Prise en charge AD FS de la liaison de l’autre nom d’hôte pour l’authentification par certificat

  • Article

S’applique à Windows Server 2016 et ultérieur

Sur de nombreux réseaux, les stratégies de pare-feu locales peuvent ne pas autoriser le trafic via des ports non standard tels que 49443. Les ports non standard créaient un problème lors des tentatives d’authentification par certificat avec AD FS antérieur à Windows Server 2016, car des liaisons différentes pour l’authentification de l’appareil et l’authentification par certificat utilisateur sur le même hôte ne sont pas possibles. Avant Windows Server 2016, le port par défaut 443 est lié à la réception de certificats d’appareil et ne peut pas être modifié pour prendre en charge plusieurs liaisons dans le même canal. L’authentification par carte à puce ne fonctionne pas et aucune notification n’est communiquée aux utilisateurs expliquant la cause.

AD FS dans Windows Server prend en charge la liaison d’un autre nom d’hôte

AD FS dans Windows Server fournit la prise en charge de la liaison d’un autre nom d’hôte Deux modes sont pris en charge. Le premier mode utilise le même hôte (c’est-à-dire, adfs.contoso.com) avec des ports différents (443, 49443). Le second mode utilise des hôtes différents (adfs.contoso.com et certauth.adfs.contoso.com) avec le même port (443). Le second mode nécessite un certificat TLS/SSL pour prendre en charge « certauth.<adfs-service-name> » comme autre nom de l’objet. La liaison d’un autre nom d’hôte peut être configurée au moment de la création de la batterie de serveurs, ou plus tard via PowerShell.

Comment configurer une autre liaison de nom d’hôte pour l’authentification par certificat

Il existe deux façons d’ajouter la liaison d’un autre nom d’hôte pour l’authentification par certificat.

  • Si, lors de la configuration d’une nouvelle batterie de serveurs AD FS avec AD FS pour Windows Server 2016, le certificat contient un autre nom de l’objet (SAN), il est automatiquement configuré pour utiliser le second mode mentionné à la section précédente. Autrement dit, il configure automatiquement deux hôtes différents (sts.contoso.com et certauth.sts.contoso.com) avec le même port.

Si le certificat ne contient pas de SAN, un avertissement s’affiche pour vous informer que les autres noms de l’objet du certificat ne prennent pas en charge certauth.*. Regardez les captures d’écran suivantes. La première capture d’écran montre une installation dont le certificat contient un SAN. La deuxième capture d’écran montre un certificat qui ne contenait pas de SAN.

Screenshot that shows an installation where the certificate contains a SAN.

Screenshot that shows a certificate that doesn't contain a SAN.

  • Après le déploiement d’AD FS dans Windows Server, vous pouvez utiliser l’applet de commande PowerShell Set-AdfsAlternateTlsClientBinding afin d’ajouter la liaison d’un autre nom d’hôte pour l’authentification par certificat. Pour plus d’informations, consultez : Set-AdfsAlternateTlsClientBinding.
Set-AdfsAlternateTlsClientBinding -Member ADFS1.contoso.com -Thumbprint '<thumbprint of cert>'

Lorsque vous y êtes invité, sélectionnez Oui pour confirmer.

alternate hostname binding