Configurer un serveur de fédération

Après avoir installé le service de rôle AD FS (Active Directory Federation Service) sur l’ordinateur, vous êtes prêt à configurer cet ordinateur pour qu’il devienne un serveur de fédération. Vous pouvez effectuer l’une des actions suivantes :

• Configurer le premier serveur de fédération dans une nouvelle batterie de serveurs de fédération

• Ajouter un serveur de fédération à une batterie de serveurs de fédération existante

Configurer le premier serveur de fédération dans une nouvelle batterie de serveurs de fédération

Pour configurer le premier serveur de fédération dans une nouvelle batterie de serveurs de fédération à l’aide de l’Assistant Configuration des services AD FS (Active Directory Federation Services)

Remarque

Assurez-vous que vous disposez d’autorisations d’administrateur de domaine ou d’informations d’identification d’administrateur de domaine avant d’effectuer cette procédure.

1. Dans la page Tableau de bord du Gestionnaire de serveur, cliquez sur le drapeau Notifications, puis sur Configurer le service FS (Federation Service) sur le serveur.

   L'Assistant Configuration des services AD FS (Active Directory Federation Services) s'ouvre.

2. Dans la page Bienvenue, sélectionnez Créer le premier serveur de fédération dans une batterie de serveurs de fédération, puis cliquez sur Suivant.

3. Dans la page Connexion à AD DS, spécifiez un compte avec des autorisations d’administrateur de domaine pour le domaine Active Directory (AD) auquel cet ordinateur est joint, puis cliquez sur Suivant.

4. Dans la page Spécifier les propriétés de service, effectuez la procédure suivante, puis cliquez sur Suivant :

   • Importez le fichier .pfx qui contient le certificat et la clé SSL (Secure Socket Layer) que vous avez obtenus précédemment. À l’Étape 2 : Inscrire un certificat SSL pour AD FS, vous avez obtenu ce certificat et l’avez copié sur l’ordinateur que vous souhaitez configurer en tant que serveur de fédération. Pour importer le fichier .pfx via l’Assistant, cliquez sur Importer puis accédez à l’emplacement du fichier. Entrez le mot de passe du fichier .pfx quand vous y êtes invité.

   • Indiquez le nom de votre service FS (Federation Service). Exemple : fs.contoso.com. Ce nom doit correspondre à l'un des noms d'objets ou autres noms d'objets du certificat.

   • Indiquez le nom d'affichage de votre service FS (Federation Service). Exemple : Contoso Corporation. Les utilisateurs voient ce nom sur la page de connexion Active Directory Federation Services (AD FS).

5. Dans la page Spécifier un compte de service, indiquez un compte de service. Vous pouvez soit créer ou utiliser un compte de service administré de groupe (gMSA) existant, soit utiliser un compte d'utilisateur de domaine existant. Si vous sélectionnez l’option qui permet de créer un compte de service administré de groupe, indiquez le nom du nouveau compte. Si vous sélectionnez l’option qui permet d’utiliser un compte de service administré de groupe ou un compte de domaine existant, sélectionnez le bouton Sélectionner pour sélectionner un compte.

   Notes

   L’avantage lié à l’utilisation d’un compte de service administré de groupe est sa fonctionnalité de mise à jour de mot de passe avec négociation automatique.

   Avertissement

   Si vous souhaitez utiliser un compte de service administré de groupe, vous devez disposer d’au moins un contrôleur de domaine qui exécute le système d’exploitation Windows Server 2012 dans votre environnement.

   Si l’option relative au compte de service administré de groupe est désactivée et si vous voyez un message d’erreur indiquant que les comptes de service administrés de groupe ne sont pas disponibles, car la clé racine du service de distribution de clés n’a pas été définie, activez le compte de service administré de groupe dans votre domaine en exécutant la commande Windows PowerShell suivante sur un contrôleur de domaine Windows Server 2012 (ou version ultérieure) dans votre domaine Active Directory : Add-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10) Revenez ensuite à l’assistant, cliquez sur Précédent, puis sur Suivant pour entrer à nouveau dans la page Spécifier le compte de service. L’option gMSA devrait maintenant être activée. Vous pouvez la sélectionner et entrer un nom de compte gMSA que vous souhaitez utiliser.

6. Dans la page Spécifier une base de données de configuration, spécifiez une base de données de configuration AD FS, puis cliquez sur Suivant. Vous pouvez soit créer une base de données sur cet ordinateur à l’aide de la base de données interne Windows (WID), soit spécifier l’emplacement et le nom de l’instance Microsoft SQL Server.

   Pour plus d’informations, consultez l’article The Role of the AD FS Configuration Database (Rôle de la base de données de configuration AD FS).

   Important

   Si vous voulez créer une batterie AD FS et utiliser SQL Server pour stocker vos données de configuration, vous pouvez utiliser SQL Server 2008 et versions plus récentes, notamment SQL Server 2012 et SQL Server 2014.

7. Dans la page Examiner les options, vérifiez les choix que vous avez effectués pour la configuration, puis cliquez sur Suivant.

8. Dans la page Vérifications des conditions préalables, assurez-vous que toutes les vérifications des conditions préalables ont été correctement effectuées, puis cliquez sur Configurer.

9. Dans la page Résultats, passez en revue les résultats, vérifiez si la configuration s’est déroulée correctement, puis cliquez sur Étapes ultérieures requises pour le déploiement de votre service FS (Federation Service). Pour plus d’informations, consultez Étapes suivantes pour l’installation d’AD FS. Cliquez sur Fermer pour quitter l’Assistant.

Pour configurer le premier serveur de fédération dans une nouvelle batterie de serveurs de fédération via Windows PowerShell

Vous pouvez créer une batterie de serveurs de fédération en utilisant un compte de service administré de groupe (nouveau ou existant) ou un compte d’utilisateur de domaine existant.

• Si vous souhaitez créer un serveur de fédération à l’aide d’un nouveau compte de service administré de groupe, procédez comme suit :

  Important

  Vous devez avoir des autorisations d'administrateur de domaine pour créer le premier serveur de fédération dans une nouvelle batterie de serveurs de fédération.

  1. Sur l’ordinateur que vous souhaitez configurer comme serveur de fédération, vérifiez que le certificat SSL requis a été importé dans Ordinateur local\Mon magasin. Vous pouvez vérifier si le certificat SSL a été importé en exécutant la commande suivante dans la fenêtre de commande Windows PowerShell : dir Cert:\LocalMachine\My Le certificat est répertorié selon son empreinte numérique dans le répertoire Ordinateur local\Mon magasin.

  2. Sur votre contrôleur de domaine, ouvrez la fenêtre de commande Windows PowerShell et exécutez la commande suivante pour vérifier si la clé racine du service de distribution de clés a été créée dans votre domaine : Get-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10) Si elle n’a pas été créée et qu’aucune information ne s’affiche en sortie, exécutez la commande suivante pour créer la clé : Add-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10).

  3. Sur l'ordinateur à configurer en tant que serveur de fédération, ouvrez la fenêtre de commande Windows PowerShell et exécutez la commande suivante :

     Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -GroupServiceAccountIdentifier <domain>\<GMSA_Name>$
     

     Avertissement

     Le signe $ à la fin de la commande précédente est nécessaire.

     Pour obtenir la valeur de <certificate_thumbprint>, exécutez dir Cert:\LocalMachine\My, puis sélectionnez l’empreinte de votre certificat SSL. La valeur de <federation_service_name> correspond au nom de votre service FS (Federation Service), par exemple, fs.contoso.com.

     Remarque

     Si vous n’exécutez PAS cette commande pour la première fois, ajoutez le paramètre OverwriteConfiguration.

     Notes

     La commande précédente crée une batterie WID. Si vous souhaitez créer une batterie de serveurs SQL Server, une instance SQL Server doit être déjà installée et opérationnelle.

     Vous pouvez utiliser la commande suivante pour créer le premier serveur de fédération dans une nouvelle batterie de serveurs qui utilise une instance SQL Server : Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -GroupServiceAccountIdentifier <domain>\<GMSA_name>$ -SQLConnectionString "Data Source=<SQL_Host_Name?\<SQL_instance_ name>;Integrated Security=True" où <SQL_Host_Name> est le nom du serveur sur lequel s’exécute SQL Server et <SQL_instance_name> est le nom de l’instance SQL Server. Si vous utilisez l’instance SQL Server par défaut, utilisez la valeur SQLConnectionString de "Data Source=<SQL_Host_Name>;Integrated Security=True".

     Important

     Si vous voulez créer une batterie AD FS et utiliser SQL Server pour stocker vos données de configuration, vous pouvez utiliser SQL Server 2008 et versions plus récentes, notamment SQL Server 2012.

• Si vous souhaitez créer un serveur de fédération à l’aide d’un compte d’utilisateur de domaine existant, procédez comme suit :

  1. Sur l’ordinateur que vous souhaitez configurer comme serveur de fédération, vérifiez que le certificat SSL requis a été importé dans Ordinateur local\Mon magasin. Vous pouvez vérifier si le certificat SSL a été importé en exécutant la commande suivante dans la fenêtre de commande Windows PowerShell : dir Cert:\LocalMachine\My Le certificat est répertorié selon son empreinte numérique dans le répertoire Ordinateur local\Mon magasin.

  2. Sur l’ordinateur que vous souhaitez configurer en tant que serveur de fédération, ouvrez la fenêtre de commande Windows PowerShell, puis exécutez la commande suivante : $fscred = Get-Credential. Entrez les informations d’identification du compte d’utilisateur de domaine que vous souhaitez utiliser pour le compte de service FS (Federation Service) au format domaine\nom_utilisateur.

  3. Dans la même fenêtre de commande Windows PowerShell, exécutez la commande suivante :

     Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -ServiceAccountCredential $fscred
     

     Pour obtenir la valeur de <certificate_thumbprint>, exécutez dir Cert:\LocalMachine\My, puis sélectionnez l’empreinte de votre certificat SSL. La valeur de <federation_service_name> correspond au nom de votre service FS (Federation Service), par exemple, fs.contoso.com.

     Notes

     Si vous n’exécutez PAS cette commande pour la première fois, ajoutez le paramètre OverwriteConfiguration.

     Notes

     La commande précédente crée une batterie WID. Si vous souhaitez créer une batterie SQL Server, l’instance SQL Server doit être déjà installé et opérationnel.

     Vous pouvez utiliser la commande suivante pour créer le premier serveur de fédération dans une nouvelle batterie de serveurs qui utilise une instance SQL Server : Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -ServiceAccountCredential $fscredential -SQLConnectionString "Data Source=<SQL_Host_Name>\<SQL_instance_ name>;Integrated Security=True" où SQL_Host_Name est le nom du serveur sur lequel s’exécute SQL Server et SQL_instance_name est le nom de l’instance SQL Server. Si vous utilisez l’instance SQL Server par défaut, utilisez la valeur SQLConnectionString de "Data Source=<SQL_Host_Name>;Integrated Security=True".

     Important

     Si vous voulez créer une batterie AD FS et utiliser SQL Server pour stocker vos données de configuration, vous pouvez utiliser SQL Server 2008 et versions plus récentes, notamment SQL Server 2012 et SQL Server 2014.

Ajouter un serveur de fédération à une batterie de serveurs de fédération existante

Important

Vérifiez que vous avez terminé l’Étape 3 : Installer le service de rôle AD FS avant de commencer les procédures de cette section.

Important

Assurez-vous que vous avez obtenu un certificat d’authentification de serveur SSL valide avant d’effectuer cette procédure.

Pour ajouter un serveur de fédération à une batterie de serveurs de fédération existante via l'Assistant Configuration des services AD FS (Active Directory Federation Services)

1. Dans la page Tableau de bord du Gestionnaire de serveur, cliquez sur le drapeau Notifications, puis sur Configurer le service FS (Federation Service) sur le serveur.

   L'Assistant Configuration des services AD FS (Active Directory Federation Services) s'ouvre.

2. Dans la page Bienvenue, sélectionnez Ajouter un serveur de fédération à une batterie de serveurs de fédération, puis cliquez sur Suivant.

3. Dans la page Connexion à AD DS, spécifiez un compte avec des autorisations d’administrateur de domaine pour le domaine AD auquel cet ordinateur est joint, puis cliquez sur Suivant.

4. Dans la page Spécifier une batterie de serveurs, indiquez le nom du serveur de fédération principal d’une batterie qui utilise la base de données interne Windows (WID), ou spécifiez le nom d’hôte de base de données et le nom d’instance de base de données d’une batterie de serveurs de fédération existante qui utilise SQL Server.

   Avertissement

   Dans Windows Server® 2012 R2, il existe une solution de contournement pour spécifier l’instance par défaut de SQL Server. Elle consiste à ne pas utiliser l'interface utilisateur. Au lieu de cela, suivez les étapes de Pour configurer le premier serveur de fédération dans une nouvelle batterie de serveurs de fédération via Windows PowerShell.

   Important

   Si vous voulez créer une batterie AD FS et utiliser SQL Server pour stocker vos données de configuration, vous pouvez utiliser SQL Server 2008 et versions plus récentes, notamment SQL Server 2012.

5. Dans la page Spécifier le certificat SSL, importez le fichier .pfx contenant le certificat et la clé SSL que vous avez obtenus plus tôt. Ce certificat est le certificat d'authentification de service requis. À l’Étape 2 : Inscrire un certificat SSL pour AD FS, vous avez obtenu ce certificat et l’avez copié sur l’ordinateur que vous souhaitez configurer en tant que serveur de fédération. Pour importer le fichier .pfx via l’Assistant, cliquez sur Importer et accédez à l’emplacement du fichier. Entrez le mot de passe du fichier .pfx quand vous y êtes invité.

6. Dans la page Spécifier un compte de service, spécifiez le même compte de service que celui que vous avez configuré quand vous avez créé le premier serveur de fédération de la batterie. Vous pouvez soit utiliser un compte de service administré de groupe existant, soit utiliser un compte d'utilisateur de domaine existant.

   Important

   Le compte que vous spécifiez doit être le même que le compte utilisé sur le serveur de fédération principal de cette batterie.

7. Dans la page Examiner les options, vérifiez les choix que vous avez effectués pour la configuration, puis cliquez sur Suivant.

8. Dans la page Vérifications des conditions préalables, assurez-vous que toutes les vérifications des conditions préalables ont été correctement effectuées, puis cliquez sur Configurer.

9. Dans la page Résultats, passez en revue les résultats, vérifiez si la configuration s’est déroulée correctement, puis cliquez sur Étapes ultérieures requises pour le déploiement de votre service FS (Federation Service). Pour plus d’informations, consultez Étapes suivantes pour l’installation d’AD FS. Cliquez sur Fermer pour quitter l’Assistant.

Pour ajouter un serveur de fédération à une batterie de serveurs de fédération existante via Windows PowerShell

Vous pouvez ajouter un serveur de fédération à une batterie existante en utilisant un compte de service administré de groupe ou un compte d’utilisateur de domaine existant.

• Si vous souhaitez joindre un serveur de fédération à une batterie à l’aide d’un compte de service administré de groupe existant, procédez comme suit :

  1. Sur l’ordinateur que vous souhaitez configurer comme serveur de fédération, vérifiez que le certificat SSL requis a été importé dans Ordinateur local\Mon magasin. Vous pouvez vérifier si le certificat SSL a été importé en exécutant la commande suivante dans la fenêtre de commande Windows PowerShell : dir Cert:\LocalMachine\My Le certificat est répertorié selon son empreinte numérique dans le répertoire Ordinateur local\Mon magasin.

  2. Sur l’ordinateur que vous souhaitez configurer en tant que serveur de fédération, ouvrez la fenêtre de commande Windows PowerShell et exécutez la commande suivante.

     Add-AdfsFarmNode -GroupServiceAccountIdentifier <domain>\<GMSA_name>$ -PrimaryComputerName <first_federation_server_hostname> -CertificateThumbprint <certificate_thumbprint>
     

     <domain>\<GMSA_name> est votre domaine AD et le nom de votre compte gMSA dans ce domaine. <first_federation_server_hostname> est le nom d’hôte du serveur de fédération principal dans cette batterie de serveurs existante.

     Vous pouvez obtenir la valeur de <certificate_thumbprint> en exécutant dir Cert:\LocalMachine\My à l’étape précédente.

     Remarque

     Si vous n’exécutez PAS cette commande pour la première fois, ajoutez le paramètre OverwriteConfiguration.

     Notes

     La commande précédente crée un nœud de batterie WID. Si vous souhaitez créer un nœud de batterie de serveurs d’ordinateurs exécutant SQL Server, l’instance SQL Server doit être déjà installé et opérationnel.

     Vous pouvez utiliser la commande suivante pour ajouter un serveur de fédération à une batterie de serveurs existante à l’aide d’une instance SQL Server : Add-AdfsFarmNode -GroupServiceAccountIdentifier <domain>\<GMSA_name>$ -SQLConnectionString "Data Source=<SQL_Host_Name>\<SQL_instance_ name>;Integrated Security=True" où SQL_Host_Name est le nom du serveur sur lequel s’exécute SQL Server et SQL_instance_name est le nom de l’instance SQL Server. Si vous utilisez l’instance SQL Server par défaut, utilisez la valeur SQLConnectionString de "Data Source=<SQL_Host_Name>;Integrated Security=True".

     Important

     Si vous voulez créer une batterie AD FS et utiliser SQL Server pour stocker vos données de configuration, vous pouvez utiliser SQL Server 2008 et versions plus récentes, notamment SQL Server 2012 et SQL Server 2014.

• Si vous souhaitez joindre un serveur de fédération à une batterie à l’aide d’un compte d’utilisateur de domaine existant, procédez comme suit :

  1. Sur l’ordinateur que vous souhaitez configurer en tant que serveur de fédération, ouvrez la fenêtre de commande Windows PowerShell, puis exécutez la commande suivante : $fscred = get-credential. Entrez les informations d’identification du compte d’utilisateur de domaine que vous souhaitez utiliser pour le compte de service FS (Federation Service) au format domaine\nom_utilisateur.

  2. Sur l’ordinateur que vous souhaitez configurer comme serveur de fédération, vérifiez que le certificat SSL requis a été importé dans Ordinateur local\Mon magasin. Vous pouvez vérifier si le certificat SSL a été importé en exécutant la commande suivante dans la fenêtre de commande Windows PowerShell : dir Cert:\LocalMachine\My. Le certificat est répertorié selon son empreinte numérique dans le répertoire Ordinateur local\Mon magasin.

  3. Dans la même fenêtre de commande Windows PowerShell, exécutez la commande suivante.

     Add-AdfsFarmNode -ServiceAccountCredential $fscred -PrimaryComputerName <first_federation_server_hostname> -CertificateThumbprint <certificate_thumbprint>
     

     Remarque

     Si vous n’exécutez PAS cette commande pour la première fois, ajoutez le paramètre OverwriteConfiguration.

     Notes

     La commande précédente crée un nœud de batterie WID. Si vous souhaitez créer un nœud de batterie de serveurs d’ordinateurs exécutant SQL Server, l’instance SQL Server doit être déjà installé et opérationnel. Vous pouvez utiliser la commande suivante pour ajouter un serveur de fédération à une batterie de serveurs existante à l’aide d’une instance SQL Server : Add-AdfsFarmNode -ServiceAccountCredential $fscred -SQLConnectionString "Data Source=<SQL_Host_Name>\<SQL_instance_ name>;Integrated Security=True" où SQL_Host_Name est le nom du serveur sur lequel s’exécute l’instance de SQL Server et SQL_instance_name est le nom de l’instance SQL Server. Si vous utilisez l’instance SQL Server par défaut, utilisez la valeur SQLConnectionString de "Data Source=<SQL_Host_Name>;Integrated Security=True".

     Important

     Si vous voulez créer une batterie AD FS et utiliser SQL Server pour stocker vos données de configuration, vous pouvez utiliser SQL Server 2008 et versions plus récentes, notamment SQL Server 2012 et SQL Server 2014.

Voir aussi

Déploiement d’AD FS

Guide de déploiement des services AD FS Windows Server 2012 R2

Déploiement d’une batterie de serveurs de fédération