Préparer l'authentification unique
Mise à jour : 25 juin 2015
S’applique à : Azure, Office 365, Power BI, Windows Intune
Notes
Il est possible que cette rubrique ne soit pas entièrement applicable aux utilisateurs de Microsoft Azure en Chine. Pour plus d’informations sur le service Azure en Chine, consultez windowsazure.cn.
Pour vous préparer à l'authentification unique, exécutez les étapes suivantes :
Étape 1 : Passer en revue les conditions requises pour l’authentification unique
Étape 2 : Préparer Active Directory
Étape 1 : Passer en revue les conditions requises pour l’authentification unique
Pour implémenter cette solution SSO, vous devez satisfaire les conditions requises suivantes :
Avez Active Directory déployé et exécuté dans Windows Server 2003 R2, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 ou Windows Server 2012 R2 avec un niveau fonctionnel de mode mixte ou natif.
Si vous prévoyez d'utiliser AD FS en tant que STS, vous devez effectuer l'une des opérations suivantes :
Téléchargez, installez et déployez AD FS 2.0 sur un serveur Windows Server 2008 ou Windows Serveur 2008 R2. En outre, si les utilisateurs se connectent en dehors du réseau de votre entreprise, vous devez déployer un proxy AD FS 2.0.
Installer le service de rôle AD FS sur un serveur Windows Server 2012 ou Windows Server 2012 R2.
Si vous prévoyez d'utiliser le fournisseur d'identité Shibboleth en tant que STS, vous devez installer et préparer un fournisseur d'identité Shibboleth opérationnel.
Important
Microsoft prend en charge cette expérience d’authentification unique comme l’intégration d’un service cloud Microsoft, tel que Microsoft Intune ou Office 365, avec le fournisseur d’identité Shibboleth déjà installé et opérationnel. Le fournisseur d'identité Shibboleth étant un produit tiers, Microsoft n'offre aucun support technique pour les problèmes ou questions liés au déploiement, à la configuration, au dépannage, aux meilleures pratiques, etc. concernant ce fournisseur d'identité. Pour plus d’informations sur le fournisseur d’identité Shibboleth, consultez https://go.microsoft.com/fwlink/?LinkID=256497.
En fonction du type de STS que vous allez configurer, utilisez le module Microsoft Azure Active Directory pour Windows PowerShell pour établir une approbation fédérée entre votre STS local et Azure AD.
Installez les mises à jour requises pour vos abonnements aux services cloud de Microsoft pour vous assurer que vos utilisateurs exécutent les dernières mises à jour de Windows 7, Windows Vista ou Windows XP. Certaines fonctionnalités risquent de ne pas fonctionner correctement sans les versions appropriées des systèmes d'exploitation, navigateurs et logiciels. Pour plus d’informations, consultez l’annexe A : Passer en revue les exigences logicielles.
Étape 2 : Préparer Active Directory
Active Directory doit avoir certains paramètres configurés pour fonctionner correctement avec l’authentification unique. notamment le nom d’utilisateur principal (UPN), également appelé nom de connexion de l’utilisateur.
Notes
Pour préparer votre environnement Active Directory pour l’authentification unique, nous vous recommandons d’exécuter l’outil Microsoft Deployment Readiness. Cet outil inspecte votre environnement Active Directory et fournit un rapport qui inclut des informations sur la configuration ou non de l’authentification unique. Dans le cas contraire, le rapport répertorie les modifications à apporter pour préparer l’authentification unique. Par exemple, l’outil contrôle si vos utilisateurs possèdent des UPN et si le format de ces UPN est correct.
En fonction de chacun de vos domaines, vous devrez éventuellement procéder comme suit :
Le nom d’utilisateur principal (UPN) doit être défini et connu de l’utilisateur.
Le suffixe du domaine de l’UPN doit être sous le domaine choisi pour la configuration de l’authentification unique.
Le domaine que vous choisissez de fédérer doit être enregistré en tant que domaine public auprès d’un bureau d’enregistrement de domaines ou dans vos propres serveurs DNS publics.
Pour créer des UPN, suivez les instructions de la rubrique Active Directory Pour ajouter des suffixes de nom d’utilisateur principal. N’oubliez pas que les noms d’utilisateur principaux employés pour l’authentification unique ne doivent contenir que des lettres, des chiffres, des points, des tirets et des caractères de soulignement.
Si votre nom de domaine Active Directory n’est pas un domaine Internet public (par exemple, il se termine par un suffixe .local), vous devez configurer un UPN pour avoir un suffixe de domaine sous un nom de domaine Internet pouvant être inscrit publiquement. Il est préférable d’employer un élément familier pour l’utilisateur, par exemple son domaine de messagerie.
Si vous avez déjà configuré la synchronisation Active Directory, l’UPN de l’utilisateur risque de ne pas correspondre à son UPN local défini dans Active Directory. Pour résoudre ce problème, renommez l’UPN de l’utilisateur à l’aide de l’applet de commande Set-MsolUserPrincipalName dans le module Microsoft Azure Active Directory pour Windows PowerShell.