Créer un serveur de fédération autonome

  • Article

Après avoir installé le service de rôle Service de fédération et configuré les certificats requis sur un ordinateur, vous êtes prêt à configurer cet ordinateur en tant que serveur de fédération. Vous pouvez utiliser la procédure suivante pour configurer l’ordinateur afin qu’il devienne un serveur de fédération autonome. La création d’un serveur de fédération autonome consiste aussi à créer un nouveau service de fédération. Vous créez un serveur de fédération avec l'Assistant Configuration du serveur de fédération AD FS.

Remarque

Pour la conception SSO de web fédéré, vous devez installer au moins un serveur de fédération dans l’organisation partenaire de compte et au moins un serveur de fédération dans l’organisation partenaire de ressource. Pour plus d'informations, voir Où placer un serveur de fédération.

Pour effectuer cette procédure, vous devez au minimum être membre du groupe Administrateurs ou d'un groupe équivalent sur l'ordinateur local. Passez en revue les informations relatives à l’utilisation des comptes et des appartenances au groupe appropriés dans la rubrique Groupes locaux et de domaine par défaut (http://go.microsoft.com/fwlink/?LinkId=83477).

Créer un serveur de fédération autonome

  1. L'Assistant Configuration de serveur de fédération AD FS peut être démarré de deux manières différentes. Pour démarrer l'Assistant, effectuez l'une des opérations suivantes :

    • Une fois l'installation du service de rôle AD FS terminée, ouvrez le composant logiciel enfichable Gestion d'AD FS et cliquez sur le lien Assistant Configuration de serveur de fédération AD FS dans la page Vue d'ensemble ou le volet Actions.

    • À l'issue de l'Assistant de configuration, ouvrez à tout moment l'Explorateur Windows, accédez au dossierC:\Windows\ADFS, puis double-cliquez sur FsConfigWizard.exe.

  2. Dans la page Bienvenue, vérifiez que la case Créer un service de fédération est cochée, puis cliquez sur Suivant.

  3. Sur la page Sélectionner un déploiement autonome ou un déploiement de batterie, cliquez sur Nouveau serveur de fédération autonome, puis cliquez sur Suivant.

    Important

    Lorsque vous sélectionnez l’option Serveur de fédération autonome dans l’Assistant Configuration du serveur de fédération AD FS, le compte de service associé à ce service de fédération est automatiquement attribué au compte SERVICE RÉSEAU. L’utilisation de SERVICE RÉSEAU comme compte de service n’est recommandée que dans les situations où vous évaluez AD FS dans un environnement de laboratoire de test. Si vous envisagez d’utiliser l’option serveur de fédération autonome pour déployer un serveur de fédération dans un environnement de production, il est important que vous changiez ce compte de service en un compte de service plus approprié qui peut être dédié au traitement des requêtes pour ce nouveau service de fédération. Le fait de remplacer le compte de service par un compte autre que SERVICE RÉSEAU atténuera les vecteurs d’attaque possibles qui, sinon, rendraient votre serveur de fédération vulnérable aux attaques malveillantes.

  4. Dans la page Spécifier le nom du service de fédération, vérifiez que le Certificat SSL affiché est correct. Si ce n’est pas le cas, sélectionnez le certificat approprié dans la listeCertificat SSL.

    Ce certificat est généré sur la base des paramètres SSL (Secure Sockets Layer) définis pour le site web par défaut. Si un seul certificat SSL est configuré pour le site web par défaut, il est présenté et automatiquement sélectionné comme certificat à utiliser. Si plusieurs certificats SSL sont configurés pour le site web par défaut, tous les certificats disponibles vous sont présentés, et vous devez en sélectionner un. S'il n'y a pas de paramètres SSL configurés pour le site web par défaut, la liste est créée à partir des certificats qui sont disponibles dans le magasin de certificats personnel qui se trouve sur l'ordinateur local.

    Notes

    Si un certificat SSL est configuré pour les services SSL, l'Assistant ne vous autorisera pas à le remplacer. Cela garantit que toute configuration de services IIS antérieure pour les certificats SSL est conservée. Pour contourner cette restriction, vous pouvez supprimer le certificat ou le reconfigurer manuellement à l'aide de la console de gestion IIS.

  5. Si la base de données AD FS sélectionnée existe déjà, la page Base de données de configuration AD FS existante détectée apparaît. Le cas échéant, cliquez sur Supprimer la base de données, puis sur Suivant.

    Attention

    Sélectionnez cette option uniquement lorsque vous êtes sûr que les données de cette base de données AD FS ne sont pas importantes ni utilisées dans une batterie de serveurs de fédération de production.

  6. Passez en revue les détails dans la page Prêt à appliquer les paramètres. Si les paramètres semblent corrects, cliquez sur Suivant pour commencer à configurer AD FS avec ces paramètres.

  7. Dans la page Résultats de la configuration, passez en revue les résultats. Une fois toutes les étapes de configuration effectuées, cliquez sur Fermer pour quitter l'Assistant.

Références supplémentaires

Check-list : Configuration d’un serveur de fédération