Fédérer plusieurs instances de Microsoft Entra ID avec une seule instance d'AD FS
Une même batterie AD FS à haute disponibilité peut fédérer plusieurs forêts si elles entretiennent une relation d’approbation bidirectionnelle. Ces multiples forêts peuvent ou non correspondre au même identifiant Microsoft Entra. Cet article fournit des instructions sur la façon de configurer la fédération entre un seul déploiement AD FS et plusieurs instances de Microsoft Entra ID.
Notes
L’écriture différée sur les appareils et la jonction automatique d’appareils ne sont pas prises en charge dans ce scénario.
Remarque
Microsoft Entra Connect ne peut pas être utilisé pour configurer la fédération dans ce scénario, car Microsoft Entra Connect peut configurer la fédération pour les domaines dans un seul identifiant Microsoft Entra.
Étapes pour fédérer AD FS avec plusieurs Microsoft Entra ID
Considérons un domaine contoso.com dans Microsoft Entra. contoso.onmicrosoft.com est déjà fédéré avec AD FS sur site installé dans l'environnement Active Directory sur site contoso.com. Fabrikam.com est un domaine dans fabrikam.onmicrosoft.com Microsoft Entra ID.
Étape 1 : Établir une relation d’approbation bidirectionnelle
Pour qu’AD FS dans contoso.com puisse authentifier les utilisateurs de fabrikam.com, une approbation bidirectionnelle est nécessaire entre contoso.com et fabrikam.com. Suivez les instructions de cet article pour créer l’approbation bidirectionnelle.
Étape 2 : Modifier les paramètres de fédération contoso.com
L’émetteur par défaut défini pour un seul domaine fédéré sur AD FS est "http://ADFSServiceFQDN/adfs/services/trust" (par exemple, http://fs.contoso.com/adfs/services/trust
). Microsoft Entra ID nécessite un émetteur unique pour chaque domaine fédéré. Étant donné qu’AD FS va fédérer deux domaines, la valeur de l’émetteur doit être modifiée pour être unique.
Remarque
Les modules Azure AD et MSOnline PowerShell sont dépréciés depuis le 30 mars 2024. Pour en savoir plus, lisez les informations de dépréciation. Passé cette date, la prise en charge de ces modules est limitée à une assistance de migration vers le SDK et les correctifs de sécurité Microsoft Graph PowerShell. Les modules déconseillés continueront de fonctionner jusqu’au 30 mars 2025.
Nous vous recommandons de migrer vers Microsoft Graph PowerShell pour interagir avec Microsoft Entra ID (anciennement Azure AD). Pour explorer les questions courantes sur la migration, reportez-vous au FAQ sur la migration. Remarque : Les versions 1.0.x de MSOnline peuvent connaître une interruption après le 30 juin 2024.
Sur le serveur AD FS, ouvrez Azure AD PowerShell (assurez-vous que le module MSOnline est installé) et effectuez les étapes suivantes :
Connectez-vous à l’instance Microsoft Entra ID qui contient le domaine contoso.com
.
Connect-MsolService
Mettez à jour les paramètres de fédération pour contoso.com
:
Update-MsolFederatedDomain -DomainName contoso.com –SupportMultipleDomain
L’émetteur dans le paramètre de fédération de domaine sera remplacé par http://contoso.com/adfs/services/trust
, et une règle de revendication d’émission sera ajoutée pour que l’approbation de la partie de confiance Microsoft Entra ID émette la valeur issuerId correcte en fonction du suffixe UPN.
Étape 3 : Fédérer fabrikam.com avec AD FS
Dans la session Azure AD PowerShell, effectuez les étapes suivantes : Connectez-vous à l'ID Microsoft Entra contenant le domaine fabrikam.com
Connect-MsolService
Convertissez le domaine managé fabrikam.com en un domaine fédéré :
Convert-MsolDomainToFederated -DomainName fabrikam.com -Verbose -SupportMultipleDomain
L’opération ci-dessus fédère le domaine fabrikam.com avec la même instance d’AD FS. Vous pouvez vérifier les paramètres de domaine en utilisant Get-MsolDomainFederationSettings pour les deux domaines.