Configuration d'une relation d'approbation entre AD FS et Azure AD

  • Article

Mise à jour : 25 juin 2015

S’applique à : Azure, Office 365, Power BI, Windows Intune

Chaque domaine que vous souhaitez fédérer doit avoir été ajouté en tant que domaine d’authentification unique ou converti en ce type de domaine. L’ajout ou la conversion d’un domaine configure une approbation entre AD FS et Microsoft Azure Active Directory (Microsoft Azure AD).

Important

  • Si vous utilisez un sous-domaine (par exemple, corp.contoso.com) en plus d'un domaine de premier niveau (par exemple, contoso.com), vous devez ajouter ce domaine de premier niveau à votre service cloud avant d'ajouter des sous-domaines. Lorsque le domaine de premier niveau est configuré pour l’authentification unique, tous les sous-domaines sont automatiquement configurés également.

  • La configuration d’une approbation est une opération ponctuelle et vous n’avez pas besoin d’exécuter le module Microsoft Azure Active Directory pour Windows PowerShell applets de commande si vous ajoutez d’autres serveurs AD FS à votre batterie de serveurs.

  • Si vous ajoutez et vérifiez un domaine avec le module Microsoft Azure Active Directory, vous devez spécifier plusieurs paramètres supplémentaires. Ces paramètres sont nécessaires pour visualiser les enregistrements DNS à configurer afin de permettre à votre domaine d'utiliser votre service de cloud computing.

Si vous devez prendre en charge plusieurs domaines de premier niveau, vous devez utiliser le commutateur SupportMultipleDomain avec toutes les applets de commande, par exemple, celles utilisées avec les procédures « Ajouter un domaine » et « Convertir un domaine ».

Par exemple, pour ajouter contoso.com et fabrikam.com en tant que domaines d'authentification unique, suivez la procédure « Ajouter un domaine » pour contoso.com, en utilisant le commutateur SupportMultipleDomain dans toutes les étapes associées à une applet de commande. Ainsi, à l’étape 5, vous devez utiliser New-MsolFederatedDomain –DomainName contoso.com –SupportMultipleDomain. Lorsque toutes les étapes de la procédure ont été effectuées pour contoso.com, reprenez la même procédure pour votre domaine fabrikam.com. À l’étape 5, utilisez alors New-MsolFederatedDomain –DomainName fabrikam.com –SupportMultipleDomain.

Pour plus d’informations, consultez Prise en charge de plusieurs domaines de premier niveau.

Effectuez l’une des procédures suivantes pour configurer votre approbation fédérée avec Azure AD, selon que vous devez ajouter un nouveau domaine ou convertir un domaine existant.

  • Ajouter un domaine

  • Convertir un domaine

Ajouter un domaine

  1. Ouvrez le module Microsoft Azure Active Directory.

  2. Exécutez $cred=Get-Credential. Lorsque cette cmdlet vous y invite, entrez vos informations d’identification de compte d’administrateur de service cloud.

  3. Exécutez Connect-MsolService –Credential $cred. Cette applet de commande vous connecte à Azure AD. La création d’un contexte qui vous connecte à Azure AD est nécessaire avant d’exécuter l’une des applets de commande supplémentaires installées par l’outil.

  4. Exécutez Set-MsolAdfscontext -Computer <AD FS primary server>, où <le serveur> principal AD FS est le nom de nom de domaine complet interne du serveur AD FS principal. Cette applet de commande crée un contexte qui vous connecte à AD FS.

    Notes

    Si vous avez installé le module Microsoft Azure Active Directory sur le serveur AD FS principal, vous n’avez pas besoin d’exécuter cette applet de commande.

  5. Exécutez New-MsolFederatedDomain –DomainName <domain>, où <le domaine est le domaine> à ajouter et à activer pour l’authentification unique. Cette cmdlet ajoute un nouveau domaine de niveau supérieur ou un nouveau sous-domaine configuré pour l’authentification fédérée.

    Notes

    Une fois que vous avez utilisé la cmdlet New-MsolFederatedDomain pour ajouter un domaine de niveau supérieur, vous ne pouvez pas utiliser la cmdlet New-MsolDomain pour ajouter des domaines standard (non fédérés).

  6. Sur la base des résultats de la cmdlet New-MsolFederatedDomain, contactez votre bureau d’enregistrement de domaines pour qu’il crée l’enregistrement DNS requis. Cette opération permet de vérifier que vous êtes propriétaire du domaine. Notez que la propagation de cette opération peut prendre jusqu’à 15 minutes selon votre bureau d’enregistrement. La propagation des modifications sur le système peut prendre jusqu’à 72 heures. Pour plus d’informations, consultez Vérifier un domaine dans n’importe quel bureau d’enregistrement de noms de domaine.

  7. Exécutez une nouvelle fois la cmdlet New-MsolFederatedDomain en indiquant le même nom de domaine pour finaliser le processus.

Convertir un domaine

Lorsque vous convertissez un domaine existant en domaine d’authentification unique, chaque utilisateur sous licence deviendra un utilisateur fédéré, en utilisant ses informations d’identification d’entreprise Active Directory existantes (nom d’utilisateur et mot de passe) pour accéder à vos services cloud. L’exécution d’un déploiement intermédiaire de l’authentification unique n’est actuellement pas possible ; Toutefois, vous pouvez piloter l’authentification unique avec un ensemble d’utilisateurs de production à partir de votre forêt Active Directory de production. Pour plus d’informations, consultez Exécuter un pilote pour tester l’authentification unique avant de le configurer (facultatif).

Notes

Il est préférable d’effectuer la conversion lorsque la plupart des utilisateurs sont absents, par exemple le week-end, afin de réduire l’impact de cette opération.

Pour convertir un domaine existant en domaine à authentification unique, procédez comme suit.

  1. Ouvrez le module Microsoft Azure Active Directory.

  2. Exécutez $cred=Get-Credential. Lorsque cette cmdlet vous y invite, entrez vos informations d’identification de compte d’administrateur de service cloud.

  3. Exécutez Connect-MsolService –Credential $cred. Cette applet de commande vous connecte à Azure AD. La création d’un contexte qui vous connecte à Azure AD est nécessaire avant d’exécuter l’une des applets de commande supplémentaires installées par l’outil.

  4. Exécutez Set-MsolAdfscontext -Computer <AD FS primary server>, où <le serveur> principal AD FS est le nom de nom de domaine complet interne du serveur AD FS principal. Cette applet de commande crée un contexte qui vous connecte à AD FS.

    Notes

    Si vous avez installé le module Microsoft Azure Active Directory sur le serveur AD FS principal, vous n’avez pas besoin d’exécuter cette applet de commande.

  5. Exécutez Convert-MsolDomainToFederated –DomainName <domain>, où <le domaine est le domaine> à convertir. Cette cmdlet permet de convertir le domaine à authentification standard en domaine à authentification unique.

Notes

Pour vérifier que la conversion a fonctionné, comparez les paramètres sur le serveur AD FS et dans Azure AD en exécutant Get-MsolFederationProperty –DomainName <domain>, où <le domaine est le domaine> pour lequel vous souhaitez afficher les paramètres. S’ils ne correspondent pas, vous pouvez exécuter Update-MsolFederatedDomain –DomainName <domain> pour les synchroniser.

Étape suivante

Maintenant que vous avez configuré une approbation entre AD FS et Azure AD, vous devez configurer la synchronisation Active Directory. Pour plus d’informations, consultez la feuille de route de synchronisation d’annuaires. Après avoir configuré la synchronisation Active Directory, consultez Vérifier et gérer l’authentification unique avec AD FS.

Voir aussi

Concepts

Liste de vérification : utiliser les services AD FS pour implémenter et gérer l’authentification unique
Feuille de route pour l’authentification unique