Migrer le serveur de fédération AD FS 2,0 vers AD FS sur Windows Server 2012 R2

Pour migrer un serveur de fédération AD FS qui appartient à une batterie SQL Server, une batterie WIF ou une batterie AD FS à nœud unique vers Windows Server 2012 R2, vous devez effectuer les tâches suivantes :

1. Exporter et sauvegarder les données de configuration AD FS

2. Créer une batterie de serveurs de fédération Windows Server 2012 R2

3. Importer les données de configuration d’origine dans la batterie AD FS Windows Server 2012 R2

Exporter et sauvegarder les données de configuration AD FS

Pour exporter les paramètres de configuration AD FS, effectuez les procédures suivantes :

Pour exporter les paramètres de service

1. Assurez-vous que vous avez accès aux certificats suivants et à leurs clés privées dans un fichier .pfx :

   • certificat SSL utilisé par la batterie de serveurs de fédération à migrer ;

   • certificat de communications de service (s’il est différent du certificat SSL) utilisé par la batterie de serveurs de fédération à migrer ;

   • tous les certificats de chiffrement/déchiffrement de jeton ou de signature de jetons de partie tiers utilisés par la batterie de serveurs de fédération à migrer.

Pour rechercher le certificat SSL, ouvrez la console de gestion des services Internet (IIS), sélectionnez Site Web par défaut dans le volet gauche, cliquez sur Liaisons… dans le volet Actions, recherchez et sélectionnez la liaison https, cliquez sur Modifier, puis sur Afficher.

Vous devez exporter le certificat SSL utilisé par le service de fédération et sa clé privée vers un fichier .pfx. Pour plus d'informations, voir Export the Private Key Portion of a Server Authentication Certificate.

Remarque

Si vous envisagez de déployer Device Registration Service dans le cadre de l’exécution d’AD FS dans Windows Server 2012 R2, vous devez obtenir un nouveau certificat SSL. Pour plus d’informations, voir Inscrire un certificat SSL pour AD FS et Configurer un serveur de fédération avec Device Registration Service.

Pour afficher les certificats de signature de jetons, de déchiffrement de jeton et de communications de service qui sont utilisés, exécutez la commande Windows PowerShell suivante pour créer une liste de tous les certificats utilisés dans un fichier :

Get-ADFSCertificate | Out-File “.\certificates.txt”

2. Exportez les propriétés du service de fédération AD FS, telles que le nom du service de fédération, le nom complet du service de fédération et l’identificateur du serveur de fédération dans un fichier.

Pour exporter les propriétés du service de fédération, ouvrez Windows PowerShell et exécutez la commande suivante :

Get-ADFSProperties | Out-File “.\properties.txt”`.

Le fichier de sortie doit contenir les valeurs de configuration importantes suivantes :

Nom de propriété du service de fédération tel qu’il est signalé par Get-ADFSProperties	Nom de propriété du service de fédération dans la console de gestion AD FS
HostName	Nom du service de fédération
Identificateur	Identificateur du service de fédération
DisplayName	Nom complet du service de fédération

3. Sauvegardez le fichier de configuration de l’application. Parmi d’autres paramètres, ce fichier contient la chaîne de connexion à la base de données de stratégies.

Pour sauvegarder le fichier de configuration de l’application, vous devez copier manuellement le fichier %programfiles%\Active Directory Federation Services 2.0\Microsoft.IdentityServer.Servicehost.exe.config à un emplacement sécurisé sur un serveur de sauvegarde.

Remarque

Notez la chaîne de connexion à la base de données dans ce fichier, située immédiatement après "policystore connectionstring=". Si la chaîne de connexion spécifie une base de données SQL Server, la valeur est nécessaire lors de la restauration de la configuration AD FS d’origine sur le serveur de fédération.

Voici un exemple de chaîne de connexion WID : “Data Source=\\.\pipe\mssql$microsoft##ssee\sql\query;Initial Catalog=AdfsConfiguration;Integrated Security=True". Voici un exemple de chaîne de connexion SQL Server : "Data Source=databasehostname;Integrated Security=True".

4. Enregistrez l’identité du compte de service de fédération AD FS et le mot de passe de ce compte.

Pour rechercher la valeur d’identité, examinez la colonne Ouvrir une session en tant que de Service Windows AD FS 2.0 dans la console des services et enregistrez manuellement cette valeur.

Notes

Pour un service de fédération autonome, le compte NETWORK SERVICE intégré est utilisé. Dans ce cas, vous n’avez pas besoin de mot de passe.

5. Exportez la liste des points de terminaison AD FS activés dans un fichier.

Pour ce faire, ouvrez Windows PowerShell et exécutez la commande suivante :

Get-ADFSEndpoint | Out-File “.\endpoints.txt”`.

6. Exportez toutes les descriptions des revendications personnalisées dans un fichier.

Pour ce faire, ouvrez Windows PowerShell et exécutez la commande suivante :

Get-ADFSClaimDescription | Out-File “.\claimtypes.txt”`.

7. Si vous disposez de paramètres personnalisés comme useRelayStateForIdpInitiatedSignOn configurés dans le fichier web.config, veillez à sauvegarder le fichier web.config à titre de référence. Vous pouvez copier le fichier à partir du répertoire qui est mappé au chemin d’accès virtuel /adfs/ls dans les services Internet (IIS). L'emplacement par défaut est le répertoire %systemdrive%\inetpub\adfs\ls.

Pour exporter les approbations de fournisseur de revendications et approbations de partie de confiance

1. Pour exporter les approbations de fournisseur de revendications et approbations de partie de confiance AD FS, vous devez ouvrir une session en tant qu’administrateur (toutefois, pas en tant qu’administrateur de domaine) sur votre serveur de fédération et exécuter le script Windows PowerShell suivant qui est situé dans le dossier media/server_support/adfs du CD d’installation de Windows Server 2012 R2 : export-federationconfiguration.ps1.

Important

Le script d’exportation accepte les paramètres suivants :

• Export-FederationConfiguration.ps1 -Path <string> [-ComputerName <string>] [-Credential <pscredential>] [-Force] [-CertificatePassword <securestring>]

  • Export-FederationConfiguration.ps1 -Path <string> [-ComputerName <string>] [-Credential <pscredential>] [-Force] [-CertificatePassword <securestring>] [-RelyingPartyTrustIdentifier <string[]>] [-ClaimsProviderTrustIdentifier <string[]>]
  • Export-FederationConfiguration.ps1 -Path <string> [-ComputerName <string>] [-Credential <pscredential>] [-Force] [-CertificatePassword <securestring>] [-RelyingPartyTrustName <string[]>] [-ClaimsProviderTrustName <string[]>]

  -RelyingPartyTrustIdentifier <string[]> : l’applet de commande exporte uniquement les approbations de partie de confiance dont les identificateurs sont spécifiés dans le tableau de chaînes. Par défaut, AUCUNE des approbations de partie de confiance n’est exportée. Si aucun des éléments RelyingPartyTrustIdentifier, ClaimsProviderTrustIdentifier, RelyingPartyTrustName et ClaimsProviderTrustName n’est spécifié, le script exporte toutes les approbations de partie de confiance et approbations de fournisseur de revendications.

  -ClaimsProviderTrustIdentifier <string[]> : l’applet de commande exporte uniquement les approbations de fournisseur de revendications dont les identificateurs sont spécifiés dans le tableau de chaînes. Par défaut, AUCUNE des approbations de fournisseur de revendications n’est exportée.

  -RelyingPartyTrustName <string[]> : l’applet de commande exporte uniquement les approbations de partie de confiance dont les noms sont spécifiés dans le tableau de chaînes. Par défaut, AUCUNE des approbations de partie de confiance n’est exportée.

  -ClaimsProviderTrustName <string[]> : l’applet de commande exporte uniquement les approbations de fournisseur de revendications dont les noms sont spécifiés dans le tableau de chaînes. Par défaut, AUCUNE des approbations de fournisseur de revendications n’est exportée.

  -Path <string> : chemin d’accès à un dossier qui contiendra les fichiers exportés.

  -ComputerName <string> : spécifie le nom d’hôte du serveur STS. La valeur par défaut est l'ordinateur local. Si vous migrez AD FS 2.0 ou AD FS dans Windows Server 2012 vers AD FS dans Windows Server 2012 R2, il s’agit du nom d’hôte du serveur AD FS hérité.

  -Credential <PSCredential> : spécifie un compte d’utilisateur qui a l’autorisation d’exécuter cette action. La valeur par défaut est l’utilisateur actuel.

  -Force : spécifie de ne pas demander de confirmation de l’utilisateur.

  -CertificatePassword <SecureString> : spécifie un mot de passe pour l’exportation des clés privées des certificats AD FS. Si cette valeur n’est pas spécifiée, le script demande un mot de passe si un certificat AD FS avec une clé privée doit être exporté.

  Entrées : aucune

  Sorties : chaîne. Cette applet de commande retourne le chemin d’accès du dossier d’exportation. Vous pouvez diriger l’objet retourné vers Import-FederationConfiguration.

Pour sauvegarder les magasins d’attributs personnalisés

1. Vous devez exporter manuellement tous les magasins d’attributs personnalisés que vous souhaitez conserver dans votre nouvelle batterie AD FS dans Windows Server 2012 R2.

Remarque

Dans Windows Server 2012 R2, AD FS requiert des magasins d’attributs personnalisés qui sont basés sur .NET Framework 4.0 ou version ultérieure. Suivez les instructions dans Microsoft .NET Framework 4.5 pour installer et configurer .Net Framework 4.5.

Vous pouvez trouver des informations sur les magasins d'attributs personnalisés utilisés par AD FS en exécutant la commande Windows PowerShell suivante :

Get-ADFSAttributeStore

Les étapes de la mise à niveau ou de la migration des magasins d’attributs personnalisés varient.

2. Vous devez également exporter manuellement tous les fichiers .dll des magasins d’attributs personnalisés que vous souhaitez conserver dans votre nouvelle batterie AD FS dans Windows Server 2012 R2. Les étapes de la mise à niveau ou de la migration des fichiers .dll des magasins d’attributs personnalisés varient.

Créer une batterie de serveurs de fédération Windows Server 2012 R2

1. Installez le système d’exploitation Windows Server 2012 R2 sur un ordinateur qui doit jouer le rôle de serveur de fédération, puis ajoutez le rôle de serveur AD FS. Pour plus d’informations, voir Installer le service de rôle AD FS. Configurez ensuite votre nouveau service de fédération via l’Assistant Configuration du service de fédération Active Directory ou via Windows PowerShell. Pour plus d’informations, voir « Configurer le premier serveur de fédération dans une nouvelle batterie de serveurs de fédération » dans Configurer un serveur de fédération.

Tout en effectuant cette étape, vous devez suivre les instructions ci-dessous :

• Vous devez disposer de privilèges d’administrateur de domaine afin de configurer votre service de fédération.

• Vous devez utiliser le même nom de service de fédération (nom de batterie) que celui utilisé dans AD FS 2.0 ou AD FS dans Windows Server 2012. Si vous n’utilisez pas le même nom de service de fédération, les certificats que vous avez sauvegardés ne fonctionneront pas dans le service de fédération Windows Server 2012 R2 que vous essayez de configurer.

• Indiquez s’il s’agit d’une batterie de serveurs de fédération WID ou SQL Server. S’il s’agit d’une batterie SQL, spécifiez le nom de l’instance et l’emplacement de la base de données SQL Server.

• Vous devez fournir un fichier pfx contenant le certificat d’authentification serveur SSL que vous avez sauvegardé dans le cadre de la préparation du processus de migration AD FS.

• Vous devez spécifier la même identité de compte de service que celle utilisée dans AD FS 2.0 ou AD FS dans la batterie Windows Server 2012.

2. Une fois que le nœud initial est configuré, vous pouvez ajouter d’autres nœuds à votre nouvelle batterie. Pour plus d’informations, voir « Ajouter un serveur de fédération à une batterie de serveurs de fédération existante » dans Configurer un serveur de fédération.

Importer les données de configuration d’origine dans la batterie AD FS Windows Server 2012 R2

Maintenant que vous disposez d’une batterie de serveurs de fédération AD FS qui s’exécute dans Windows Server 2012 R2, vous pouvez y importer les données de configuration AD FS d’origine.

1. Importez et configurez d’autres certificats AD FS personnalisés, y compris les certificats de chiffrement/déchiffrement de jeton et de signature de jetons inscrits en externe, et le certificat de communications de service s’il est différent du certificat SSL.

Dans la console de gestion AD FS, sélectionnez Certificats. Vérifiez les certificats de communications de service, de chiffrement/déchiffrement de jeton et de signature de jetons en les comparant tous aux valeurs que vous avez exportées dans le fichier certificates.txt lors de la préparation de la migration.

Pour modifier les certificats de signature de jetons ou de déchiffrement de jeton en remplaçant les certificats auto-signés par défaut par des certificats externes, vous devez d’abord désactiver la fonctionnalité de substitution automatique de certificats qui est activée par défaut. Pour ce faire, vous pouvez utiliser la commande Windows PowerShell suivante :

Set-ADFSProperties –AutoCertificateRollover $false

2. Configurez tous les paramètres de service AD FS personnalisés, par exemple AutoCertificateRollover ou la durée de vie SSO, à l’aide de l’applet de commande Set-AdfsProperties.

3. Pour importer des approbations de partie de confiance et approbations de fournisseur de revendications AD FS, vous devez avoir ouvert une session en tant qu’administrateur (toutefois, pas en tant qu’administrateur de domaine) sur votre serveur de fédération et exécuter le script Windows PowerShell suivant qui est situé dans le dossier \support\adfs du CD d’installation de Windows Server 2012 R2 :

   import-federationconfiguration.ps1
   

Important

Le script d’importation accepte les paramètres suivants :

• Import-FederationConfiguration.ps1 -Path <string> [-ComputerName <string>] [-Credential <pscredential>] [-Force] [-LogPath <string>] [-CertificatePassword <securestring>]
• Import-FederationConfiguration.ps1 -Path <string> [-ComputerName <string>] [-Credential <pscredential>] [-Force] [-LogPath <string>] [-CertificatePassword <securestring>] [-RelyingPartyTrustIdentifier <string[]>] [-ClaimsProviderTrustIdentifier <string[]>
• Import-FederationConfiguration.ps1 -Path <string> [-ComputerName <string>] [-Credential <pscredential>] [-Force] [-LogPath <string>] [-CertificatePassword <securestring>] [-RelyingPartyTrustName <string[]>] [-ClaimsProviderTrustName <string[]>]

-RelyingPartyTrustIdentifier <string[]> : l’applet de commande importe uniquement les approbations de partie de confiance dont les identificateurs sont spécifiés dans le tableau de chaînes. Par défaut, AUCUNE des approbations de partie de confiance n’est importée. Si aucun des éléments RelyingPartyTrustIdentifier, ClaimsProviderTrustIdentifier, RelyingPartyTrustName et ClaimsProviderTrustName n’est spécifié, le script importe toutes les approbations de partie de confiance et approbations de fournisseur de revendications.

-ClaimsProviderTrustIdentifier <string[]> : l’applet de commande importe uniquement les approbations de fournisseur de revendications dont les identificateurs sont spécifiés dans le tableau de chaînes. Par défaut, AUCUNE des approbations de fournisseur de revendications n’est importée.

-RelyingPartyTrustName <string[]> : l’applet de commande importe uniquement les approbations de partie de confiance dont les noms sont spécifiés dans le tableau de chaînes. Par défaut, AUCUNE des approbations de partie de confiance n’est importée.

-ClaimsProviderTrustName <string[]> : l’applet de commande importe uniquement les approbations de fournisseur de revendications dont les noms sont spécifiés dans le tableau de chaînes. Par défaut, AUCUNE des approbations de fournisseur de revendications n’est importée.

-Path <string> : chemin d’accès à un dossier qui contient les fichiers de configuration à importer.

-LogPath <string> : chemin d’accès à un dossier qui contiendra le fichier journal d’importation. Un fichier journal nommé import.log sera créé dans ce dossier.

-ComputerName <string> : spécifie le nom d’hôte du serveur STS. La valeur par défaut est l'ordinateur local. Si vous migrez AD FS 2.0 ou AD FS dans Windows Server 2012 vers AD FS dans Windows Server 2012 R2, ce paramètre doit avoir pour valeur le nom d’hôte du serveur AD FS hérité.

-Credential <PSCredential> : spécifie un compte d’utilisateur qui a l’autorisation d’exécuter cette action. La valeur par défaut est l’utilisateur actuel.

-Force : spécifie de ne pas demander de confirmation de l’utilisateur.

-CertificatePassword <SecureString> : spécifie un mot de passe pour l’importation des clés privées des certificats AD FS. Si cette valeur n’est pas spécifiée, le script demande un mot de passe si un certificat AD FS avec une clé privée doit être importé.

Entrées : chaîne. Cette commande prend le chemin d’accès du dossier d’importation comme entrée. Vous pouvez diriger Export-FederationConfiguration vers cette commande.

Sorties : aucune.

La présence d’espaces en fin de chaîne dans la propriété WSFedEndpoint d’une approbation de partie de confiance peut provoquer l’échec du script d’importation. Dans ce cas, supprimez manuellement les espaces du fichier avant l’importation. Par exemple, les entrées suivantes provoquent des erreurs :

<URI N="WSFedEndpoint">https://127.0.0.1:444 /</URI>

<URI N="WSFedEndpoint">https://myapp.cloudapp.net:83 /</URI>

Elles doivent être remplacées par :

<URI N="WSFedEndpoint">https://127.0.0.1:444/</URI>

<URI N="WSFedEndpoint">https://myapp.cloudapp.net:83/</URI>

Important

Si vous disposez de règles de revendication personnalisées (autres que les règles par défaut AD FS) sur l’approbation de fournisseur de revendications Active Directory dans le système source, elles ne seront pas migrées par les scripts. Cela est dû au fait que Windows Server 2012 R2 a de nouvelles valeurs par défaut. Toutes les règles personnalisées doivent être fusionnées en les ajoutant manuellement à l’approbation de fournisseur de revendications Active Directory dans la nouvelle batterie Windows Server 2012 R2.

1. Configurez tous les paramètres de point de terminaison AD FS personnalisés. Dans la console de gestion AD FS, sélectionnez Points de terminaison. Vérifiez les points de terminaison AD FS activés par rapport à la liste des points de terminaison AD FS activés que vous avez exportés dans un fichier lors de la préparation de la migration AD FS.

   - et -

   Configurez toutes les descriptions des revendications personnalisées. Dans la console de gestion AD FS, sélectionnez Descriptions des revendications. Vérifiez la liste des descriptions des revendications AD FS par rapport à la liste des descriptions des revendications que vous avez exportées dans un fichier pendant la préparation de la migration AD FS. Ajoutez toutes les descriptions des revendications personnalisées incluses dans votre fichier, mais qui ne figurent pas dans la liste par défaut dans AD FS. Notez que l’identificateur de revendication dans la console de gestion est mappé au type de revendication dans le fichier.

2. Installez et configurez tous les magasins d’attributs personnalisés sauvegardés. En tant qu’administrateur, vérifiez que les fichiers binaires des magasins d’attributs personnalisés sont mis à niveau vers .NET Framework 4.0 ou version ultérieure avant de mettre à jour la configuration AD FS pour pointer vers eux.

3. Configurez les propriétés du service qui sont mappées aux paramètres du fichier web.config hérités.

   • Si useRelayStateForIdpInitiatedSignOn a été ajouté au fichier web.config dans AD FS 2.0 ou AD FS dans la batterie Windows Server 2012, vous devez configurer les propriétés du service suivantes dans AD FS dans la batterie Windows Server 2012 R2 :

     • AD FS dans Windows Server 2012 R2 inclut un fichier %systemroot%\ADFS\Microsoft.IdentityServer.Servicehost.exe.config. Créez un élément avec la même syntaxe que l’élément de fichier web.config : <useRelayStateForIdpInitiatedSignOn enabled="true" /> Ajoutez cet élément à la section <microsoft.identityserver.web> du fichier Microsoft.IdentityServer.Servicehost.exe.config.

   • Si <persistIdentityProviderInformation enabled="true|false" lifetimeInDays="90" enablewhrPersistence=”true|false” /> a été ajouté au fichier web.config dans AD FS 2.0 ou AD FS dans la batterie Windows Server 2012, vous devez configurer les propriétés du service suivantes dans AD FS dans la batterie Windows Server 2012 R2 :

     1. Dans AD FS dans Windows Server 2012 R2, exécutez la commande Windows PowerShell suivante : Set-AdfsWebConfig –HRDCookieEnabled –HRDCookieLifetime.

   • Si <singleSignOn enabled="true|false" /> a été ajouté au fichier web.config dans AD FS 2.0 ou AD FS dans la batterie Windows Server 2012, vous n’avez pas besoin de définir d’autres propriétés du service dans AD FS dans la batterie Windows Server 2012 R2. L’authentification unique est activée par défaut dans AD FS dans la batterie Windows Server 2012 R2.

   • Si les paramètres localAuthenticationTypes ont été ajoutés au fichier web.config dans AD FS 2.0 ou AD FS dans la batterie Windows Server 2012, vous devez configurer les propriétés du service suivantes dans AD FS dans la batterie Windows Server 2012 R2 :

     • La transformation des paramètres d’authentification intégrée, par formulaires, de client TLS et de base en paramètres AD FS équivalents dans Windows Server 2012 R2 dispose de paramètres de stratégie d’authentification globaux pour prendre en charge à la fois les types de service de fédération et d’authentification proxy. Ces paramètres peuvent être configurés dans le composant logiciel enfichable Gestion AD FS sous Stratégies d’authentification.

   Après avoir importé les données de configuration d’origine, vous pouvez personnaliser les pages de connexion AD FS si nécessaire. Pour plus d’informations, consultez Personnalisation des pages de connexion AD FS.

Étapes suivantes

Migrer les services de rôle des services de fédération Active Directory (AD FS) vers Server 2012 R2Préparation à la migration du serveur de fédération AD FSMigration du proxy du serveur de fédération AD FSVérification de la migration d’AD FS vers Windows Server 2012 R2