez le logiciel AD FS sur l'ordinateur auquel revient le rôle de serveur de fédération à l'aide de l'Assistant Configuration du serveur de fédération AD FS.

Suivez cette procédure pour configurer un serveur de fédération autonome, créer le premier serveur de fédération dans une nouvelle batterie de serveurs ou joindre un ordinateur à une batterie de serveurs de fédération existante. Note : Pour la conception SSO de web fédéré, vous devez installer au moins un serveur de fédération dans l’organisation partenaire de compte et au moins un serveur de fédération dans l’organisation partenaire de ressource.

 Icon for the Create a Stand-Alone Federation Server link you can use in reference to setting up a federation server. Créer un serveur de fédération autonome

Icon for the Create the First Federation Server in a Federation Server Farm link you can use in reference to setting up a federation server.Créer le premier serveur de fédération dans une batterie de serveurs de fédération

Icon for the Add a Federation Server to a Federation Server Farm link you can use in reference to setting up a federation server.Ajouter un serveur de fédération dans une batterie de serveurs de fédération
(Facultatif) Utilisez le composant logiciel enfichable Gestion AD FS pour ajouter et configurer les certificats AD FS nécessaires pour déployer votre conception. Pour plus d’informations sur l’ajout ou la modification de certificats à l’aide du composant logiciel enfichable, consultez Certificats requis pour les serveurs de fédération. Icon for the Add a Token-Signing Certificate link you can use in reference to setting up a federation server.Ajouter un certificat de signature de jetons

Icon for the Add a Token-Decrypting Certificate link you can use in reference to setting up a federation server.Ajouter un certificat de déchiffrement de jetons

Icon for the Set a Service Communications Certificate link you can use in reference to setting up a federation server.Définir un certificat de communication du service
S’il s’agit du premier serveur de fédération de votre organisation, configurez le service de fédération pour qu’il soit conforme à votre conception AD FS. Icon for the Checklist: Configuring the Account Partner Organization link you can use in reference to setting up a federation server.Liste de vérification : Configuration de l’organisation partenaire de compte

Icon for the Checklist: Configuring the Resource Partner Organization link you can use in reference to setting up a federation server.Liste de vérification : Configuration de l’organisation partenaire de ressource
À partir d’un ordinateur client, vérifiez que le serveur de fédération est opérationnel. setting up a federated serverVérifier qu’un serveur de fédération est opérationnel