Vérification et gestion de l'authentification unique avec AD FS
Mise à jour : 25 juin 2015
S’applique à : Azure, Office 365, Power BI, Windows Intune
Notes
Il est possible que cette rubrique ne soit pas entièrement applicable aux utilisateurs de Microsoft Azure en Chine. Pour plus d’informations sur le service Azure en Chine, consultez windowsazure.cn.
En tant qu’administrateur, avant de vérifier et de gérer l’authentification unique (également appelée fédération d’identité), passez en revue les informations et procédez comme suit : Utilisez AD FS pour implémenter et gérer l’authentification unique.
Après avoir configuré l’authentification unique, vous devez vérifier son bon fonctionnement. Vous pouvez également effectuer plusieurs tâches de maintenance de temps en temps pour garantir son bon fonctionnement.
Que voulez-vous faire ?
Vérifier que l’authentification unique a bien été configurée
Gérer l'authentification unique
Vérifier que l’authentification unique a bien été configurée
Pour vérifier que l’authentification unique a été correctement configurée, vous pouvez effectuer la procédure suivante pour vérifier que vous êtes en mesure de vous connecter au service cloud avec vos informations d’identification d’entreprise, tester l’authentification unique pour différents scénarios d’utilisation et utiliser Microsoft Remote Connectivity Analyzer.
Notes
- Si vous avez converti un domaine, plutôt que d’en ajouter un, l’authentification unique peut prendre jusqu'à 24 heures.
- Avant de vérifier l’authentification unique, vous devez terminer la configuration de la synchronisation Active Directory, synchroniser vos répertoires et activer vos utilisateurs synchronisés. Pour plus d’informations, consultez la feuille de route de synchronisation d’annuaires.
Pour vérifier que l’authentification unique a bien été configurée, procédez comme suit.
Sur un ordinateur joint au domaine, connectez-vous à votre service cloud Microsoft en utilisant le même nom d'ouverture de session que celui de vos informations d'identification d'entreprise.
Cliquez dans la zone de mot de passe. Si l’authentification unique est configurée, la zone de mot de passe est ombrée et le message suivant s’affiche : « Vous êtes maintenant tenu de vous connecter à <votre entreprise> ».
Cliquez sur le lien Se connecter à <votre entreprise> .
Si vous êtes en mesure de vous connecter, l’authentification unique a été configurée.
Tester l’authentification unique pour différents scénarios d’utilisation
Une fois que vous avez vérifié que l’authentification unique est terminée, testez les scénarios de connexion suivants pour vous assurer que l’authentification unique et le déploiement AD FS 2.0 sont correctement configurés. Demandez à un groupe d’utilisateurs de tester leur accès aux services de service cloud à partir de navigateurs et d’applications clientes enrichies, telles que Microsoft Office 2010, dans les environnements suivants :
À partir d’un ordinateur joint au domaine
À partir d’un ordinateur non joint au domaine au sein du réseau de l’entreprise
À partir d’un ordinateur itinérant joint au domaine et hors du réseau de l’entreprise
À partir des différents systèmes d’exploitation que vous utilisez dans votre société
À partir d’un ordinateur personnel
À partir d’un kiosque Internet (testez l’accès au service cloud via un navigateur uniquement)
À partir d’un téléphone intelligent (par exemple, un téléphone intelligent qui utilise Microsoft Exchange ActiveSync)
Utiliser l'Analyseur de connectivité à distance de Microsoft
Pour tester la connectivité de l’authentification unique, vous pouvez utiliser l’Analyseur de connectivité à distance de Microsoft. Cliquez sur l'onglet Office 365, sur Authentification unique Microsoft, puis sur Suivant. Suivez les instructions qui s'affichent à l'écran pour exécuter le test. L’analyseur valide votre capacité à vous connecter au service cloud avec vos informations d’identification d’entreprise. Il valide également une configuration AD FS 2.0 de base.
Que voulez-vous faire ?
Planifier la tâche de mise à jour d’Azure AD lorsqu’une modification est apportée au certificat de signature de jetons n’est plus la recommandation
Si vous utilisez AD FS 2.0 ou version ultérieure, Office 365 et Azure AD mettent automatiquement à jour votre certificat avant son expiration. Vous n’avez pas besoin d’effectuer des étapes manuelles ou d’exécuter un script en tant que tâche planifiée. Pour que cela fonctionne, les deux paramètres de configuration AD FS par défaut suivants doivent être appliqués :
La propriété AD FS AutoCertificateRollover doit avoir la valeur True, ce qui indique qu’AD FS génère automatiquement de nouveaux certificats de signature de jeton et de déchiffrement de jeton avant l’expiration des anciens certificats. Si la valeur est False, vous utilisez des paramètres de certificat personnalisés. Accédez ici pour obtenir des conseils complets.
Vos métadonnées de fédération doivent être disponibles pour l’Internet public.
Gérer l'authentification unique
Pour garantir le bon fonctionnement de l’authentification unique, vous pouvez exécuter d’autres tâches facultatives ou occasionnelles.
Contenu de cette section
Ajouter des URL renvoyant à des sites de confiance dans Internet Explorer
Limiter la connexion des utilisateurs au service cloud
Afficher les paramètres actuels
Mettre à jour les propriétés d’approbation
Récupérer un serveur AD FS
Personnaliser le type d’authentification locale
Ajouter des URL renvoyant à des sites de confiance dans Internet Explorer
Une fois que vous avez ajouté ou converti vos domaines dans le cadre de la configuration de l'authentification unique, vous pouvez ajouter le nom de domaine complet de votre serveur AD FS à la liste des sites de confiance d'Internet Explorer. De cette manière, les utilisateurs ne seront pas invités à entrer leur mot de passe pour accéder au serveur AD FS. Cette modification doit être effectuée au niveau du client. Vous pouvez également effectuer cette modification pour vos utilisateurs en définissant un paramètre de stratégie de groupe qui ajoutera automatiquement cette URL dans la liste des sites de confiance des ordinateurs joints au domaine. Pour plus d’informations, voir Internet Explorer Policy Settings (Paramètres de stratégie d’Internet Explorer).
Limiter la connexion des utilisateurs au service cloud
AD FS offre aux administrateurs la possibilité de définir des règles personnalisées qui accordent ou refusent l'accès aux utilisateurs. Pour l’authentification unique, les règles personnalisées doivent être appliquées à l’approbation de partie de confiance associée au service cloud. Vous avez créé cette approbation lorsque vous avez exécuté les applets de commande dans Windows PowerShell pour configurer l’authentification unique.
Pour plus d’informations sur la limitation de la connexion aux services pour les utilisateurs, voir Create a Rule to Permit or Deny Users Based on an Incoming Claim (Créer une règle pour autoriser ou refuser des utilisateurs en fonction d’une demande entrante). Pour plus d’informations sur l’exécution des applets de commande pour configurer l’authentification unique, consultez Installer Windows PowerShell pour l’authentification unique avec AD FS.
Afficher les paramètres actuels
Si, à tout moment, vous souhaitez afficher le serveur AD FS actuel et les paramètres du service cloud, vous pouvez ouvrir le module Microsoft Azure Active Directory pour Windows PowerShell et exécuterConnect-MSOLService
, puis exécuter Get-MSOLFederationProperty –DomainName <domain>
. Cela vous permet de vérifier que les paramètres sur le serveur AD FS sont cohérents avec ceux du service cloud. Si les paramètres ne correspondent pas, vous pouvez exécuter Update-MsolFederatedDomain –DomainName <domain>
. Pour plus d'informations, consultez la section suivante, « Mettre à jour les propriétés d'approbation ».
Notes
Si vous avez besoin de prendre en charge plusieurs domaines de premier niveau, par exemple contoso.com et fabrikam.com, vous devez utiliser le commutateur SupportMultipleDomain avec les applets de commande. Pour plus d’informations, consultez Prise en charge de plusieurs domaines de premier niveau.
Que voulez-vous faire ?
Mettre à jour les propriétés d’approbation
Vous devez mettre à jour les propriétés d’approbation de l’authentification unique dans le service cloud quand :
L’URL change : Si vous apportez des modifications à l’URL du serveur AD FS, vous devez mettre à jour les propriétés d’approbation.
Le certificat de signature de jeton principal a été modifié : La modification du certificat de signature de jeton principal déclenche l’ID d’événement 334 ou l’ID d’événement 335 dans observateur d'événements pour le serveur AD FS. Nous vous recommandons de vérifier régulièrement l’observateur d’événements, au moins une fois par semaine.
Pour consulter les événements du serveur AD FS, procédez comme suit.
Cliquez sur Démarrer, puis sur Panneau de configuration. Dans la vue Catégorie, cliquez sur Système et sécurité, sur Outils d'administration, puis sur Observateur d'événements.
Pour consulter les événements pour AD FS, dans le volet gauche de l'Observateur d'événements, cliquez sur Journaux des applications et des services, puis sur AD FS 2.0, et enfin sur Administrateur.
Le certificat de signature de jeton expire chaque année : Le certificat de signature de jeton est essentiel à la stabilité du service de fédération. Si elle est modifiée, Azure AD doit être informé de cette modification. Sinon, les requêtes faites à vos services cloud échoueront.
Pour mettre à jour ces propriétés manuellement, procédez comme suit.
Notes
Si vous avez besoin de prendre en charge plusieurs domaines de premier niveau, par exemple contoso.com et fabrikam.com, vous devez utiliser le commutateur SupportMultipleDomain avec les applets de commande. Pour plus d’informations, consultez Prise en charge de plusieurs domaines de premier niveau.
Ouvrez le Module Microsoft Azure Active Directory pour Windows PowerShell.
Exécutez
$cred=Get-Credential
. Lorsque cette applet de commande vous demande des informations d’identification, tapez vos informations d’identification de compte administrateur de services cloud.Exécutez
Connect-MsolService –Credential $cred
. Cette applet de commande vous connecte au service cloud. Avant d’exécuter l’une des applets de commande supplémentaires installées par l’outil, vous devez créer un contexte qui vous connecte au service cloud.Exécutez
Set-MSOLAdfscontext -Computer <AD FS primary server>
, où <le serveur> principal AD FS est le nom de nom de domaine complet interne du serveur AD FS principal. Cette applet de commande crée un contexte qui vous connecte à AD FS.Notes
Si vous avez installé le module Microsoft Azure Active Directory sur le serveur principal, vous n’avez pas besoin d’exécuter cette applet de commande.
Exécutez
Update-MSOLFederatedDomain –DomainName <domain>
. Cette cmdlet met à jour les paramètres d’AD FS dans le service cloud et configure la relation d’approbation entre les deux.
Que voulez-vous faire ?
Récupérer un serveur AD FS
Si vous perdez votre serveur principal sans pouvoir le récupérer, vous devez promouvoir un autre serveur en serveur principal. Pour plus d’informations, voir AD FS 2.0 - How to Set the Primary Federation Server in a WID Farm (AD FS 2.0 - Comment définir le serveur de fédération principal dans une batterie WID).
Notes
Si l’un de vos serveurs AD FS échoue et que vous avez configuré une configuration de batterie de serveurs à haute disponibilité, les utilisateurs pourront toujours accéder au service cloud. Si le serveur défaillant est le serveur principal, vous ne pourrez pas mettre à jour la configuration de la batterie avant d’avoir promu un autre serveur en serveur principal.
Si vous perdez tous les serveurs de la batterie, vous devez rétablir l’approbation via la procédure suivante.
Notes
Si vous avez besoin de prendre en charge plusieurs domaines de premier niveau, par exemple contoso.com et fabrikam.com, vous devez utiliser le commutateur SupportMultipleDomain avec les applets de commande. Lorsque vous utilisez le commutateur SupportMultipleDomain, vous devez généralement exécuter la procédure sur chacun de vos domaines. Cependant, pour récupérer votre serveur AD FS, vous ne devez l'exécuter qu'une seule fois pour l'un de vos domaines. Une fois votre serveur récupéré, tous vos autres domaines d’authentification unique se connectent au service cloud. Pour plus d’informations, consultez Prise en charge de plusieurs domaines de premier niveau.
Ouvrez le module Microsoft Azure Active Directory.
Exécutez
$cred=Get-Credential
. Lorsque cette cmdlet vous y invite, entrez vos informations d’identification de compte d’administrateur de service cloud.Exécutez
Connect-MsolService –Credential $cred
. Cette applet de commande vous connecte au service cloud. Avant d’exécuter l’une des applets de commande supplémentaires installées par l’outil, vous devez créer un contexte qui vous connecte au service cloud.Exécutez
Set-MSOLAdfscontext -Computer <AD FS primary server>
, où <le serveur> principal AD FS est le nom de nom de domaine complet interne du serveur AD FS principal. Cette applet de commande crée un contexte qui vous connecte à AD FS.Notes
Si vous avez installé le module Microsoft Azure Active Directory sur le serveur AD FS principal, vous n’avez pas besoin d’exécuter cette applet de commande.
Exécutez , où <le domaine est le domaine> pour lequel vous souhaitez
Update-MsolFederatedDomain –DomainName <domain>
mettre à jour les propriétés. Cette applet de commande met à jour les propriétés et établit la relation d'approbation.Exécutez , où <le domaine est le domaine> pour lequel vous souhaitez
Get-MsolFederationProperty –DomainName <domain>
afficher les propriétés. Vous pouvez ensuite comparer les propriétés du serveur AD FS principal et les propriétés du service cloud pour vous assurer qu’elles correspondent. Dans le cas contraire, réexécutezUpdate-MsolFederatedDomain –DomainName <domain>
pour synchroniser les propriétés.
Voir aussi
Concepts
Liste de vérification : utiliser les services AD FS pour implémenter et gérer l’authentification unique
Feuille de route pour l’authentification unique