Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Une fois que vous avez configuré un ordinateur avec les certificats requis et que vous avez installé le service de rôle Proxy de service de fédération, vous êtes prêt à configurer l’ordinateur pour qu’il devienne un proxy de serveur de fédération. Vous pouvez utiliser la procédure suivante pour que l’ordinateur agisse dans le rôle proxy du serveur de fédération.
Important
Avant d’utiliser cette procédure pour configurer l’ordinateur proxy du serveur de fédération, assurez-vous d’avoir suivi toutes les étapes de la liste de contrôle : Configuration d’un proxy du serveur de fédération dans l’ordre dans lequel elles sont répertoriées. Assurez-vous qu’au moins un serveur de fédération est déployé et que toutes les informations d’identification nécessaires à l’autorisation de la configuration d’un proxy de serveur de fédération sont implémentées. Vous devez également configurer les liaisons SSL (Secure Sockets Layer) sur le site Web par défaut, sinon cet assistant ne démarrera pas. Toutes ces tâches doivent être terminées avant que ce proxy de serveur de fédération puisse fonctionner.
Une fois la configuration de l’ordinateur terminée, vérifiez que le proxy du serveur de fédération fonctionne comme prévu. Pour plus d’informations, consultez Vérifier qu’un proxy de serveur de fédération est opérationnel.
Pour effectuer cette procédure, vous devez au minimum être membre du groupe Administrateurs ou d'un groupe équivalent sur l'ordinateur local. Examinez les informations relatives à l’utilisation des comptes et des appartenances de groupe appropriés dans la page consacrée aux Groupes de domaine et locaux par défaut.
Pour configurer un ordinateur pour le rôle proxy de serveur de fédération
L'Assistant Configuration de serveur de fédération AD FS peut être démarré de deux manières différentes. Pour démarrer l'Assistant, effectuez l'une des opérations suivantes :
Sur l’écran d’accueil , tapezAssistant de configuration du proxy du serveur de fédération AD FS, puis appuyez sur Entrée.
Une fois l’Assistant d’installation terminé, ouvrez l’Explorateur Windows, accédez au dossier C :\Windows\ADFS , puis double-cliquez surFspConfigWizard.exe.
À l’aide de l’une ou l’autre méthode, démarrez l’Assistant et, sur la page d’accueil , cliquez sur Suivant.
Sur la page Spécifier le nom du service de fédération , sous Nom du service de fédération, tapez le nom qui représente le service de fédération pour lequel cet ordinateur agira dans le rôle de proxy.
En fonction de vos besoins spécifiques en matière de réseau, déterminez si vous devez utiliser un serveur proxy HTTP pour transmettre les demandes au service de fédération. Si c’est le cas, activez la case à cocher Utiliser un serveur proxy HTTP lors de l’envoi de demandes à ce service de fédération , sous Adresse du serveur proxy HTTP , tapez l’adresse du serveur proxy, cliquez sur Tester la connexion pour vérifier la connectivité, puis cliquez sur Suivant.
Lorsque vous y êtes invité, spécifiez les informations d’identification nécessaires à l’établissement d’une approbation entre ce proxy de serveur de fédération et le service de fédération.
Par défaut, seul le compte de service utilisé par le service de fédération ou un membre du groupe local BUILTIN\Administrators peut autoriser un proxy de serveur de fédération.
Dans la page Prêt à appliquer les paramètres , passez en revue les détails. Si les paramètres semblent corrects, cliquez sur Suivant pour commencer à configurer cet ordinateur avec ces paramètres de proxy.
Dans la page Résultats de la configuration , passez en revue les résultats. Lorsque toutes les étapes de configuration sont terminées, cliquez sur Fermer pour quitter l’Assistant.
Il n’existe pas de composant logiciel enfichable MMC (Microsoft Management Console) à utiliser pour l’administration des proxys de serveur de fédération. Pour configurer les paramètres de chacun des proxys du serveur de fédération de votre organisation, utilisez les applets de commande Windows PowerShell.
Configuration d’un autre port TCP/IP pour les opérations de proxy
Par défaut, le service proxy du serveur de fédération est configuré pour utiliser le port TCP 443 pour le trafic HTTPS et le port 80 pour le trafic HTTP pour la communication avec le serveur de fédération. Pour configurer différents ports, tels que le port TCP 444 pour HTTPS et le port 81 pour HTTP, les tâches suivantes doivent être effectuées.
Remarque
Si vous avez l’intention de déployer initialement AD FS pour qu’il fonctionne sous d’autres ports TCP/IP, vous devez d’abord modifier les ports de vos liaisons de protocole IIS pour HTTP et HTTPS sur les ordinateurs proxy du serveur de fédération et du serveur de fédération. Cela doit se produire avant d’exécuter les assistants de configuration AD FS pour la configuration initiale. Si vous configurez d’abord Internet Information Services (IIS), vos autres paramètres de port TCP/IP sont découverts lors de la configuration basée sur l’Assistant dans AD FS, et la procédure suivante n’est pas nécessaire. Si vous souhaitez modifier les paramètres de port ultérieurement, mettez d’abord à jour les liaisons de protocole IIS, puis utilisez la procédure suivante pour mettre à jour les paramètres de port de manière appropriée. Pour plus d’informations sur la modification des liaisons IIS, consultez l’article 149605 dans la Base de connaissances Microsoft.
Pour configurer d’autres ports TCP/IP pour le proxy du serveur de fédération à utiliser
Configurez le serveur de fédération pour qu’il utilise les ports autres que ceux par défaut.
Pour ce faire, spécifiez le numéro de port autre que celui par défaut en l’incluant avec les options HttpsPort et HttpPort dans le cadre de l’applet de commande Set-ADFSProperties . Par exemple, pour configurer ces ports, utilisez les commandes suivantes dans la session Windows PowerShell sur l’ordinateur du serveur de fédération :
Set-ADFSProperties -HttpsPort 444 Set-ADFSProperties -HttpPort 81Configurez le proxy du serveur de fédération pour qu’il utilise le port autre que celui par défaut.
Pour ce faire, spécifiez le numéro de port autre que celui par défaut en l’incluant avec les options HttpsPort et HttpPort dans le cadre de l’applet de commande Set-ADFSProxyProperties . Par exemple, pour configurer ces ports, utilisez les commandes suivantes dans la session Windows PowerShell sur l’ordinateur du serveur de fédération :
Set-ADFSProxyProperties -HttpsPort 444 Set-ADFSProxyProperties -HttpPort 81Remarque
Les URL de point de terminaison ne sont pas activées par défaut pour le service proxy du serveur de fédération. Si vous configurez l’installation d’un nouveau serveur de fédération, vous devez d’abord activer les points de terminaison du service proxy du serveur de fédération. Par exemple, il est supposé que pour tous les points de terminaison auxquels l’exemple de cette procédure fait référence, vous les avez activés pour le proxy en les sélectionnant dans le composant logiciel enfichable Gestion AD FS, puis en sélectionnant Activer sur le proxy.
Mettez à jour l’installation IIS au niveau du proxy du serveur de fédération afin que le langage SAML (Security Assertion Markup Language) et les points de terminaison WS-Trust soient configurés pour refléter le numéro de port mis à jour. Pour ce faire, vous pouvez utiliser le Bloc-notes pour modifier ce qui suit dans le fichier Web.config, qui se trouve dans systemdrive%\inetpub\adfs\ls\ sur l’ordinateur proxy du serveur de fédération. Par exemple, en supposant que vous disposez d’un serveur de fédération nommé sts1.contoso.com et que le nouveau numéro de port est 444, recherchez et ouvrez le fichier Web.config dans le Bloc-notes sur l’ordinateur proxy du serveur de fédération, recherchez la section suivante, modifiez le numéro de port comme indiqué ci-dessous, puis enregistrez et quittez le Bloc-notes.
<securityTokenService samlProtocolEndpoint="https://sts1.contoso.com:444/adfs/services/trust/samlprotocol/proxycertificatetransport" wsTrustEndpoint="https://sts1.contoso.com:444/adfs/services/trust/proxycertificatetransport" />Ajoutez le compte d’utilisateur du service proxy du serveur de fédération à la liste de contrôle d’accès (ACL) pour les URL de point de terminaison associées. Par exemple, si le numéro de port est 1234 et que le compte d’utilisateur utilisé pour exécuter le service proxy du serveur AD FSfederation est le compte de service réseau intégré, tapez la commande suivante à l’invite de commandes :
netsh http add urlacl https://+:444/adfs/fs/federationserverservice.asmx/ user="NT Authority\Network Service" netsh http add urlacl https://+:444/FederationMetadata/2007-06/ user="NT Authority\Network Service" netsh http add urlacl https://+:444/adfs/services/ user="NT Authority\Network Service" netsh http add urlacl http://+:81/adfs/services/ user="NT Authority\Network Service"Les commandes précédentes doivent être exécutées à la fois sur le serveur de fédération et sur les ordinateurs proxy du serveur de fédération.
Références supplémentaires
Liste de contrôle : configuration d’un proxy de serveur de fédération