Configurer un ordinateur pour le rôle de serveur proxy de fédération
Après avoir configuré un ordinateur avec les certificats requis et installé le service de rôle proxy FSP (Federation Service Proxy), vous êtes prêt à configurer l'ordinateur en tant que serveur proxy de fédération. Vous pouvez utiliser la procédure suivante pour que l’ordinateur tienne le rôle de serveur proxy de fédération.
Important
Avant de suivre cette procédure pour configurer le serveur proxy de fédération, vérifiez que vous avez suivi toutes les étapes de Liste de vérification : Configuration d’un serveur proxy de fédération dans l’ordre dans lequel elles sont indiquées. Veillez à ce qu’au moins un serveur de fédération soit déployé et que toutes les informations d’identification nécessaires pour autoriser la configuration d’un serveur proxy de fédération sont implémentées. Vous devez également configurer les liaisons SSL (Secure Sockets Layer) sur le site web par défaut. Sinon, cet Assistant ne démarrera pas. Toutes ces tâches doivent être exécutées avant que le serveur proxy de fédération ne puisse fonctionner.
Quand vous avez fini de configurer l’ordinateur, vérifiez que le serveur proxy de fédération fonctionne comme prévu. Pour plus d'informations, voir Vérifier qu'un serveur proxy de fédération est opérationnel.
Pour effectuer cette procédure, vous devez au minimum être membre du groupe Administrateurs ou d'un groupe équivalent sur l'ordinateur local. Examinez les informations relatives à l’utilisation des comptes et des appartenances de groupe appropriés dans la page consacrée aux Groupes de domaine et locaux par défaut.
Pour configurer un ordinateur pour le rôle de serveur proxy de fédération
L'Assistant Configuration de serveur de fédération AD FS peut être démarré de deux manières différentes. Pour démarrer l'Assistant, effectuez l'une des opérations suivantes :
Dans l'écran Démarrer, tapez Assistant Configuration de serveur proxy de fédération AD FS, puis appuyez sur ENTRÉE.
Une fois l'Assistant de configuration terminé, ouvrez l'Explorateur Windows, accédez au dossier C:\Windows\ADFS et double-cliquez sur FspConfigWizard.exe.
Quelle que soit la méthode utilisée, démarrez l'Assistant puis, dans la page de Bienvenue, cliquez sur Suivant.
Dans la page Spécifier le nom du service de fédération, sous Nom du service de fédération, tapez le nom du service de fédération pour lequel cet ordinateur jouera le rôle de proxy.
En fonction de la configuration requise pour votre réseau, déterminez si vous avez besoin d'un serveur proxy HTTP pour transférer les requêtes au service de fédération. Le cas échéant, cochez la case Utiliser un proxy serveur HTTP lors de l'envoi de demandes à ce service de fédération, tapez l'adresse du serveur proxy sous Adresse HTTP du serveur proxy, cliquez sur Tester la connexion pour vérifier la connectivité, puis cliquez sur Suivant.
Lorsque vous y êtes invité, entrez les informations d'identification nécessaires pour établir une relation d'approbation entre ce serveur proxy de fédération et le service de fédération.
Par défaut, seul le compte de service utilisé par le service de fédération ou par un membre du groupe BUILTIN\Administrateurs local peut autoriser un serveur proxy de fédération.
Passez en revue les détails dans la page Prêt à appliquer les paramètres. Si les paramètres semblent corrects, cliquez sur Suivant afin de les utiliser pour configurer cet ordinateur.
Dans la page Résultats de la configuration, passez en revue les résultats. Une fois toutes les étapes de configuration effectuées, cliquez sur Fermer pour quitter l'Assistant.
Vous ne pouvez pas utiliser de composant logiciel enfichable de la console MMC (Microsoft Management Console) pour gérer les serveurs proxy de fédération. Utilisez les applets de commande Windows PowerShell pour configurer les paramètres de chaque serveur proxy de fédération de votre organisation.
Configuration d'un autre port TCP/IP pour les opérations de proxy
Par défaut, le service de serveur proxy de fédération est configuré pour utiliser le port TCP 443 pour le trafic HTTPS et le port 80 pour le trafic HTTP pour la communication avec le serveur de fédération. Pour configurer des ports différents, par exemple le port TCP 444 pour le trafic HTTPS et le port 81 pour le trafic HTTP, effectuez les tâches décrites ci-dessous.
Notes
Si vous envisagez de déployer initialement AD FS pour qu'il utilise d'autres ports TCP/IP, vous devez d'abord modifier les ports dans vos liaisons de protocole IIS pour HTTP et HTTPS sur les ordinateurs du serveur de fédération et ceux du serveur proxy de fédération. Effectuez cette opération avant de lancer les assistants de configuration AD FS pour la configuration initiale. Si vous commencez par la configuration des services IIS (Internet Information Services), les paramètres définis pour les autres ports TCP/IP sont découverts lors du processus de configuration de AD FS à l'aide de l'Assistant. Dans ce cas, vous n'avez pas besoin d'effectuer la procédure suivante. Si vous voulez modifier les paramètres de port définis initialement, mettez d'abord à jour les liaisons de protocole IIS, puis suivez la procédure ci-dessous pour mettre à jour les paramètres de port de façon appropriée. Pour plus d’informations sur la modification des liaisons IIS, voir l’article 149605 de la Base de connaissances Microsoft.
Pour configurer d'autres ports TCP/IP à utiliser par le serveur proxy de fédération
Configurez le serveur de fédération pour qu'il utilise d'autres ports que ceux prévus par défaut.
Pour cela, spécifiez le numéro du port spécifique en l'ajoutant aux options HttpsPort et HttpPort de l'applet de commande Set-ADFSProperties. Par exemple, pour configurer ces ports, exécutez les commandes suivantes sur la session Windows PowerShell de l’ordinateur du serveur de fédération :
Set-ADFSProperties -HttpsPort 444 Set-ADFSProperties -HttpPort 81Configurez le serveur proxy de fédération pour qu'il utilise d'autres ports que ceux prévus par défaut.
Pour cela, spécifiez le numéro du port spécifique en l'ajoutant aux options HttpsPort et HttpPort de l'applet de commande Set-ADFSProperties. Par exemple, pour configurer ces ports, exécutez les commandes suivantes sur la session Windows PowerShell de l’ordinateur du serveur de fédération :
Set-ADFSProxyProperties -HttpsPort 444 Set-ADFSProxyProperties -HttpPort 81Remarque
Les URL de point de terminaison ne sont pas activées par défaut pour le service du serveur proxy de fédération. Si vous configurez une nouvelle installation de serveur de fédération, vous devez d’abord activer les points de terminaison de service du serveur proxy de fédération. Cet exemple de procédure suppose que vous avez activé sur le proxy tous les points de terminaison référencés en les sélectionnant dans le composant logiciel enfichable Gestion AD FS, puis en cliquant sur Activer sur le proxy.
Mettez à jour l'installation des services IIS sur le serveur proxy de fédération afin que les points de terminaison SAML (Security Assertion Markup Language) et WS-Trust soient configurés avec le nouveau numéro de port. Pour cela, vous pouvez utiliser le Bloc-notes pour modifier le code suivant dans le fichier Web.config, situé dans le dossier systemdrive%\inetpub\adfs\ls\ sur l’ordinateur du serveur proxy de fédération. Supposons, par exemple, que votre serveur de fédération s'appelle sts1.contoso.com et qu'il doit utiliser le nouveau numéro de port 444. Accédez au fichier Web.config et ouvrez-le dans le Bloc-notes sur le serveur proxy de fédération, accédez à la section suivante, modifiez le numéro de port comme indiqué ci-dessous, puis enregistrez le fichier et fermez le Bloc-notes.
<securityTokenService samlProtocolEndpoint="https://sts1.contoso.com:444/adfs/services/trust/samlprotocol/proxycertificatetransport" wsTrustEndpoint="https://sts1.contoso.com:444/adfs/services/trust/proxycertificatetransport" />Ajoutez le compte d'utilisateur du service du serveur proxy de fédération à la liste de contrôle d'accès (ACL) pour les URL de point de terminaison associées. Par exemple, si le numéro de port est 1234 et que le compte d'utilisateur sous lequel est exécuté le service du serveur proxy de fédération de AD FS est le compte intégré de service réseau, tapez la commande suivante à une invite de commandes :
netsh http add urlacl https://+:444/adfs/fs/federationserverservice.asmx/ user="NT Authority\Network Service" netsh http add urlacl https://+:444/FederationMetadata/2007-06/ user="NT Authority\Network Service" netsh http add urlacl https://+:444/adfs/services/ user="NT Authority\Network Service" netsh http add urlacl http://+:81/adfs/services/ user="NT Authority\Network Service"Les commandes précédentes doivent être exécutées sur le serveur de fédération et sur les ordinateurs du serveur proxy de fédération.