Déploiement d’Active Directory Federation Services dans AzureDeploying Active Directory Federation Services in Azure

AD FS simplifie et sécurise la fédération des identités et l’authentification unique (SSO) sur le web.AD FS provides simplified, secured identity federation and Web single sign-on (SSO) capabilities. La fédération avec AD Azure ou O365 permet aux utilisateurs de s’authentifier à l’aide de leurs informations d’identification locales et d’accéder à toutes les ressources du cloud.Federation with Azure AD or O365 enables users to authenticate using on-premises credentials and access all resources in cloud. Par conséquent, il est important de disposer d’une infrastructure AD FS hautement disponible pour garantir l’accès aux ressources locales et dans le cloud.As a result, it becomes important to have a highly available AD FS infrastructure to ensure access to resources both on-premises and in the cloud. Le déploiement d’AD FS dans Azure peut contribuer à bénéficier d’une haute disponibilité avec un minimum d’efforts.Deploying AD FS in Azure can help achieve the high availability required with minimal efforts. Le déploiement d’AD FS dans Azure présente toute une série d’avantages, notamment :There are several advantages of deploying AD FS in Azure, a few of them are listed below:

  • Haute disponibilité : la puissance des groupes à haute disponibilité Azure vous garantit une infrastructure hautement disponible.High Availability - With the power of Azure Availability Sets, you ensure a highly available infrastructure.
  • Simplicité de mise à l’échelle : besoin de meilleures performances ?Easy to Scale – Need more performance? Migrez facilement vers des ordinateurs plus puissants en seulement quelques clics dans AzureEasily migrate to more powerful machines by just a few clicks in Azure
  • Géo-redondance inter-région : la redondance géographique Azure garantit une haute disponibilité de votre infrastructure dans le monde entierCross-Geo Redundancy – With Azure Geo Redundancy you can be assured that your infrastructure is highly available across the globe
  • Facilité de gestion : le portail Azure propose des options de gestion extrêmement simplifiées, conçues pour faciliter et automatiser la gestion de votre infrastructureEasy to Manage – With highly simplified management options in Azure portal, managing your infrastructure is very easy and hassle-free

Principes de conceptionDesign principles

Conception du déploiement

Le schéma ci-dessus présente la topologie de base recommandée pour amorcer le déploiement de votre infrastructure AD FS dans Azure.The diagram above shows the recommended basic topology to start deploying your AD FS infrastructure in Azure. Vous trouverez ci-dessous les principes qui sous-tendent les différents composants de cette topologie :The principles behind the various components of the topology are listed below:

  • Contrôleur de domaine / serveurs ADFS: si votre environnement compte moins de 1 000 utilisateurs, vous pouvez installer simplement le rôle AD FS sur vos contrôleurs de domaine.DC / ADFS Servers: If you have fewer than 1,000 users you can simply install AD FS role on your domain controllers. Si vous ne souhaitez aucun impact sur les performances de vos contrôleurs de domaine ou si vous gérez plus de 1 000 utilisateurs, vous pouvez déployer AD FS sur des serveurs distincts.If you do not want any performance impact on the domain controllers or if you have more than 1,000 users, then deploy AD FS on separate servers.
  • Serveur WAP : il est nécessaire de déployer des serveurs Web Application Proxy afin que les utilisateurs puissent également accéder à AD FS lorsqu’ils se trouvent en dehors du réseau d’entreprise.WAP Server – it is necessary to deploy Web Application Proxy servers, so that users can reach the AD FS when they are not on the company network also.
  • DMZ: les serveurs Web Application Proxy seront placés dans la zone DMZ et SEUL un accès TCP/443 sera autorisé entre la zone DMZ et le sous-réseau interne.DMZ: The Web Application Proxy servers will be placed in the DMZ and ONLY TCP/443 access is allowed between the DMZ and the internal subnet.
  • Équilibreurs de charge: pour garantir une haute disponibilité du serveur AD FS et des serveurs Web Application Proxy, nous vous recommandons d’utiliser un équilibreur de charge interne pour les serveurs AD FS et de préférer l’utilisation d’Azure Load Balancer pour les serveurs Web Application Proxy.Load Balancers: To ensure high availability of AD FS and Web Application Proxy servers, we recommend using an internal load balancer for AD FS servers and Azure Load Balancer for Web Application Proxy servers.
  • Groupes à haute disponibilité: pour apporter une redondance à votre déploiement AD FS, nous vous recommandons de regrouper plusieurs machines virtuelles dans un groupe à haute disponibilité pour des charges de travail similaires.Availability Sets: To provide redundancy to your AD FS deployment, it is recommended that you group two or more virtual machines in an Availability Set for similar workloads. Dans une telle configuration, vous avez la garantie qu’au moins une des machines virtuelles sera disponible pendant un événement de maintenance planifié ou non planifié.This configuration ensures that during either a planned or unplanned maintenance event, at least one virtual machine will be available
  • Comptes de stockage: il est recommandé de disposer de deux comptes de stockage.Storage Accounts: It is recommended to have two storage accounts. L’utilisation d’un seul compte de stockage peut entraîner la création d’un point de défaillance unique et provoquer une indisponibilité du déploiement dans l’éventualité (peu probable) où le compte de stockage serait inutilisable.Having a single storage account can lead to creation of a single point of failure and can cause the deployment to become unavailable in an unlikely scenario where the storage account goes down. Le choix de deux comptes de stockage permet d’associer un compte de stockage pour chaque ligne d’erreur.Two storage accounts will help associate one storage account for each fault line.
  • Séparation des réseaux : les serveurs Web Application Proxy doivent être déployés sur un réseau DMZ distinct.Network segregation: Web Application Proxy servers should be deployed in a separate DMZ network. Vous pouvez diviser un réseau virtuel en deux sous-réseaux, puis déployer le ou les serveurs Web Application Proxy dans un sous-réseau isolé.You can divide one virtual network into two subnets and then deploy the Web Application Proxy server(s) in an isolated subnet. Vous pouvez simplement configurer les paramètres du groupe de sécurité réseau pour chaque sous-réseau et autoriser uniquement les communications requises entre les deux sous-réseaux.You can simply configure the network security group settings for each subnet and allow only required communication between the two subnets. Voir les détails ci-dessous en fonction du scénario de déploiementMore details are given per deployment scenario below

Procédure de déploiement d’AD FS dans AzureSteps to deploy AD FS in Azure

Les étapes indiquées dans cette section expliquent comment déployer dans Azure l’infrastructure AD FS représentée ci-dessous.The steps mentioned in this section outline the guide to deploy the below depicted AD FS infrastructure in Azure.

1. déploiement du réseau1. Deploying the network

Comme indiqué ci-dessus, vous pouvez soit créer deux sous-réseaux dans un même réseau virtuel, soit créer deux réseaux virtuels totalement différents.As outlined above, you can either create two subnets in a single virtual network or else create two completely different virtual networks (VNet). Cet article se concentre sur le déploiement d’un seul réseau virtuel subdivisé en deux sous-réseaux.This article will focus on deploying a single virtual network and divide it into two subnets. Cette approche est actuellement plus abordable dans la mesure où l’utilisation de deux réseaux virtuels distincts nécessiterait une passerelle de réseau virtuel à réseau virtuel pour l’établissement des communications.This is currently an easier approach as two separate VNets would require a VNet to VNet gateway for communications.

1.1 Création d’un réseau virtuel1.1 Create virtual network

Création d’un réseau virtuel

Dans le portail Azure, sélectionnez le réseau virtuel de votre choix. D’un simple clic, vous pouvez dès lors déployer immédiatement le réseau virtuel et un sous-réseau.In the Azure portal, select virtual network and you can deploy the virtual network and one subnet immediately with just one click. Un sous-réseau INT est également défini et prêt à recevoir des machines virtuelles.INT subnet is also defined and is ready now for VMs to be added. L’étape suivante consiste à ajouter un autre sous-réseau au réseau, c’est-à-dire le sous-réseau DMZ.The next step is to add another subnet to the network, i.e. the DMZ subnet. Pour créer le sous-réseau DMZ, procédez simplement comme suit :To create the DMZ subnet, simply

  • Sélectionnez le réseau que vous venez de créerSelect the newly created network
  • Dans les propriétés, sélectionnez le sous-réseauIn the properties select subnet
  • Dans le panneau Sous-réseau, cliquez sur le bouton AjouterIn the subnet panel click on the add button
  • Indiquez le nom du sous-réseau et les informations relatives à l’espace d’adresse pour créer le sous-réseauProvide the subnet name and address space information to create the subnet

Subnet

DMZ de sous-réseau

1.2. Création des groupes de sécurité réseau1.2. Creating the network security groups

Un groupe de sécurité réseau (NSG) contient une liste des règles de liste de contrôle d’accès (ACL) qui autorise ou rejette les instances de machine virtuelle dans un réseau virtuel.A Network security group (NSG) contains a list of Access Control List (ACL) rules that allow or deny network traffic to your VM instances in a Virtual Network. Vous pouvez associer des groupes de sécurité réseau à des sous-réseaux ou à des instances de machine virtuelle individuelles au sein de ce sous-réseau.NSGs can be associated with either subnets or individual VM instances within that subnet. Quand un groupe de sécurité réseau est associé à un sous-réseau, les règles ACL s’appliquent à toutes les instances de machine virtuelle de ce sous-réseau.When an NSG is associated with a subnet, the ACL rules apply to all the VM instances in that subnet. Dans cet article, nous allons créer deux groupes de sécurité réseau : un pour un réseau interne, l’autre pour la zone DMZ.For the purpose of this guidance, we will create two NSGs: one each for an internal network and a DMZ. Ces groupes seront respectivement nommés NSG_INT et NSG_DMZ.They will be labeled NSG_INT and NSG_DMZ respectively.

Création d’un groupe de sécurité réseau

Une fois le groupe de sécurité réseau créé, il n’y a aucune règle de trafic entrant ni aucune règle de trafic sortant.After the NSG is created, there will be 0 inbound and 0 outbound rules. Une fois que les rôles sont installés et opérationnels sur les serveurs concernés, les règles de trafics entrant et sortant peuvent être modulées selon le niveau de sécurité souhaité.Once the roles on the respective servers are installed and functional, then the inbound and outbound rules can be made according to the desired level of security.

Initialisation d’un groupe de sécurité réseau

Une fois les groupes de sécurité réseau créés, associez NSG_INT au sous-réseau INT et NSG_DMZ à la zone DMZ du sous-réseau.After the NSGs are created, associate NSG_INT with subnet INT and NSG_DMZ with subnet DMZ. Exemple de capture d’écran :An example screenshot is given below:

Configuration d’un groupe de sécurité réseau

  • Cliquez sur Sous-réseaux pour ouvrir le panneau correspondantClick on Subnets to open the panel for subnets
  • Sélectionnez le sous-réseau à associer au groupe de sécurité réseauSelect the subnet to associate with the NSG

Après la configuration, le panneau Sous-réseaux doit se présenter comme suit :After configuration, the panel for Subnets should look like below:

Sous-réseaux après un groupe de sécurité réseau

1.3. Création d’une connexion en local1.3. Create Connection to on-premises

Nous avons besoin d’une connexion en local afin de déployer le contrôleur de domaine (DC) dans Azure.We will need a connection to on-premises in order to deploy the domain controller (DC) in azure. Azure propose différentes options de connectivité permettant de connecter votre infrastructure locale à votre infrastructure Azure.Azure offers various connectivity options to connect your on-premises infrastructure to your Azure infrastructure.

  • Point à sitePoint-to-site
  • Réseau virtuel de site à siteVirtual Network Site-to-site
  • ExpressRouteExpressRoute

Nous vous recommandons d’utiliser ExpressRoute.It is recommended to use ExpressRoute. ExpressRoute vous permet de créer des connexions privées entre les centres de gestion et l’infrastructure Azure qui se trouvent dans votre environnement local ou dans un environnement de colocalisation.ExpressRoute lets you create private connections between Azure datacenters and infrastructure that's on your premises or in a co-location environment. Les connexions ExpressRoute ne sont pas établies par le biais de l'Internet public.ExpressRoute connections do not go over the public Internet. Elles offrent davantage de fiabilité, des vitesses supérieures, des latences inférieures et une sécurité renforcée par rapport aux connexions classiques sur Internet.They offer more reliability, faster speeds, lower latencies and higher security than typical connections over the Internet. Bien qu’il soit recommandé d’utiliser ExpressRoute, vous pouvez choisir n’importe quelle méthode de connexion qui vous semble la plus adaptée à votre organisation.While it is recommended to use ExpressRoute, you may choose any connection method best suited for your organization. Pour en savoir plus sur ExpressRoute et sur les différentes options de connectivité basées sur ExpressRoute, consultez l’article Présentation technique d’ExpressRoute.To learn more about ExpressRoute and the various connectivity options using ExpressRoute, read ExpressRoute technical overview.

2. créer des comptes de stockage2. Create storage accounts

Pour maintenir une haute disponibilité et éviter toute dépendance à un seul compte de stockage, vous pouvez créer deux comptes de stockage.In order to maintain high availability and avoid dependence on a single storage account, you can create two storage accounts. Répartissez en deux groupes les machines virtuelles de chaque groupe à haute disponibilité, puis affectez chaque groupe à un compte de stockage distinct.Divide the machines in each availability set into two groups and then assign each group a separate storage account.

Créer des comptes de stockage

3. créer des groupes à haute disponibilité3. Create availability sets

Pour chaque rôle (contrôleur de domaine/AD FS et WAP), créez des groupes à haute disponibilité qui contiendront au minimum deux machines virtuelles,For each role (DC/AD FS and WAP), create availability sets that will contain 2 machines each at the minimum. ce afin de garantir une meilleure disponibilité pour chaque rôle.This will help achieve higher availability for each role. Lorsque vous créez des groupes à haute disponibilité, vous devez impérativement étudier les aspects suivants :While creating the availability sets, it is essential to decide on the following:

  • Domaines d’erreur: les machines virtuelles du même domaine d’erreur partagent la même source d’alimentation et le même commutateur réseau physique.Fault Domains: Virtual machines in the same fault domain share the same power source and physical network switch. Il est recommandé d’utiliser au moins 2 domaines d’erreur.A minimum of 2 fault domains are recommended. Vous pouvez utiliser la valeur par défaut (3) pour les besoins de ce déploiementThe default value is 3 and you can leave it as is for the purpose of this deployment
  • Domaines de mise à jour: les machines attachées au même domaine de mise à jour seront redémarrées simultanément pendant une mise à jour.Update domains: Machines belonging to the same update domain are restarted together during an update. Vous devez disposer d’au moins 2 domaines de mise à jour.You want to have minimum of 2 update domains. Vous pouvez utiliser la valeur par défaut (5) pour les besoins de ce déploiementThe default value is 5 and you can leave it as is for the purpose of this deployment

Groupes à haute disponibilité

Créez les groupes à haute disponibilité suivants :Create the following availability sets

Groupe à haute disponibilitéAvailability Set RôleRole Domaines d’erreurFault domains Domaines de mise à jourUpdate domains
contosodcsetcontosodcset Contrôleur de domaine/AD FSDC/ADFS 33 55
contosowapsetcontosowapset WAPWAP 33 55

4. déployer des machines virtuelles4. Deploy virtual machines

L’étape suivante consiste à déployer les machines virtuelles qui hébergeront les différents rôles de votre infrastructure.The next step is to deploy virtual machines that will host the different roles in your infrastructure. Nous vous recommandons d’affecter au moins deux machines virtuelles à chaque groupe à haute disponibilité.A minimum of two machines are recommended in each availability set. Créez quatre machines virtuelles dans le cadre du déploiement de base.Create four virtual machines for the basic deployment.

MachineMachine RôleRole SubnetSubnet Groupe à haute disponibilitéAvailability set Compte de stockageStorage account Adresse IPIP Address
contosodc1contosodc1 Contrôleur de domaine/AD FSDC/ADFS INTINT contosodcsetcontosodcset contososac1contososac1 statiqueStatic
contosodc2contosodc2 Contrôleur de domaine/AD FSDC/ADFS INTINT contosodcsetcontosodcset contososac2contososac2 statiqueStatic
contosowap1contosowap1 WAPWAP DMZDMZ contosowapsetcontosowapset contososac1contososac1 statiqueStatic
contosowap2contosowap2 WAPWAP DMZDMZ contosowapsetcontosowapset contososac2contososac2 statiqueStatic

Comme vous l’avez peut-être remarqué, aucun groupe de sécurité réseau n’a été spécifié,As you might have noticed, no NSG has been specified. car Azure vous autorise à utiliser un groupe de sécurité réseau au niveau du sous-réseau.This is because azure lets you use NSG at the subnet level. Vous pouvez dès lors contrôler le trafic réseau de la machine à l’aide du groupe de sécurité réseau précisément associé au sous-réseau ou à l’objet de carte réseau.Then, you can control machine network traffic by using the individual NSG associated with either the subnet or else the NIC object. Pour en savoir plus, consultez l’article Présentation du groupe de sécurité réseau.Read more on What is a Network Security Group (NSG). Nous vous recommandons d’utiliser une adresse IP statique si vous gérez le serveur DNS.Static IP address is recommended if you are managing the DNS. Vous pouvez aussi utiliser Azure DNS et, au lieu des enregistrements DNS de votre domaine, référencer les nouvelles machines virtuelles par leurs noms de domaine complets Azure.You can use Azure DNS and instead in the DNS records for your domain, refer to the new machines by their Azure FQDNs. Une fois le déploiement terminé, le volet de votre machine virtuelle devrait ressembler à ce qui suit :Your virtual machine pane should look like below after the deployment is completed:

Machines virtuelles déployées

5. Configuration du contrôleur de domaine/des serveurs de AD FS5. Configuring the domain controller / AD FS servers

Afin d’authentifier les demandes entrantes, AD FS doit pouvoir contacter le contrôleur de domaine.In order to authenticate any incoming request, AD FS will need to contact the domain controller. Pour éviter un transfert coûteux entre Azure et le contrôleur de domaine local dans le cadre de l’authentification, il est recommandé de déployer un réplica du contrôleur de domaine dans Azure.To save the costly trip from Azure to on-premises DC for authentication, it is recommended to deploy a replica of the domain controller in Azure. Pour bénéficier d’une haute disponibilité, il est recommandé de créer un groupe à haute disponibilité comprenant au moins 2 contrôleurs de domaine.In order to attain high availability, it is recommended to create an availability set of at-least 2 domain controllers.

Contrôleur de domaineDomain controller RôleRole Compte de stockageStorage account
contosodc1contosodc1 RéplicaReplica contososac1contososac1
contosodc2contosodc2 RéplicaReplica contososac2contososac2
  • Déployez les deux serveurs en tant que réplicas de contrôleurs de domaine avec DNSPromote the two servers as replica domain controllers with DNS
  • Configurez les serveurs AD FS en installant le rôle AD FS à l’aide du gestionnaire de serveurs.Configure the AD FS servers by installing the AD FS role using the server manager.

6. déploiement d’Load Balancer internes (ILB)6. Deploying Internal Load Balancer (ILB)

6.1. Création de l’équilibreur de charge interne6.1. Create the ILB

Pour déployer un équilibreur de charge interne, sélectionnez Équilibreurs de charge dans le portail Azure, puis cliquez sur Ajouter (+).To deploy an ILB, select Load Balancers in the Azure portal and click on add (+).

Notes

Si vous ne voyez pas l’option de menu Équilibreurs de charge, cliquez sur Parcourir en bas à gauche du portail, puis faites défiler jusqu’à Équilibreurs de charge.if you do not see Load Balancers in your menu, click Browse in the lower left of the portal and scroll until you see Load Balancers. Cliquez ensuite sur l’étoile jaune pour ajouter l’option à votre menu.Then click the yellow star to add it to your menu. Sélectionnez maintenant la nouvelle icône d’équilibreur de charge pour ouvrir le panneau qui vous permettra de configurer l’équilibreur de charge.Now select the new load balancer icon to open the panel to begin configuration of the load balancer.

Rechercher un équilibreur de charge

  • Nom: attribuez un nom approprié à l’équilibreur de chargeName: Give any suitable name to the load balancer
  • Schéma: dans la mesure où cet équilibreur de charge sera placé devant les serveurs AD FS et est destiné uniquement aux connexions réseau internes, sélectionnez « interne ».Scheme: Since this load balancer will be placed in front of the AD FS servers and is meant for internal network connections ONLY, select "Internal"
  • Réseau virtuel: choisissez le réseau virtuel dans lequel vous allez déployer vos services AD FSVirtual Network: Choose the virtual network where you are deploying your AD FS
  • Sous-réseau: sélectionnez ici votre sous-réseau interneSubnet: Choose the internal subnet here
  • Attribution d’adresse IP: statiqueIP Address assignment: Static

Équilibreur de charge interne

Cliquez sur Créer pour déployer l’équilibreur de charge interne ; celui-ci doit normalement apparaître dans la liste des équilibreurs de charge :After you click create and the ILB is deployed, you should see it in the list of load balancers:

Équilibreurs de charge après équilibreur de charge interne

L’étape suivante consiste à configurer le pool principal et la sonde principale.Next step is to configure the backend pool and the backend probe.

6.2. Configuration du pool principal de l’équilibreur de charge interne6.2. Configure ILB backend pool

Dans le panneau Équilibreurs de charge, sélectionnez l’équilibreur de charge interne que vous venez de créer.Select the newly created ILB in the Load Balancers panel. Vous accédez au panneau Paramètres.It will open the settings panel.

  1. Sélectionnez les pools principaux à partir du panneau ParamètresSelect backend pools from the settings panel
  2. Dans le panneau Ajouter un pool principal, cliquez sur Ajouter une machine virtuelleIn the add backend pool panel, click on add virtual machine
  3. Dans le panneau qui s’affiche, vous pouvez choisir votre groupe à haute disponibilitéYou will be presented with a panel where you can choose availability set
  4. Choisissez le groupe à haute disponibilité AD FSChoose the AD FS availability set

Configuration du pool principal de l’équilibreur de charge interne

6.3. Configuration de la sonde6.3. Configuring probe

Dans le panneau Équilibreurs de charge internes, sélectionnez Sondes d’intégrité.In the ILB settings panel, select Health probes.

  1. Cliquez sur AjouterClick on add
  2. Indiquez les détails de la sonde a.Provide details for probe a. Nom : nom de la sonde b.Name: Probe name b. Protocole : HTTP c.Protocol: HTTP c. Port : 80 (HTTP) d.Port: 80 (HTTP) d. Chemin d’accès : /adfs/probe e.Path: /adfs/probe e. Intervalle : 5 (valeur par défaut) : il s’agit de l’intervalle auquel l’équilibreur de charge interne interrogera les machines virtuelles du pool principal f.Interval: 5 (default value) – this is the interval at which ILB will probe the machines in the backend pool f. Seuil de défaillance d’intégrité : 2 (valeur par défaut) : il s’agit du seuil limite de défaillances consécutives de la sonde au-delà duquel l’équilibreur de charge interne considérera une machine du pool principal comme non réactive et cessera de lui envoyer du trafic.Unhealthy threshold limit: 2 (default value) – this is the threshold of consecutive probe failures after which ILB will declare a machine in the backend pool non-responsive and stop sending traffic to it.

Nous utilisons le point de terminaison /adfs/probe qui a été créé explicitement pour les contrôles d’intégrité dans un environnement AD FS où il est impossible de vérifier l’intégralité du chemin d’accès HTTPS.We are using the /adfs/probe endpoint that was created explictly for health checks in an AD FS environment where a full HTTPS path check cannot happen. Cette méthode est de meilleure qualité qu’une vérification de base du port 443, qui ne reflète pas exactement l’état d’un déploiement AD FS moderne.This is substantially better than a basic port 443 check, which does not accurately reflect the status of a modern AD FS deployment. Des informations supplémentaires sur ce point sont disponibles ici : https://blogs.technet.microsoft.com/applicationproxyblog/2014/10/17/hardware-load-balancer-health-checks-and-web-application-proxy-ad-fs-2012-r2/.More information on this can be found at https://blogs.technet.microsoft.com/applicationproxyblog/2014/10/17/hardware-load-balancer-health-checks-and-web-application-proxy-ad-fs-2012-r2/.

6.4. Création des règles d’équilibrage de charge6.4. Create load balancing rules

Pour équilibrer au mieux le trafic, l’équilibreur de charge interne doit être configuré avec des règles d’équilibrage de charge.In order to effectively balance the traffic, the ILB should be configured with load balancing rules. Pour créer une règle d’équilibrage de charge, procédez comme suit :In order to create a load balancing rule,

  1. Dans le panneau Paramètres de l’équilibreur de charge interne, sélectionnez Règle d’équilibrage de chargeSelect Load balancing rule from the settings panel of the ILB
  2. Cliquez sur Ajouter dans le panneau Règle d’équilibrage de chargeClick on Add in the Load balancing rule panel
  3. Dans le panneau Ajouter une règle d’équilibrage de charge, renseignez les champs suivants : a.In the Add load balancing rule panel a. Nom : indiquez le nom de la règle b.Name: Provide a name for the rule b. Protocole : sélectionnez TCP c.Protocol: Select TCP c. Port : 443 d.Port: 443 d. Port principal : 443 e.Backend port: 443 e. Pool principal : sélectionnez le pool que vous avez précédemment créé pour le cluster AD FS f.Backend pool: Select the pool you created for the AD FS cluster earlier f. Sonde: sélectionnez la sonde que vous avez précédemment créée pour les serveurs AD FSProbe: Select the probe created for AD FS servers earlier

Configuration des règles d’équilibrage de l’équilibreur de charge interne

6.5. Mise à jour du serveur DNS avec l’équilibreur de charge interne6.5. Update DNS with ILB

À l’aide de votre serveur DNS interne, créez un enregistrement A pour le ILB.Using your internal DNS server, create an A record for the ILB. L’enregistrement A doit être destiné au service de Fédération avec l’adresse IP pointant vers l’adresse IP du ILB.The A record should be for the federation service with the IP address pointing to the IP address of the ILB. Par exemple, si l’adresse IP ILB est 10.3.0.8 et que le service de Fédération installé est fs.contoso.com, créez un enregistrement A pour fs.contoso.com pointant vers 10.3.0.8.For example, if the ILB IP address is 10.3.0.8 and the federation service installed is fs.contoso.com, then create an A record for fs.contoso.com pointing to 10.3.0.8. Cela permet de s’assurer que toutes les données Trasmitted à fs.contoso.com finissent au niveau du ILB et qu’elles sont correctement routées.This will ensure that all data trasmitted to fs.contoso.com end up at the ILB and are appropriately routed.

Avertissement

Si vous utilisez le schéma WID (base de données interne Windows) pour votre base de données AD FS, cette valeur doit être temporairement définie pour pointer vers votre serveur de AD FS principal ou le proxy d’application Web échouera à l’inscription.If you are using the WID (Windows Internal Database) for your AD FS database, this value should instead be temporarily set to point to your primary AD FS server or the Web Application Proxy will fail enrollement. Une fois que vous avez inscrit tous les serveurs proxy appplication Web, modifiez cette entrée DNS pour pointer vers l’équilibreur de charge.After you have successfully enrolled all Web Appplication Proxy servers, change this DNS entry to point to the load balancer.

Notes

Si votre déploiement utilise également IPv6, veillez à créer un enregistrement AAAA correspondant.If your deployment is also using IPv6, be sure to create a corresponding AAAA record.

7. Configuration du serveur proxy d’application Web7. Configuring the Web Application Proxy server

7.1. Configuration des serveurs Web Application Proxy pour atteindre les serveurs AD FS7.1. Configuring the Web Application Proxy servers to reach AD FS servers

Pour faire en sorte que les serveurs Web Application Proxy soient en mesure d’atteindre les serveurs AD FS situés derrière l’équilibreur de charge interne, créez un enregistrement dans le répertoire %systemroot%\system32\drivers\etc\hosts de l’équilibreur de charge interne.In order to ensure that Web Application Proxy servers are able to reach the AD FS servers behind the ILB, create a record in the %systemroot%\system32\drivers\etc\hosts for the ILB. Notez que le nom unique (DN) doit être le nom du service de fédération (par exemple fs.contoso.com).Note that the distinguished name (DN) should be the federation service name, for example fs.contoso.com. Et l’entrée IP doit être celle de l’adresse IP de ILB (10.3.0.8 comme dans l’exemple).And the IP entry should be that of the ILB's IP address (10.3.0.8 as in the example).

Avertissement

Si vous utilisez le WID (base de données interne Windows) pour votre base de données AD FS, cette valeur doit plutôt être temporairement définie pour pointer vers votre serveur de AD FS principal, ou le proxy d’application Web échouera à l’inscription.If you are using the WID (Windows Internal Database) for your AD FS database, this value should instead be temporarily set to point to your primary AD FS server, or the Web Application Proxy will fail enrollement. Une fois que vous avez inscrit tous les serveurs proxy appplication Web, modifiez cette entrée DNS pour pointer vers l’équilibreur de charge.After you have successfully enrolled all Web Appplication Proxy servers, change this DNS entry to point to the load balancer.

7.2. Installation du rôle Web Application Proxy7.2. Installing the Web Application Proxy role

Après avoir vérifié que les serveurs Web Application Proxy sont bien en mesure d’atteindre les serveurs AD FS situés derrière l’équilibreur de charge interne, vous pouvez installer les serveurs Web Application Proxy.After you ensure that Web Application Proxy servers are able to reach the AD FS servers behind ILB, you can next install the Web Application Proxy servers. Les serveurs Web Application Proxy n’ont pas besoin d’être joints au domaine.Web Application Proxy servers need not be joined to the domain. Installez les rôles Web Application Proxy sur les deux serveurs Web Application Proxy en sélectionnant le rôle Accès à distance.Install the Web Application Proxy roles on the two Web Application Proxy servers by selecting the Remote Access role. Le gestionnaire de serveurs vous guide dans l’installation du serveur WAP.The server manager will guide you to complete the WAP installation. Pour plus d’informations sur le déploiement de WAP, consultez la page Installer et configurer le serveur proxy d’application web.For more information on how to deploy WAP, read Install and Configure the Web Application Proxy Server.

8. déploiement du Load Balancer accessible sur Internet (public)8. Deploying the Internet Facing (Public) Load Balancer

8,1. créer un Load Balancer accessible sur Internet (public)8.1. Create Internet Facing (Public) Load Balancer

Dans le portail Azure, sélectionnez Équilibreurs de charge, puis cliquez sur Ajouter.In the Azure portal, select Load balancers and then click on Add. Dans le panneau Créer un équilibreur de charge, entrez les informations suivantes :In the Create load balancer panel, enter the following information

  1. Nom: nom de l’équilibreur de chargeName: Name for the load balancer
  2. Schéma: Public ; cette option indique à Azure que cet équilibreur de charge aura besoin d’une adresse publique.Scheme: Public – this option tells Azure that this load balancer will need a public address.
  3. Adresse IP: créez une nouvelle adresse IP (dynamique)IP Address: Create a new IP address (dynamic)

Équilibreur de charge accessible sur Internet

Après le déploiement, l’équilibreur de charge s’affiche dans la liste des équilibreurs de charge.After deployment, the load balancer will appear in the Load balancers list.

Liste des équilibreurs de charge

8.2. Attribution d’un nom DNS à l’adresse IP publique8.2. Assign a DNS label to the public IP

Dans le panneau Équilibreurs de charge, cliquez sur la nouvelle entrée d’équilibreur de charge pour afficher le panneau de configuration.Click on the newly created load balancer entry in the Load balancers panel to bring up the panel for configuration. Suivez les étapes ci-dessous pour configurer le nom DNS pour l’adresse IP publique :Follow below steps to configure the DNS label for the public IP:

  1. Cliquez sur l’adresse IP publique.Click on the public IP address. Vous accédez au panneau correspondant à l’adresse IP publique et à ses paramètresThis will open the panel for the public IP and its settings
  2. Cliquez sur ConfigurationClick on Configuration
  3. Indiquez un nom DNS.Provide a DNS label. Ce nom deviendra ensuite le nom DNS public auquel vous pouvez accéder depuis n’importe quel emplacement, par exemple contosofs.westus.cloudapp.azure.com.This will become the public DNS label that you can access from anywhere, for example contosofs.westus.cloudapp.azure.com. Vous pouvez ajouter une entrée dans le DNS externe pour le service de fédération (par exemple, fs.contoso.com) qui résout le nom DNS de l’équilibreur de charge externe (contosofs.westus.cloudapp.azure.com).You can add an entry in the external DNS for the federation service (like fs.contoso.com) that resolves to the DNS label of the external load balancer (contosofs.westus.cloudapp.azure.com).

Configuration de l’équilibreur de charge accessible sur Internet

Configuration de l’équilibreur de charge accessible sur Internet (DNS)

8.3. Configuration d’un pool principal pour l’équilibreur de charge (public) accessible sur Internet8.3. Configure backend pool for Internet Facing (Public) Load Balancer

Suivez les mêmes étapes que pour la création de l’équilibreur de charge interne afin de configurer le pool principal de l’équilibreur de charge (public) accessible sur Internet en tant que groupe à haute disponibilité pour les serveurs WAP.Follow the same steps as in creating the internal load balancer, to configure the backend pool for Internet Facing (Public) Load Balancer as the availability set for the WAP servers. Par exemple, contosowapset.For example, contosowapset.

Configuration d’un pool principal pour l’équilibreur de charge accessible sur Internet

8.4. Configuration de la sonde8.4. Configure probe

Suivez les mêmes étapes que pour la configuration de l’équilibreur de charge interne afin de configurer la sonde pour le pool principal de serveurs WAP.Follow the same steps as in configuring the internal load balancer to configure the probe for the backend pool of WAP servers.

Configuration de la sonde d’équilibreur de charge accessible sur Internet

8.5. Création d’une ou plusieurs règles d’équilibrage de charge8.5. Create load balancing rule(s)

Suivez les mêmes étapes que pour l’équilibreur de charge interne afin de configurer la règle d’équilibrage de charge pour le port TCP 443.Follow the same steps as in ILB to configure the load balancing rule for TCP 443.

Configuration des règles d’équilibrage de l’équilibreur de charge accessible sur Internet

9. sécurisation du réseau9. Securing the network

9.1. Sécurisation du sous-réseau interne9.1. Securing the internal subnet

En général, vous devez appliquer les règles suivantes pour sécuriser efficacement votre sous-réseau interne (dans l’ordre indiqué ci-dessous)Overall, you need the following rules to efficiently secure your internal subnet (in the order as listed below)

RègleRule DescriptionDescription FluxFlow
AllowHTTPSFromDMZAllowHTTPSFromDMZ Autoriser la communication HTTPS à partir de la zone DMZAllow the HTTPS communication from DMZ Trafic entrantInbound
DenyInternetOutboundDenyInternetOutbound Aucun accès à InternetNo access to internet Règle de trafic sortantOutbound

Règles d’accès INT (entrant)

9.2. Sécurisation du sous-réseau DMZ9.2. Securing the DMZ subnet

RègleRule DescriptionDescription FluxFlow
AllowHTTPSFromInternetAllowHTTPSFromInternet Autoriser le trafic HTTPS entre Internet et la zone DMZAllow HTTPS from internet to the DMZ Trafic entrantInbound
DenyInternetOutboundDenyInternetOutbound Tout trafic est bloqué, à l’exception du trafic HTTPS vers InternetAnything except HTTPS to internet is blocked Règle de trafic sortantOutbound

Règles d’accès EXT (entrant)

Notes

Si l’authentification par certificat utilisateur client (authentification clientTLS à l’aide de certificats utilisateur X. 509) est requise, AD FS nécessite l’activation du port TCP 49443 pour l’accès entrant.If client user certificate authentication (clientTLS authentication using X.509 user certificates) is required, then AD FS requires TCP port 49443 to be enabled for inbound access.

10. tester la connexion AD FS10. Test the AD FS sign-in

Le moyen le plus simple consiste à tester AD FS à l’aide de la page IdpInitiatedSignon.aspx.The easiest way is to test AD FS is by using the IdpInitiatedSignon.aspx page. Pour cela, vous devez activer l’authentification IdpInitiatedSignOn sur les propriétés AD FS.In order to be able to do that, it is required to enable the IdpInitiatedSignOn on the AD FS properties. Suivez les étapes ci-dessous pour vérifier votre configuration AD FSFollow the steps below to verify your AD FS setup

  1. À l’aide de PowerShell, exécutez l’applet de commande ci-dessous sur le serveur AD FS pour l’activer.Run the below cmdlet on the AD FS server, using PowerShell, to set it to enabled. Set-AdfsProperties -EnableIdPInitiatedSignonPage $trueSet-AdfsProperties -EnableIdPInitiatedSignonPage $true
  2. À partir d’une machine externe, accédez à https://adfs-server.contoso.com/adfs/ls/IdpInitiatedSignon.aspx.From any external machine, access https://adfs-server.contoso.com/adfs/ls/IdpInitiatedSignon.aspx.
  3. Vous devriez accéder à la page AD FS ci-dessous :You should see the AD FS page like below:

Page de connexion de test

Si l’authentification aboutit, vous obtenez le message de confirmation ci-dessous :On successful sign-in, it will provide you with a success message as shown below:

Réussite du test

Modèle de déploiement d’AD FS dans AzureTemplate for deploying AD FS in Azure

Le modèle déploie une installation à 6 machines, 2 par contrôleur de domaine, AD FS et WAP.The template deploys a 6 machine setup, 2 each for Domain Controllers, AD FS and WAP.

Modèle de déploiement d’AD FS dans AzureAD FS in Azure Deployment Template

Vous pouvez utiliser un réseau virtuel existant ou créer un nouveau réseau virtuel lors du déploiement de ce modèle.You can use an existing virtual network or create a new VNET while deploying this template. Les différents paramètres disponibles pour la personnalisation du déploiement sont répertoriés ci-dessous avec la description de l’utilisation du paramètre dans le processus de déploiement.The various parameters available for customizing the deployment are listed below with the description of usage of the parameter in the deployment process.

ParamètreParameter DescriptionDescription
EmplacementLocation Région dans laquelle déployer les ressources, par exemple, USA Est.The region to deploy the resources into, e.g. East US.
StorageAccountTypeStorageAccountType Type de compte de stockage crééThe type of the Storage Account created
VirtualNetworkUsageVirtualNetworkUsage Indique si un réseau virtuel sera créé ou si un compte existant est utiliséIndicates if a new virtual network will be created or use an existing one
VirtualNetworkNameVirtualNetworkName Nom du réseau virtuel à créer, obligatoire lors de l’utilisation du réseau virtuel nouveau ou existantThe name of the Virtual Network to Create, mandatory on both existing or new virtual network usage
VirtualNetworkResourceGroupNameVirtualNetworkResourceGroupName Spécifie le nom du groupe de ressources dans lequel réside le réseau virtuel existant.Specifies the name of the resource group where the existing virtual network resides. Lorsque vous utilisez un réseau virtuel existant, ce paramètre est obligatoire pour que le déploiement puisse trouver l’ID de réseau virtuel existantWhen using an existing virtual network, this becomes a mandatory parameter so the deployment can find the ID of the existing virtual network
VirtualNetworkAddressRangeVirtualNetworkAddressRange Plage d’adresses du nouveau réseau virtuel, obligatoire si vous créez un nouveau réseau virtuelThe address range of the new VNET, mandatory if creating a new virtual network
InternalSubnetNameInternalSubnetName Nom du sous-réseau interne, obligatoire dans les deux options d’utilisation de réseau virtuel (nouveau ou existant)The name of the internal subnet, mandatory on both virtual network usage options (new or existing)
InternalSubnetAddressRangeInternalSubnetAddressRange Plage d’adresses du sous-réseau interne, qui contient les contrôleurs de domaine et les serveurs ADFS, obligatoire si vous créez un nouveau réseau virtuel.The address range of the internal subnet, which contains the Domain Controllers and ADFS servers, mandatory if creating a new virtual network.
DMZSubnetAddressRangeDMZSubnetAddressRange Plage d’adresses du sous-réseau dmz, qui contient les serveurs proxy d’application Windows, obligatoire si vous créez un nouveau réseau virtuel.The address range of the dmz subnet, which contains the Windows application proxy servers, mandatory if creating a new virtual network.
DMZSubnetNameDMZSubnetName Nom du sous-réseau interne, obligatoire dans les deux options d’utilisation de réseau virtuel (nouveau ou existant).The name of the internal subnet, mandatory on both virtual network usage options (new or existing).
ADDC01NICIPAddressADDC01NICIPAddress Adresse IP interne du premier contrôleur de domaine, cette adresse IP est affectée de manière statique au contrôleur de domaine et doit être une adresse IP valide au sein du sous-réseau interneThe internal IP address of the first Domain Controller, this IP address will be statically assigned to the DC and must be a valid ip address within the Internal subnet
ADDC02NICIPAddressADDC02NICIPAddress Adresse IP interne du second contrôleur de domaine, cette adresse IP est affectée de manière statique au contrôleur de domaine et doit être une adresse IP valide au sein du sous-réseau interneThe internal IP address of the second Domain Controller, this IP address will be statically assigned to the DC and must be a valid ip address within the Internal subnet
ADFS01NICIPAddressADFS01NICIPAddress Adresse IP interne du premier serveur ADFS, cette adresse IP est affectée de manière statique au serveur ADFS et doit être une adresse IP valide au sein du sous-réseau interneThe internal IP address of the first ADFS server, this IP address will be statically assigned to the ADFS server and must be a valid ip address within the Internal subnet
ADFS02NICIPAddressADFS02NICIPAddress Adresse IP interne du second serveur ADFS, cette adresse IP est affectée de manière statique au serveur ADFS et doit être une adresse IP valide au sein du sous-réseau interneThe internal IP address of the second ADFS server, this IP address will be statically assigned to the ADFS server and must be a valid ip address within the Internal subnet
WAP01NICIPAddressWAP01NICIPAddress Adresse IP interne du premier serveur WAP, cette adresse IP est affectée de manière statique au serveur WAP et doit être une adresse IP valide au sein du sous-réseau DMZThe internal IP address of the first WAP server, this IP address will be statically assigned to the WAP server and must be a valid ip address within the DMZ subnet
WAP02NICIPAddressWAP02NICIPAddress Adresse IP interne du second serveur WAP, cette adresse IP est affectée de manière statique au serveur WAP et doit être une adresse IP valide au sein du sous-réseau DMZThe internal IP address of the second WAP server, this IP address will be statically assigned to the WAP server and must be a valid ip address within the DMZ subnet
ADFSLoadBalancerPrivateIPAddressADFSLoadBalancerPrivateIPAddress Adresse IP interne de l’équilibrage de charge ADFS, cette adresse IP est affectée de manière statique à l’équilibrage de charge et doit être une adresse IP valide au sein du sous-réseau interneThe internal IP address of the ADFS load balancer, this IP address will be statically assigned to the load balancer and must be a valid ip address within the Internal subnet
ADDCVMNamePrefixADDCVMNamePrefix Préfixe du nom de machine virtuelle pour les contrôleurs de domaineVirtual Machine name prefix for Domain Controllers
ADFSVMNamePrefixADFSVMNamePrefix Préfixe du nom de machine virtuelle pour les serveurs ADFSVirtual Machine name prefix for ADFS servers
WAPVMNamePrefixWAPVMNamePrefix Préfixe du nom de machine virtuelle pour les serveurs WAPVirtual Machine name prefix for WAP servers
ADDCVMSizeADDCVMSize Taille de machine virtuelle des contrôleurs de domaineThe vm size of the Domain Controllers
ADFSVMSizeADFSVMSize Taille de machine virtuelle des serveurs ADFSThe vm size of the ADFS servers
WAPVMSizeWAPVMSize Taille de machine virtuelle des serveurs WAPThe vm size of the WAP servers
AdminUserNameAdminUserName Nom de l’administrateur local des machines virtuellesThe name of the local Administrator of the virtual machines
AdminPasswordAdminPassword Mot de passe du compte administrateur local des machines virtuellesThe password for the local Administrator account of the virtual machines

Ressources supplémentairesAdditional resources

Étapes suivantesNext steps