Déployer les services de fédération Active Directory dans Azure

  • Article

Les services AD FS (Active Directory Federation Services) fournissent des fonctionnalités d’authentification unique via le Web et de fédération des identités simplifiées et sécurisées. La fédération avec Microsoft Entra ID ou Microsoft 365 permet aux utilisateurs de s'authentifier à l'aide d'informations d'identification locales et d'accéder à toutes les ressources cloud. Par conséquent, il est important de disposer d’une infrastructure AD FS hautement disponible pour garantir l’accès aux ressources locales et dans le cloud.

Le déploiement d’AD FS dans Azure peut contribuer à bénéficier d’une haute disponibilité avec un minimum d’efforts. Le déploiement d’AD FS dans Azure présente plusieurs avantages :

  • Haute disponibilité : avec la puissance des groupes à haute disponibilité Azure, vous garantissez une infrastructure hautement disponible.
  • Simplicité de mise à l’échelle : besoin de meilleures performances ? Migrez facilement vers des machines plus puissantes avec seulement quelques sélections dans Azure.
  • Redondance intergéographique – Avec la géoredondance Azure, vous pouvez être assuré que votre infrastructure est hautement disponible dans le monde entier.
  • Facile à gérer – Avec des options de gestion hautement simplifiées dans le portail Azure, la gestion de votre infrastructure est facile et sans soucis.

Principes de conception

Ce diagramme montre la topologie de base recommandée pour commencer à déployer votre infrastructure AD FS dans Azure.

Screenshot of deployment design.

Voici les principes qui sous-tendent les différents composants de la topologie :

  • Serveurs DC/AD FS: si vous avez moins de 1 000 utilisateurs, vous pouvez installer le rôle AD FS sur vos contrôleurs de domaine (DCS). Si vous ne souhaitez aucun effet sur les contrôleurs de domaine, ou si vous avez plus de 1 000 utilisateurs, déployez AD FS sur des serveurs distincts.
  • Serveur WAP – Il est nécessaire de déployer des serveurs proxy d’application web afin que les utilisateurs puissent accéder à AD FS lorsqu’ils ne se trouvent pas sur le réseau d’entreprise.
  • DMZ : les serveurs proxy d’application web sont placés dans la zone DMZ et seul l’accès TCP/443 est autorisé entre la zone DMZ et le sous-réseau interne.
  • Équilibreurs de charge: pour garantir la haute disponibilité des serveurs proxy d’applications web et AD FS, nous vous recommandons d’utiliser un équilibreur de charge interne pour les serveurs AD FS et Azure Load Balancer pour les serveurs proxy d’application web.
  • Groupes à haute disponibilité: pour fournir une redondance à votre déploiement AD FS, nous vous recommandons de regrouper deux machines virtuelles ou plus dans un groupe à haute disponibilité pour des charges de travail similaires. Cette configuration garantit qu’au cours d’un événement de maintenance planifié ou non planifié, au moins une machine virtuelle est disponible.
  • Comptes de stockage: nous vous recommandons d’avoir deux comptes de stockage. L’utilisation d’un compte de stockage unique peut entraîner la création d’un point de défaillance unique. Si vous n’avez qu’un seul compte de stockage, le déploiement peut devenir indisponible dans l’événement peu probable où le compte de stockage échoue. Deux comptes de stockage permettent d’associer un compte de stockage pour chaque ligne d’erreur.
  • Séparation des réseaux : les serveurs Web Application Proxy doivent être déployés sur un réseau DMZ distinct. Vous pouvez diviser un réseau virtuel en deux sous-réseaux, puis déployer les serveurs proxy d’application web dans un sous-réseau isolé. Vous pouvez configurer les paramètres du groupe de sécurité réseau pour chaque sous-réseau et autoriser uniquement les communications requises entre les deux sous-réseaux. Vous trouverez plus de détails conformément au scénario de déploiement suivant.

Procédure de déploiement d’AD FS dans Azure

Cette section décrit les étapes de déploiement d’une infrastructure AD FS dans Azure.

Déployer le réseau

Comme indiqué précédemment, vous pouvez créer deux sous-réseaux dans un seul réseau virtuel ou créer deux réseaux virtuels différents. Cet article se concentre sur le déploiement d’un seul réseau virtuel et sa division en deux sous-réseaux. Cette approche est actuellement plus facile, car deux réseaux virtuels distincts nécessitent un réseau virtuel pour la passerelle de réseau virtuel pour les communications.

Créer un réseau virtuel

  1. Connectez-vous au portail Azure avec votre compte Azure.

  2. Dans le portail, recherchez et sélectionnez Réseaux virtuels.

  3. Dans la page Réseaux virtuels, sélectionnez Créer.

  4. Dans Créer un réseau virtuel, entrez ou sélectionnez les informations suivantes sous l’onglet Général :

    Paramètre Valeur
    Détails du projet
    Abonnement Sélectionnez votre abonnement.
    Groupe de ressources Sélectionnez votre groupe de ressources. Vous pouvez également sélectionner Créer un nouveau pour en créer une.
    Détails de l’instance
    Nom du réseau virtuel Entrez un nom pour votre réseau virtuel.
    Région Choisissez une région.

  5. Sélectionnez Suivant. Screenshot showing the basics tab for the Create virtual network page.

  6. Sous l’onglet Sécurité , activez n’importe quel service de sécurité souhaité et sélectionnez suivant.

  7. Sous l’onglet adresses IP , un sous-réseau par défaut est déjà créé et prêt pour l’ajout de machines virtuelles. Pour cet exemple, sélectionnez par défaut pour modifier le sous-réseau.

    1. Dans la page Modifier le sous-réseau, renommez le sous-réseau en INT.
    2. Entrez les informations adresse IP et taille de sous-réseau si nécessaire pour définir un espace d’adressage IP.
    3. Pour groupe de sécurité réseau, sélectionnez Créer.
    4. Pour cet exemple, entrez le nom NSG_INT et sélectionnez OK, puis sélectionnez Enregistrer. Vous avez créé votre premier sous-réseau. Screenshot showing how to edit a subnet and add an internal network security group.
    5. Pour créer votre deuxième sous-réseau, sélectionnez + Ajouter un sous-réseau.
    6. Dans la page Ajouter un sous-réseau , entrez DMZ pour le deuxième nom de sous-réseau et entrez les informations nécessaires pour définir un espace d’adressage IP.
    7. Pour groupe de sécurité réseau, sélectionnez Créer.
    8. Entrez le nom NSG_DMZ, sélectionnez OK, puis sélectionnez Ajouter. Screenshot showing how to add a new subnet that includes a network security group.

  8. Sélectionnez Vérifier + créer, et si tout semble correct, sélectionnez Créer.

Vous disposez maintenant d’un réseau virtuel qui comprend deux sous-réseaux, chacun avec un groupe de sécurité réseau associé.

Screenshot showing the new subnets and their network security groups.

Sécuriser le réseau virtuel

Un groupe de sécurité réseau (NSG) contient une liste des règles de liste de contrôle d’accès (ACL) qui autorise ou rejette les instances de machine virtuelle dans un réseau virtuel. Des groupes de sécurité réseau peuvent être associés à des sous-réseaux ou à des instances de machine virtuelle au sein de ce sous-réseau. Lorsqu’un groupe de sécurité réseau est associé à un sous-réseau, les règles ACL s’appliquent à toutes les instances de machine virtuelle présentes dans ce sous-réseau.

Les groupes de sécurité réseau associés à vos sous-réseaux incluent automatiquement certaines règles entrantes et sortantes par défaut. Vous ne pouvez pas supprimer les règles de sécurité par défaut, mais vous pouvez les remplacer par des règles qui ont une priorité plus élevée. Vous pouvez également ajouter des règles de trafic entrant et sortant en fonction du niveau de sécurité souhaité.

Maintenant, ajoutez quelques règles à chacun de nos deux groupes de sécurité. Pour le premier exemple, ajoutons une règle de sécurité entrante au groupe de sécurité NSG_INT .

  1. Dans la page sous-réseaux de votre réseau virtuel, sélectionnez NSG_INT.

  2. Sur la gauche, sélectionnez règles de sécurité entrantes, puis sélectionnez + Ajouter.

  3. Dans Ajouter une règle de sécurité entrante, entrez ou sélectionnez ces informations :

    Paramètre Valeur
    Source 10.0.1.0/24.
    Plages de ports source Laissez (ou sélectionnez) astérisque. Un astérisque (*) autorise le trafic sur n’importe quel port. Pour cet exemple, choisissez astérisque pour toutes les règles que vous créez.
    Destination 10.0.0.0/24.
    Service Sélectionnez HTTPS.
    Les paramètres des plages de ports de destination et protocole sont automatiquement renseignés en fonction du servicespécifié.
    Action Choisissez Autoriser.
    Priorité 1010.
    Les règles sont traitées dans l’ordre de priorité ; plus le nombre est petit, plus la priorité est élevée.
    Nom AllowHTTPSFromDMZ.
    Description Autorisez la communication HTTPS à partir de DMZ.

  4. Une fois que vous avez fait vos choix, sélectionnez Ajouter.

    Screenshot showing how to add an inbound security rule. La nouvelle règle de sécurité entrante est désormais ajoutée en haut de la liste des règles pour NSG_INT.

  5. Répétez ces étapes avec les valeurs indiquées dans le tableau suivant. Outre la nouvelle règle que vous avez créée, vous devez ajouter les règles supplémentaires suivantes dans l’ordre de priorité répertorié pour sécuriser votre sous-réseau interne et DMZ.

    Groupe de sécurité réseau Type de règle Source Destination Service Action Priorité Nom Description
    NSG_INT Règle de trafic sortant Quelconque Balise de service/Internet Personnalisé (80/Any) Deny 100 DenyInternetOutbound Aucun accès à Internet.
    NSG_DMZ Trafic entrant Quelconque Quelconque Personnalisé (astérisque (*)/Any) Autoriser 1010 AllowHTTPSFromInternet Autorisez HTTPS à partir d’Internet vers la zone DMZ.
    NSG_DMZ Règle de trafic sortant Quelconque Balise de service/Internet Personnalisé (80/Any) Deny 100 DenyInternetOutbound Tout ce qui est sauf HTTPS vers Internet est bloqué.

    Une fois que vous avez entré les valeurs de chaque nouvelle règle, sélectionnez Ajouter et passez à la suivante jusqu’à ce que deux nouvelles règles de sécurité soient ajoutées pour chaque groupe de sécurité réseau.

Après la configuration, les pages NSG ressemblent à cet exemple :

Screenshot showing your NSGs after you added security rules.

Notes

Si l’authentification du certificat utilisateur client (authentification clientTLS à l’aide de certificats utilisateur X.509) est requise, AD FS nécessite l’activation du port TCP 49443 pour l’accès entrant.

Créer une connexion à un site local

Vous avez besoin d’une connexion à local pour déployer le contrôleur de domaine dans Azure. Azure propose différentes options pour connecter votre infrastructure locale à votre infrastructure Azure.

  • Point à site
  • Site à site de réseau virtuel
  • ExpressRoute

Nous vous recommandons d’utiliser ExpressRoute. ExpressRoute vous permet de créer des connexions privées entre les centres de données Azure et l’infrastructure qui se trouve sur votre site ou dans un environnement de colocalisation. Les connexions ExpressRoute ne passent pas par l’Internet public. Ils offrent une plus grande fiabilité, des vitesses plus rapides, des latences inférieures et une sécurité plus élevée que les connexions classiques sur Internet.

Bien que nous vous recommandons d’utiliser ExpressRoute, vous pouvez choisir n’importe quelle méthode de connexion la mieux adaptée à votre organisation. Pour en savoir plus sur ExpressRoute et sur les différentes options de connectivité basées sur ExpressRoute, consultez l’article Présentation technique d’ExpressRoute.

Créer des comptes de stockage

Pour maintenir la haute disponibilité et éviter la dépendance vis-à-vis d’un compte de stockage unique, créez deux comptes de stockage. Divisez les machines dans chaque groupe à haute disponibilité en deux groupes, puis attribuez à chaque groupe un compte de stockage distinct.

Pour créer vos deux comptes de stockage, recherchez et sélectionnez comptes de stockage dans le portail Azure, puis choisissez + Créer

  1. Dans Créer un compte de stockage, entrez ou sélectionnez ces informations dans l’onglet Informations de base :

    Paramètre Valeur
    Détails du projet
    Abonnement Sélectionnez votre abonnement.
    Groupe de ressources Sélectionnez votre groupe de ressources. Vous pouvez également sélectionner Créer un nouveau pour en créer une.
    Détails de l’instance
    Nom du compte de stockage Entrez un nom pour votre compte de stockage. Pour cet exemple, entrez contososac1.
    Région Sélectionnez votre région.
    Performances Sélectionnez Premium pour le niveau de performance.
    Type de compte Premium Sélectionnez le type de compte de stockage dont vous avez besoin : objets blob de blocs, partages de fichiers ou objets blob de pages.
    Redondance Sélectionner Stockage localement redondant (LRS)

  2. Passez par les onglets restants. Lorsque vous êtes prêt, sélectionnez Créer sous l’onglet révision.

    Screenshot showing how to create storage accounts.

  3. Répétez les étapes précédentes pour créer un deuxième compte de stockage avec le nom contososac2.

Créer des groupes à haute disponibilité

Pour chaque rôle (DC/AD FS et WAP), créez des groupes à haute disponibilité qui contiennent au moins deux machines chacune. Cette configuration permet d’obtenir une plus grande disponibilité pour chaque rôle. Lors de la création des groupes à haute disponibilité, vous devez choisir les domaines suivants :

  • Domaines d’erreur: les machines virtuelles du même domaine d’erreur partagent la même source d’alimentation et le même commutateur réseau physique. Nous recommandons un minimum de deux domaines d’erreur. La valeur par défaut est 2 et vous pouvez la laisser telle quelle pour ce déploiement.
  • Domaines de mise à jour: les machines attachées au même domaine de mise à jour seront redémarrées simultanément pendant une mise à jour. Nous vous recommandons un minimum de deux domaines de mise à jour. La valeur par défaut est 5 et vous pouvez la laisser telle quelle pour ce déploiement.

Pour créer des groupes à haute disponibilité, recherchez et sélectionnez groupes à haute disponibilité dans le portail Azure, puis choisissez + Créer

  1. Dans Créer un groupe à haute disponibilité, entrez ou sélectionnez ces informations sous l’onglet De base :

    Paramètre Valeur
    Détails du projet
    Abonnement Sélectionnez votre abonnement.
    Groupe de ressources Sélectionnez votre groupe de ressources. Vous pouvez également sélectionner Créer un nouveau pour en créer une.
    Détails de l’instance
    Nom Entrez un nom pour votre groupe à haute disponibilité. Pour cet exemple, entrez contosodcset.
    Région Sélectionnez votre région.
    Domaines d’erreur 2
    Domaines de mise à jour 5
    Utiliser des disques managés Pour cet exemple, sélectionnez non (classique).

    Screenshot showing how to create availability sets.

  2. Une fois que vous avez fait tous vos choix, sélectionnez Vérifier + Créer et, si tout semble correct, sélectionnez Créer.

  3. Répétez les étapes précédentes pour créer un deuxième groupe à haute disponibilité avec le nom contososac2.

Déployer les machines virtuelles

L’étape suivante consiste à déployer des machines virtuelles qui hébergent les différents rôles dans votre infrastructure. Nous vous recommandons un minimum de deux machines dans chaque groupe à haute disponibilité. Ainsi, pour cet exemple, nous créons quatre machines virtuelles pour le déploiement de base.

Pour créer des machines virtuelles, recherchez et sélectionnez machines virtuelles dans le portail Azure.

  1. Dans la page Machines virtuelles, sélectionnez + Créer, puis choisissez machine virtuelle Azure.

  2. Dans Créer une machine virtuelle, entrez ou sélectionnez les informations suivantes sous l’onglet Informations de base :

    Paramètre Valeur
    Détails du projet
    Abonnement Sélectionnez votre abonnement.
    Groupe de ressources Sélectionnez votre groupe de ressources. Vous pouvez également sélectionner Créer un nouveau pour en créer une.
    Détails de l’instance
    Nom de la machine virtuelle Entrez un nom pour votre machine virtuelle. Pour la première machine, entrez contosodc1.
    Région Sélectionnez votre région.
    Options de disponibilité Sélectionnez Groupe à haute disponibilité.
    Groupe à haute disponibilité Sélectionnez contosodcset.
    Type de sécurité Sélectionnez Standard.
    Image Sélectionnez votre image. Sélectionnez ensuite Configurer la génération de machine virtuelle , puis sélectionnez Gen 1. Pour cet exemple, vous devez utiliser une image Gen 1.
    Compte administrateur
    Type d'authentification sélectionnez Clé publique SSH.
    Nom d’utilisateur Entrez un nom d’utilisateur.
    Nom de la paire de clés Entrez un nom de paire de clés.

    Pour tout ce qui n’est pas spécifié, vous pouvez conserver les valeurs par défaut et, lorsque vous êtes prêt, sélectionnez Suivant : Disques. Screenshot showing the first steps in how to create a virtual machine.

  3. Sous l’onglet Disques sous Avancé, désélectionnez Utiliser des disques managés , puis sélectionnez le compte de stockage contososac1 que vous avez créé précédemment. Lorsque vous êtes prêt, sélectionnez Suivant : mise en réseau. Screenshot showing the Disks tab for how to create a virtual machine.

  4. Sous l’onglet Réseau, entrez ou sélectionnez les informations suivantes :

    Paramètre Valeur
    Réseau virtuel Sélectionnez votre réseau virtuel qui contient les sous-réseaux que vous avez créés précédemment.
    Sous-réseau Pour cette première machine virtuelle, sélectionnez votre sous-réseau INT .
    Groupe de sécurité réseau de la carte réseau Sélectionnez Aucun.

    Pour tout ce qui n’est pas spécifié, vous pouvez conserver les valeurs par défaut. Screenshot showing the Networking tab for how to create a virtual machine.

Une fois que vous avez fait tous vos choix, sélectionnez Vérifier + Créer et, si tout semble correct, sélectionnez Créer.

Répétez ces étapes à l’aide des informations de ce tableau pour créer les trois machines virtuelles restantes :

Nom de la machine virtuelle Sous-réseau Options de disponibilité Groupe à haute disponibilité Compte de stockage
contosodc2 INT Groupe à haute disponibilité contosodcset contososac2
contosowap1 DMZ Groupe à haute disponibilité contosowapset contososac1
contosowap2 DMZ Groupe à haute disponibilité contosowapset contososac2

Comme vous l’avez peut-être remarqué, aucun groupe de sécurité réseau n’est spécifié, car Azure vous permet d’utiliser le groupe de sécurité réseau au niveau du sous-réseau. Vous pouvez ensuite contrôler le trafic réseau de l’ordinateur à l’aide du groupe de sécurité réseau individuel associé au sous-réseau ou à l’objet de carte réseau. Pour plus d’informations, consultez Qu’est-ce qu’un groupe de sécurité réseau (NSG).

Si vous gérez le DNS, nous vous recommandons d’utiliser une adresse IP statique. Vous pouvez utiliser Azure DNS et faire référence aux nouvelles machines par leurs noms de domaine complets Azure dans les enregistrements DNS de votre domaine. Pour plus d’informations, consultez Modifier une adresse IP privée enstatique.

Votre page machines virtuelles doit afficher les quatre machines virtuelles une fois le déploiement terminé.

Configurer les serveurs DC/AD FS

Pour authentifier toute demande entrante, AD FS doit contacter le contrôleur de domaine. Pour économiser le trajet coûteux d’Azure vers le contrôleur de domaine local pour l’authentification, nous vous recommandons de déployer un réplica du contrôleur de domaine dans Azure. Pour atteindre la haute disponibilité, il est préférable de créer un groupe à haute disponibilité d’au moins deux contrôleurs de domaine.

Contrôleur de domaine Rôle Compte de stockage
contosodc1 Réplica contososac1
contosodc2 Réplica contososac2
  • Promouvoir les deux serveurs en tant que contrôleurs de domaine réplica avec DNS
  • Configurez les serveurs AD FS en installant le rôle AD FS à l’aide du gestionnaire de serveurs.

Créer et déployer l’équilibreur de charge interne (ILB)

Pour créer et déployer un équilibreur de charge interne, recherchez et sélectionnez équilibreurs de charge dans le portail Azure, puis choisissez + Créer.

  1. Dans Créer un équilibreur de charge, entrez ou sélectionnez ces informations dans l’onglet Informations de base :

    Paramètre Valeur
    Détails du projet
    Abonnement Sélectionnez votre abonnement.
    Groupe de ressources Sélectionnez votre groupe de ressources. Vous pouvez également sélectionner Créer un nouveau pour en créer une.
    Détails de l’instance
    Nom Entrez un nom pour votre équilibreur de charge.
    Région Sélectionnez votre région.
    Type Étant donné que cet équilibreur de charge est placé devant les serveurs AD FS et est destiné uniquement aux connexions réseau internes, sélectionnez interne.

    Laissez référence SKU et niveau comme valeurs par défaut, puis sélectionnez Suivant : Configuration IP frontaleScreenshot showing the Basics tab for how to create a load balancer.

  2. Sélectionnez + Ajouter une configuration IP frontale, puis entrez ou sélectionnez ces informations dans la page Ajouter une configuration IP frontale .

    Paramètre Valeur
    Nom Entrez un nom de configuration IP front-end.
    Réseau virtuel Sélectionnez le réseau virtuel dans lequel vous déployez votre ad FS.
    Sous-réseau Choisissez le sous-réseau interne INT.
    Affectation Choisissez statique.
    Adresse IP Entrez votre adresse IP.

    Laissez zone de disponibilité comme valeur par défaut, puis sélectionnez Ajouter. Screenshot showing how to add a frontend IP configuration when you create a load balancer.

  3. Sélectionnez Suivant : Pools principaux, puis sélectionnez + Ajouter un pool principal.

  4. Dans la page Ajouter un pool principal , entrez un nom, puis, dans la zone configurations IP, sélectionnez + Ajouter.

  5. Dans la page Ajouter un pool principal , sélectionnez une machine virtuelle à aligner sur le pool principal, sélectionnez Ajouter, puis sélectionnez Enregistrer. Screenshot showing how to add a backend pool when you create a load balancer.

  6. Sélectionnez Suivant : Règles de trafic entrant.

  7. Sous l’onglet règles de trafic entrant, sélectionnez Ajouter une règle d’équilibrage de charge, puis entrez ou sélectionnez ces informations dans la page Ajouter une règle d’équilibrage de charge page.

    Paramètre Valeur
    Nom Entrez le nom de la règle.
    Frontend IP address (Adresse IP frontale) Sélectionnez l’adresse IP frontale que vous avez créée à une étape antérieure.
    Pool principal Sélectionnez le pool principal que vous avez créé à une étape précédente.
    Protocol Sélectionnez TCP.
    Port Entrez 443.
    Port principal Entrez 443.
    Sonde d’intégrité Sélectionnez Créer nouveau , puis entrez ces valeurs pour créer une sonde d’intégrité :
    Nom: nom de la sonde d’intégrité
    Protocole: HTTP
    Port: 80 (HTTP)
    Chemin d’accès: /adfs/probe
    Intervalle: 5 (valeur par défaut) – Intervalle auquel ILB sonde les machines dans le pool principal
    Sélectionnez Enregistrer.

  8. Sélectionnez Enregistrer pour enregistrer la règle de trafic entrant. Screenshot showing how to add load balancing rules.

  9. Sélectionnez Vérifier + Créer et, si tout semble correct, sélectionnez Créer.

Une fois que vous avez sélectionné Créer et que l’équilibreur de charge est déployé, vous pouvez le voir dans la liste des équilibreurs de charge.

Screenshot showing the new load balancer you just created.

Mettre à jour le serveur DNS avec ILB

À l'aide de votre serveur DNS interne, créez un enregistrement A pour l’équilibreur de charge interne. L’enregistrement A doit correspondre au service de fédération avec une adresse IP pointant vers l’adresse IP de l’équilibreur de charge interne. Par exemple, si l’adresse IP de l’équilibreur de charge interne est 10.3.0.8 et si le service de fédération installé est fs.contoso.com, créez un enregistrement A pour fs.contoso.com pointant vers 10.3.0.8.

Ce paramètre garantit que toutes les données transmises à fs.contoso.com se terminent à l’ILB et sont correctement routées.

Avertissement

Si vous utilisez la base de données interne Windows (WID) pour votre base de données AD FS, définissez cette valeur pour pointer temporairement vers votre serveur AD FS principal ou si le proxy d’application web échoue. Une fois que vous avez correctement inscrit tous les serveurs proxy d’application web, modifiez cette entrée DNS pour qu’elle pointe vers l’équilibreur de charge.

Notes

Si votre déploiement utilise également IPv6, créez un enregistrement AAAA correspondant.

Configurer les serveurs proxy d’application web pour atteindre les serveurs AD FS

Pour vous assurer que les serveurs proxy d’application web sont en mesure d’atteindre les serveurs AD FS derrière l’ILB, créez un enregistrement dans le fichier %systemroot%\system32\drivers\etc\hosts pour l’ILB. Le nom unique (DN) doit être le nom du service de fédération, tel que fs.contoso.com. Et l’entrée IP doit être l’adresse IP de l’ILB (10.3.0.8, comme illustré dans l’exemple).

Avertissement

Si vous utilisez la base de données interne Windows (WID) pour votre base de données AD FS, définissez cette valeur pour pointer temporairement vers votre serveur AD FS principal ou si le proxy d’application web échoue. Une fois que vous avez correctement inscrit tous les serveurs proxy d’application web, modifiez cette entrée DNS pour qu’elle pointe vers l’équilibreur de charge.

Installer le rôle proxy d’application web

Après avoir vérifié que les serveurs proxy d’application web sont en mesure d’atteindre les serveurs AD FS derrière ILB, vous pouvez ensuite installer les serveurs proxy d’application web. Les serveurs proxy d’application web n’ont pas besoin d’être joints au domaine. Installez les rôles proxy d’application web sur les deux serveurs proxy d’application web en sélectionnant le rôle accès à distance . Le gestionnaire de serveur vous guide pour terminer l’installation de WAP.

Pour plus d’informations sur le déploiement de WAP, consultez Installer et configurer le serveur proxy d’application web.

Créer et déployer l’équilibreur de charge accessible sur Internet (public)

  1. Dans le portail Azure, sélectionnez équilibreurs de charge , puis choisissez Créer.

  2. Dans Créer un équilibreur de charge, entrez ou sélectionnez ces informations dans l’onglet Informations de base :

    Paramètre Valeur
    Détails du projet
    Abonnement Sélectionnez votre abonnement.
    Groupe de ressources Sélectionnez votre groupe de ressources. Vous pouvez également sélectionner Créer un nouveau pour en créer une.
    Détails de l’instance
    Nom Entrez un nom pour votre équilibreur de charge.
    Région Sélectionnez votre région.
    Type Étant donné que cet équilibreur de charge nécessite une adresse IP publique, sélectionnez public.

    Laissez référence SKU et niveau comme valeurs par défaut, puis sélectionnez Suivant : Configuration IP frontale

    Screenshot showing how to add public-facing load balancing rules.

  3. Sélectionnez + Ajouter une configuration IP frontale, puis entrez ou sélectionnez ces informations dans la page Ajouter une configuration IP frontale .

    Paramètre Valeur
    Nom Entrez un nom de configuration IP front-end.
    Type IP Sélectionnez Adresse IP.
    Adresse IP publique Sélectionnez une adresse IP publique dans la liste déroulante ou créez-en une en fonction des besoins, puis sélectionnez Ajouter.

    Screenshot showing how to add a frontend IP configuration when you create a public load balancer.

  4. Sélectionnez Suivant : Pools principaux, puis sélectionnez + Ajouter un pool principal.

  5. Dans la page Ajouter un pool principal , entrez un nom, puis, dans la zone configurations IP, sélectionnez + Ajouter.

  6. Dans la page Ajouter un pool principal , sélectionnez une machine virtuelle à aligner sur le pool principal, sélectionnez Ajouter, puis sélectionnez Enregistrer. Screenshot showing how to add a backend pool when you create a public load balancer.

  7. Sélectionnez Suivant : Règles de trafic entrant, sélectionnez Ajouter une règle d’équilibrage de charge, puis entrez ou sélectionnez ces informations dans la page Ajouter une règle d’équilibrage de charge.

    Paramètre Valeur
    Nom Entrez le nom de la règle.
    Frontend IP address (Adresse IP frontale) Sélectionnez l’adresse IP frontale que vous avez créée à une étape antérieure.
    Pool principal Sélectionnez le pool principal que vous avez créé à une étape précédente.
    Protocol Sélectionnez TCP.
    Port Entrez 443.
    Port principal Entrez 443.
    Sonde d’intégrité Sélectionnez Créer nouveau , puis entrez ces valeurs pour créer une sonde d’intégrité :
    Nom: nom de la sonde d’intégrité
    Protocole: HTTP
    Port: 80 (HTTP)
    Chemin d’accès: /adfs/probe
    Intervalle: 5 (valeur par défaut) – Intervalle auquel ILB sonde les machines dans le pool principal
    Sélectionnez Enregistrer.

  8. Sélectionnez Enregistrer pour enregistrer la règle de trafic entrant. Screenshot showing how to create an inbound rule.

  9. Sélectionnez Vérifier + Créer et, si tout semble correct, sélectionnez Créer.

Une fois que vous avez sélectionné Créer et que l’équilibrage de charge interne public est déployé, vous pouvez le voir dans la liste des équilibreurs de charge.

Screenshot showing how to save an inbound rule.

Attribution d’un nom DNS à l’adresse IP publique

Utilisez la fonctionnalité Rechercher des ressources et recherchez adresses IP publiques. Procédez comme suit pour configurer l’étiquette DNS pour l’adresse IP publique.

  1. Sélectionnez votre ressource, sous Paramètres, sélectionnez Configuration.
  2. Sous Fournissez une étiquette DNS (facultative), ajoutez une entrée dans le champ de texte (par exemple, fs.contoso.com) qui se résout à l’étiquette DNS de l’équilibreur de charge externe (comme contosofs.westus.cloudapp.azure.com).
  3. Sélectionnez Enregistrer pour terminer l’attribution d’une étiquette DNS.

Tester l’authentification dans AD FS

Le moyen le plus simple de tester AD FS est d’utiliser la page IdpInitiatedSignon.aspx. Pour ce faire, vous devez activer IdpInitiatedSignOn sur les propriétés AD FS. Procédez comme suit pour vérifier la configuration de votre ad FS.

  1. Dans PowerShell, exécutez l’applet de commande suivante sur le serveur AD FS pour la définir sur activée. Set-AdfsProperties -EnableIdPInitiatedSignonPage $true
  2. À partir d’une machine externe, accédez à https:\//adfs-server.contoso.com/adfs/ls/IdpInitiatedSignon.aspx.
  3. Vous devez voir la page AD FS suivante :

Screenshot of test login page.

Lors de la connexion réussie, il vous fournit un message de réussite, comme indiqué ici :

Screenshot that shows the test success message.

Modèle de déploiement d’AD FS dans Azure

Le modèle déploie une configuration à six ordinateurs, deux pour les contrôleurs de domaine, AD FS et WAP.

Modèle de déploiement d’AD FS dans Azure

Vous pouvez utiliser un réseau virtuel existant ou créer un réseau virtuel lors du déploiement de ce modèle. Ce tableau répertorie les différents paramètres disponibles pour la personnalisation du déploiement, y compris une description de l’utilisation des paramètres dans le processus de déploiement.

Paramètre Description
Lieu Région dans laquelle déployer les ressources dans, par exemple, USA Est
StorageAccountType Type du compte de stockage créé
VirtualNetworkUsage Indique si un nouveau réseau virtuel est créé ou pour utiliser un réseau virtuel existant
VirtualNetworkName Nom du réseau virtuel à créer, obligatoirement sur l’utilisation existante ou nouvelle du réseau virtuel
VirtualNetworkResourceGroupName Spécifie le nom du groupe de ressources dans lequel réside le réseau virtuel existant. Lorsque vous utilisez un réseau virtuel existant, cette option est un paramètre obligatoire afin que le déploiement puisse trouver l’ID du réseau virtuel existant.
VirtualNetworkAddressRange Plage d’adresses du nouveau réseau virtuel, obligatoire si vous créez un réseau virtuel
InternalSubnetName Nom du sous-réseau interne, obligatoire sur les deux options d’utilisation du réseau virtuel, nouvelles ou existantes
InternalSubnetAddressRange Plage d’adresses du sous-réseau interne, qui contient les contrôleurs de domaine et les serveurs AD FS, obligatoire si vous créez un nouveau réseau virtuel
DMZSubnetAddressRange Plage d’adresses du sous-réseau DMZ, qui contient les serveurs proxy d’application Windows, obligatoire si vous créez un réseau virtuel
DMZSubnetName Nom du sous-réseau interne, obligatoire dans les deux options d’utilisation de réseau virtuel (nouveau ou existant)
ADDC01NICIPAddress L’adresse IP interne du premier contrôleur de domaine, cette adresse IP est affectée statiquement au contrôleur de domaine et doit être une adresse IP valide dans le sous-réseau interne
ADDC02NICIPAddress L’adresse IP interne du deuxième contrôleur de domaine, cette adresse IP est affectée statiquement au contrôleur de domaine et doit être une adresse IP valide dans le sous-réseau interne
ADFS01NICIPAddress Adresse IP interne du premier serveur AD FS, cette adresse IP est affectée statiquement au serveur AD FS et doit être une adresse IP valide dans le sous-réseau interne
ADFS02NICIPAddress Adresse IP interne du deuxième serveur AD FS, cette adresse IP est affectée statiquement au serveur AD FS et doit être une adresse IP valide dans le sous-réseau interne
WAP01NICIPAddress Adresse IP interne du premier serveur WAP, cette adresse IP est affectée statiquement au serveur WAP et doit être une adresse IP valide dans le sous-réseau DMZ
WAP02NICIPAddress Adresse IP interne du second serveur WAP, cette adresse IP est affectée statiquement au serveur WAP et doit être une adresse IP valide dans le sous-réseau DMZ
ADFSLoadBalancerPrivateIPAddress L’adresse IP interne de l’équilibreur de charge AD FS, cette adresse IP est affectée statiquement à l’équilibreur de charge et doit être une adresse IP valide dans le sous-réseau interne
ADDCVMNamePrefix Préfixe de nom de machine virtuelle pour les contrôleurs de domaine
ADFSVMNamePrefix Préfixe de nom de machine virtuelle pour les serveurs AD FS
WAPVMNamePrefix Préfixe de nom de machine virtuelle pour les serveurs WAP
ADDCVMSize Taille de machine virtuelle des contrôleurs de domaine
ADFSVMSize Taille de machine virtuelle des serveurs AD FS
WAPVMSize Taille de machine virtuelle des serveurs WAP
AdminUserName Nom de l’administrateur local des machines virtuelles
AdminPassword Mot de passe du compte Administrateur local des machines virtuelles

Étapes suivantes