Configuration d'AD FS pour authentifier les utilisateurs stockées dans des annuaires LDAPConfigure AD FS to authenticate users stored in LDAP directories

La rubrique suivante décrit la configuration requise pour activer votre infrastructure AD FS authentifier les utilisateurs dont les identités sont stockées dans les répertoires compatibles v3 Lightweight Directory Access Protocol (LDAP).The following topic describes the configuration required to enable your AD FS infrastructure to authenticate users whose identities are stored in Lightweight Directory Access Protocol (LDAP) v3-compliant directories.

Dans de nombreuses organisations, les solutions de gestion des identités se composent d’une combinaison d’Active Directory, AD LDS ou des annuaires LDAP tiers.In many organizations, identity management solutions consist of a combination of Active Directory, AD LDS, or third-party LDAP directories. Avec l’ajout de prise en charge AD FS pour authentifier les utilisateurs stockés dans des annuaires LDAP v3 compatible, vous pouvez bénéficier de l’entreprise entière AD FS fonctionnalité définie, quel que soit le stockage des identités d’utilisateur.With the addition of AD FS support for authenticating users stored in LDAP v3-compliant directories, you can benefit from the entire enterprise-grade AD FS feature set regardless of where your user identities are stored. AD FS prend en charge n’importe quel répertoire compatibles v3 LDAP.AD FS supports any LDAP v3-compliant directory.

Notes

Certaines des fonctionnalités AD FS incluent session unique (SSO), l’authentification des appareils, les stratégies d’accès conditionnel flexible, prise en charge de travail-de-n’importe où grâce à l’intégration avec le Proxy d’Application Web et transparente la fédération avec Azure AD, qui à son tour permet de vous et vos utilisateurs d’utiliser le cloud, y compris Office 365 et autres applications SaaS.Some of the AD FS features include single sign-on (SSO), device authentication, flexible conditional access policies, support for work-from-anywhere through the integration with the Web Application Proxy, and seamless federation with Azure AD which in turn enables you and your users to utilize the cloud, including Office 365 and other SaaS applications. Pour plus d’informations, consultez présentation des Services de fédération Active Directory.For more information, see Active Directory Federation Services Overview.

Dans l’ordre pour AD FS authentifier les utilisateurs à partir d’un annuaire LDAP, vous devez vous connecter ce répertoire LDAP à votre batterie de serveurs AD FS en créant un approbation de fournisseur de revendications local.In order for AD FS to authenticate users from an LDAP directory, you must connect this LDAP directory to your AD FS farm by creating a local claims provider trust. Une approbation de fournisseur de revendications local est un objet d’approbation qui représente un répertoire LDAP dans votre batterie de serveurs AD FS.A local claims provider trust is a trust object that represents an LDAP directory in your AD FS farm. Un objet se compose d’un ensemble de règles qui identifient cet annuaire LDAP pour le service de fédération local, les noms et les identificateurs d’approbation de fournisseur de revendications.A local claims provider trust object consists of a variety of identifiers, names, and rules that identify this LDAP directory to the local federation service.

Vous pouvez prendre en charge plusieurs annuaires LDAP, chacun avec sa propre configuration, au sein de la même batterie de serveurs AD FS en ajoutant plusieurs approbations de fournisseur de revendications local.You can support multiple LDAP directories, each with its own configuration, within the same AD FS farm by adding multiple local claims provider trusts. En outre, les forêts AD DS qui ne sont pas approuvés par la forêt AD FS se trouve dans peuvent également être modélisés en tant que les approbations de fournisseur de revendications local.In addition, AD DS forests that are not trusted by the forest that AD FS lives in can also be modeled as local claims provider trusts. Vous pouvez créer des approbations de fournisseur de revendications local à l’aide de Windows PowerShell.You can create local claims provider trusts by using Windows PowerShell.

Les annuaires LDAP (approbations de fournisseur de revendications local) peuvent coexister avec les annuaires AD (approbations de fournisseur de revendications) sur le même serveur AD FS, dans la même batterie AD FS, par conséquent, une seule instance des services AD FS est capable d’authentifier et autoriser l’accès pour les utilisateurs qui sont stockées dans les deux AD et non-AD répertoires.LDAP directories (local claims provider trusts) can co-exist with AD directories (claims provider trusts) on the same AD FS server, within the same AD FS farm, therefore, a single instance of AD FS is capable of authenticating and authorizing access for users that are stored in both AD and non-AD directories.

Seule l’authentification basée sur les formulaires est pris en charge pour l’authentification des utilisateurs des annuaires LDAP.Only forms-based authentication is supported for authenticating users from LDAP directories. L’authentification Windows intégrée et basée sur certificat ne sont pas pris en charge pour l’authentification des utilisateurs dans les annuaires LDAP.Certificate-based and Integrated Windows authentication are not supported for authenticating users in LDAP directories.

Tous les protocoles d’autorisation passif qui sont pris en charge par AD FS, notamment SAML, WS-Federation et OAuth sont également pris en charge pour les identités qui sont stockées dans les annuaires LDAP.All passive authorization protocols that are supported by AD FS, including SAML, WS-Federation, and OAuth are also supported for identities that are stored in LDAP directories.

Le protocole d’autorisation active WS-Trust est également pris en charge pour les identités qui sont stockées dans les annuaires LDAP.The WS-Trust active authorization protocol is also supported for identities that are stored in LDAP directories.

Configurer AD FS pour authentifier les utilisateurs stockés dans un annuaire LDAPConfigure AD FS to authenticate users stored in an LDAP directory

Pour configurer votre batterie AD FS pour authentifier les utilisateurs à partir d’un annuaire LDAP, vous pouvez effectuer les étapes suivantes :To configure your AD FS farm to authenticate users from an LDAP directory, you can complete the following steps:

  1. Tout d’abord, configurez une connexion à votre annuaire LDAP à l’aide du New-AdfsLdapServerConnection applet de commande :First, configure a connection to your LDAP directory using the New-AdfsLdapServerConnection cmdlet:

    $DirectoryCred = Get-Credential
    $vendorDirectory = New-AdfsLdapServerConnection -HostName dirserver -Port 50000 -SslMode None -AuthenticationMethod Basic -Credential $DirectoryCred
    

    Notes

    Il est recommandé de créer un nouvel objet de connexion pour chaque serveur LDAP que vous souhaitez vous connecter.It is recommended that you create a new connection object for each LDAP server you want to connect to. AD FS peut se connecter à plusieurs serveurs LDAP de réplica et effectuer un basculement automatique au cas où un serveur LDAP spécifique est arrêté.AD FS can connect to multiple replica LDAP servers and automatically fail over in case a specific LDAP server is down. Pour ce cas, vous pouvez créer des un AdfsLdapServerConnection pour chacun de ces serveurs LDAP de réplica et ajouter ensuite le tableau d’objets de connexion à l’aide de-LdapServerConnection paramètre de la AdfsLocalClaimsProviderTrust ajouter applet de commande.For such a case, you can create one AdfsLdapServerConnection for each of these replica LDAP servers and then add the array of connection objects using the -LdapServerConnection parameter of the Add-AdfsLocalClaimsProviderTrust cmdlet.

    REMARQUE : Votre tentative d’utilisation de Get-Credential et tapez un nom unique et le mot de passe à utiliser pour lier à une instance LDAP peut entraîner un échec car la de la nécessité d’interface utilisateur pour les formats d’entrée spécifiques, par exemple, DOMAINE\nom d’utilisateur ou user@domain.tld.NOTE: Your attempt to use Get-Credential and type in a DN and password to be used to bind to an LDAP instance might result in a failure because the of the user interface requirement for specific input formats, for example, domain\username or user@domain.tld. Vous pouvez utiliser à la place de l’applet de commande ConvertTo-SecureString comme suit (l’exemple ci-dessous suppose qu’uid = admin, UO = système en tant que le nom unique des informations d’identification à utiliser pour lier à l’instance LDAP) :You can instead use the ConvertTo-SecureString cmdlet as follows (the example below assumes uid=admin,ou=system as the DN of the credentials to be used to bind to the LDAP instance):

    $ldapuser = ConvertTo-SecureString -string "uid=admin,ou=system" -asplaintext -force
    $DirectoryCred = Get-Credential -username $ldapuser -Message "Enter the credentials to bind to the LDAP instance:"
    

    Puis entrez le mot de passe pour l’uid = admin et complétez le reste des étapes.Then enter the password for the uid=admin and complete the rest of the steps.

  2. Ensuite, vous pouvez effectuer l’étape facultative de mappage d’attributs LDAP aux revendications AD FS existantes à l’aide de la New-AdfsLdapAttributeToClaimMapping applet de commande.Next, you can perform the optional step of mapping LDAP attributes to the existing AD FS claims using the New-AdfsLdapAttributeToClaimMapping cmdlet. Dans l’exemple ci-dessous, vous mappez givenName, Surname, et CommonName LDAP des attributs aux revendications AD FS :In the example below, you map givenName, Surname, and CommonName LDAP attributes to the AD FS claims:

    #Map given name claim
    $GivenName = New-AdfsLdapAttributeToClaimMapping -LdapAttribute givenName -ClaimType "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname"
    # Map surname claim
    $Surname = New-AdfsLdapAttributeToClaimMapping -LdapAttribute sn -ClaimType "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname"
    # Map common name claim
    $CommonName = New-AdfsLdapAttributeToClaimMapping -LdapAttribute cn -ClaimType "http://schemas.xmlsoap.org/claims/CommonName"
    

    Ce mappage est effectué afin de rendre les attributs à partir du magasin LDAP disponibles en tant que revendications dans ADFS afin de créer des règles de contrôle d’accès conditionnel dans AD FS.This mapping is done in order to make attributes from the LDAP store available as claims in AD FS in order to create conditional access control rules in AD FS. Il permet également d’AD FS travailler avec des schémas personnalisés dans les magasins LDAP en fournissant un moyen simple pour mapper les attributs LDAP en cas de réclamation.It also enables AD FS to work with custom schemas in LDAP stores by providing an easy way to map LDAP attributes to claims.

  3. Enfin, vous devez inscrire le magasin LDAP avec AD FS comme une approbation de fournisseur à l’aide de revendications le Add-AdfsLocalClaimsProviderTrust applet de commande :Finally, you must register the LDAP store with AD FS as a local claims provider trust using the Add-AdfsLocalClaimsProviderTrust cmdlet:

    Add-AdfsLocalClaimsProviderTrust -Name "Vendors" -Identifier "urn:vendors" -Type Ldap
    
    # Connection info
    -LdapServerConnection $vendorDirectory 
    
    # How to locate user objects in directory
    -UserObjectClass inetOrgPerson -UserContainer "CN=VendorsContainer,CN=VendorsPartition" -LdapAuthenticationMethod Basic 
    
    # Claims for authenticated users
    -AnchorClaimLdapAttribute mail -AnchorClaimType "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn" -LdapAttributeToClaimMapping @($GivenName, $Surname, $CommonName) 
    
    # General claims provider properties
    -AcceptanceTransformRules "c:[Type != ''] => issue(claim=c);" -Enabled $true 
    
    # Optional - supply user name suffix if you want to use Ws-Trust
    -OrganizationalAccountSuffix "vendors.contoso.com"
    

    Dans l’exemple ci-dessus, vous créez une approbation de fournisseur de revendications local appelée « Fournisseurs ».In the example above, you are creating a local claims provider trust called "Vendors". Vous spécifiez des informations de connexion pour AD FS pour se connecter à l’annuaire LDAP cette approbation de fournisseur de revendications local représente en assignant $vendorDirectory à la -LdapServerConnection paramètre.You are specifying connection information for AD FS to connect to the LDAP directory this local claims provider trust represents by assigning $vendorDirectory to the -LdapServerConnection parameter. Notez qu’à l’étape 1, vous avez affecté $vendorDirectory une chaîne de connexion à utiliser lors de la connexion à votre annuaire LDAP spécifique.Note that in step one, you've assigned $vendorDirectory a connection string to be used when connecting to your specific LDAP directory. Enfin, vous spécifiez que le $GivenName, $Surname, et $CommonName les attributs LDAP (ce qui vous avez mappé aux revendications AD FS) doivent être utilisées pour le contrôle d’accès conditionnel, y compris les stratégies d’authentification multifacteur et l’émission règles d’autorisation, ainsi que pour d’émission via des revendications AD FS émis jetons de sécurité.Finally, you are specifying that the $GivenName, $Surname, and $CommonName LDAP attributes (which you mapped to the AD FS claims) are to be used for conditional access control, including multi-factor authentication policies and issuance authorization rules, as well as for issuance via claims in AD FS-issued security tokens. Pour utiliser des protocoles actifs tels que Ws-Trust avec AD FS, vous devez spécifier le paramètre OrganizationalAccountSuffix, qui permet à AD FS lever l’ambiguïté entre les approbations de fournisseur de revendications local lors de la maintenance d’une demande d’autorisation active.In order to use active protocols like Ws-Trust with AD FS, you must specify the OrganizationalAccountSuffix parameter, which enables AD FS to disambiguate between local claims provider trusts when servicing an active authorization request.

Voir aussiSee Also

Opérations d’AD FSAD FS Operations