Configurer un environnement de laboratoire AD FS

Cette rubrique décrit les étapes de configuration d’un environnement de test qui peut être utilisé pour effectuer les procédures pas à pas dans les guides de procédure pas à pas suivants :

• Procédure pas à pas : Connexion à l'espace de travail avec un appareil iOS

• Procédure pas à pas : Workplace Join avec un appareil Windows

• Guide pas à pas : Gérer les risques avec le contrôle d’accès conditionnel

• Guide pas à pas : Gérer les risques avec l’authentification multifacteur supplémentaire pour les applications sensibles

Remarque

Nous vous déconseillons d’installer le serveur web et le serveur de fédération sur le même ordinateur.

Pour configurer cet environnement de test, procédez comme suit :

1. Étape 1 : Configurer le contrôleur de domaine (DC1)

2. Étape 2 : Configurer le serveur de fédération (ADFS1) avec le service d’inscription d’appareil

3. Étape 3 : Configurer le serveur web (WebServ1) et un exemple d’application basée sur les revendications

4. Étape 4 : Configurer l’ordinateur client (Client1)

Étape 1 : Configurer le contrôleur de domaine (DC1)

Pour les besoins de cet environnement de test, vous pouvez appeler votre domaine Active Directory racine contoso.com et spécifier pass@word1 en tant que mot de passe administrateur.

• Installez le service de rôle AD DS et installez Active Directory Domain Services (AD DS) pour rendre votre ordinateur un contrôleur de domaine dans Windows Server 2012 R2 . Cette action met à niveau votre schéma AD DS dans le cadre de la création du contrôleur de domaine. Pour plus d’informations et des instructions pas à pas, consultezhttps://technet.microsoft.com/ bibliothèque/hh472162.aspx.

Créer des comptes Active Directory de test

Une fois votre contrôleur de domaine fonctionnel, vous pouvez créer un groupe de test et tester des comptes d’utilisateur dans ce domaine et ajouter le compte d’utilisateur au compte de groupe. Vous utilisez ces comptes pour suivre les procédures pas à pas dans les guides de procédure pas à pas référencés précédemment dans cette rubrique.

Créez les comptes ci-après :

• Utilisateur : Robert Hatley avec les informations d’identification suivantes : Nom d’utilisateur : RobertH et mot de passe : P@ssword

• Groupe : Finance

Pour plus d’informations sur la création de comptes d’utilisateur et de groupe dans Active Directory (AD), consultez https://technet.microsoft.com/library/cc783323%28v=ws.10%29.aspx.

Ajoutez le compte Robert Hatley au groupe Finance . Pour plus d’informations sur l’ajout d’un utilisateur à un groupe dans Active Directory, consultez https://technet.microsoft.com/library/cc737130%28v=ws.10%29.aspx.

Créer un compte GMSA

Le compte de compte de service administré de groupe (GMSA) est requis pendant l’installation et la configuration des services de fédération Active Directory (AD FS).

Pour créer un compte GMSA

1. Ouvrez une fenêtre de commande Windows PowerShell et tapez :

   Add-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10)
   New-ADServiceAccount FsGmsa -DNSHostName adfs1.contoso.com -ServicePrincipalNames http/adfs1.contoso.com
   
   

Étape 2 : Configurer le serveur de fédération (ADFS1) à l’aide du service d’inscription d’appareil

Pour configurer une autre machine virtuelle, installez Windows Server 2012 R2 et connectez-le au domaine contoso.com. Configurez l’ordinateur une fois que vous l’avez joint au domaine, puis procédez à l’installation et à la configuration du rôle AD FS.

Installer un certificat SSL de serveur

Vous devez installer un certificat SSL (Secure Socket Layer) serveur sur le serveur ADFS1 dans le magasin d’ordinateurs local. Le certificat DOIT avoir les attributs suivants :

• Nom du sujet (nom commun) : adfs1.contoso.com

• Autre nom de l’objet (DNS) : adfs1.contoso.com

• Autre nom de l’objet (DNS) : enterpriseregistration.contoso.com

Conseils sur le service web d’inscription de certificat

Active Directory Federation Services How-To Video Series: Updating Certificates (Série de vidéos de procédure sur les services AD FS : Mise à jour des certificats).

Installer le rôle serveur AD FS

Pour installer le service de rôle de service de fédération

1. Connectez-vous au serveur à l’aide du compte administrator@contoso.comd’administrateur de domaine.

2. Démarrez le Gestionnaire de serveur. Pour démarrer le Gestionnaire de serveur , cliquez sur Gestionnaire de serveur sur l’écran de démarrage de Windows, ou cliquez sur Gestionnaire de serveur dans la barre des tâches Windows sur le bureau Windows. Sous l’onglet Démarrage rapide de la vignette Bienvenue dans la page Tableau de bord , cliquez sur Ajouter des rôles et des fonctionnalités. Vous pouvez également cliquer sur Ajouter des rôles et des fonctionnalités dans le menu Gérer .

3. Dans la page Avant de commencer , cliquez sur Suivant.

4. Dans la page Sélectionner le type d’installation , cliquez sur Installation basée sur un rôle ou une fonctionnalité, puis sur Suivant.

5. Dans la page Sélectionner un serveur de destination , cliquez sur Sélectionner un serveur dans le pool de serveurs, vérifiez que l’ordinateur cible est sélectionné, puis cliquez sur Suivant.

6. Dans la page Sélectionner des rôles de serveur , cliquez sur Services de fédération Active Directory, puis sur Suivant.

7. Dans la page Sélectionner des fonctionnalités , cliquez sur Suivant.

8. Dans la page Service de fédération Active Directory (AD FS), cliquez sur Suivant.

9. Après avoir vérifié les informations de la page Confirmer les sélections d’installation , activez automatiquement la case à cocher Redémarrer le serveur de destination si nécessaire , puis cliquez sur Installer.

10. Dans la page Progression de l’installation , vérifiez que tout est installé correctement, puis cliquez sur Fermer.

Configurer le serveur de fédération

L’étape suivante consiste à configurer le serveur de fédération.

Pour configurer le serveur de fédération

1. Dans la page Tableau de bord du Gestionnaire de serveur, cliquez sur l’indicateur Notifications , puis sur Configurer le service de fédération sur le serveur.

   L'Assistant de configuration du service de fédération Active Directory s'ouvre.

2. Dans la page d’accueil , sélectionnez Créer le premier serveur de fédération dans une batterie de serveurs de fédération, puis cliquez sur Suivant.

3. Dans la page Se connecter à AD DS , spécifiez un compte avec des droits d’administrateur de domaine pour le domaine contoso.com Active Directory auquel cet ordinateur est joint, puis cliquez sur Suivant.

4. Dans la page Spécifier les propriétés du service , procédez comme suit, puis cliquez sur Suivant :

   • Importez le certificat SSL que vous avez obtenu précédemment. Ce certificat est le certificat d’authentification de service requis. Accédez à l’emplacement de votre certificat SSL.

   • Pour fournir un nom pour votre service de fédération, tapez adfs1.contoso.com. Cette valeur est la même que celle que vous avez fournie lorsque vous avez inscrit un certificat SSL dans les services de certificats Active Directory (AD CS).

   • Pour fournir un nom d'affichage pour votre service de fédération, tapez Contoso Corporation.

5. Dans la page Spécifier un compte de service , sélectionnez Utiliser un compte d’utilisateur de domaine existant ou un compte de service administré de groupe, puis spécifiez le compte GMSA fsgmsa que vous avez créé lors de la création du contrôleur de domaine.

6. Dans la page Spécifier la base de données de configuration , sélectionnez Créer une base de données sur ce serveur à l’aide de la base de données interne Windows, puis cliquez sur Suivant.

7. Dans la page Vérifier les options , vérifiez vos sélections de configuration, puis cliquez sur Suivant.

8. Dans la page Vérifications préalables, vérifiez que toutes les vérifications des prérequis ont été correctement effectuées, puis cliquez sur Configurer.

9. Dans la page Résultats , passez en revue les résultats, vérifiez si la configuration s’est terminée correctement, puis cliquez sur Étapes suivantes requises pour terminer le déploiement de votre service de fédération.

Configurer le service d’inscription d’appareil

L’étape suivante consiste à configurer le service d’inscription d’appareil sur le serveur ADFS1. Pour une vidéo, consultez Active Directory Federation Services How-To Série Vidéo : Activation du service d'inscription d'appareil.

Pour configurer le service d’inscription d’appareil pour Windows Server 2012 RTM

1. Important

   L’étape suivante s’applique à la build Windows Server 2012 R2 RTM.

   Ouvrez une fenêtre de commande Windows PowerShell et tapez :

   Initialize-ADDeviceRegistration
   

   Lorsque vous êtes invité à entrer un compte de service, tapez contosofsgmsa$.

   Exécutez maintenant l’applet de commande Windows PowerShell.

   Enable-AdfsDeviceRegistration
   

2. Sur le serveur ADFS1, dans la console de gestion AD FS , accédez aux stratégies d’authentification. Sélectionnez Modifier l’authentification principale globale. Cochez la case en regard d’Activer l’authentification de l’appareil, puis cliquez sur OK.

Ajouter des enregistrements de ressources Hôte (A) et Alias (CNAME) au DNS

Sur DC1, vous devez vous assurer que les enregistrements DNS (Domain Name System) suivants sont créés pour le service d’inscription d’appareil.

Entrée	Catégorie	Adresse
adfs1	Hôte (A)	Adresse IP du serveur AD FS
enregistrement d'entreprise	Alias (CNAME)	adfs1.contoso.com

Vous pouvez utiliser la procédure suivante pour ajouter un enregistrement de ressource hôte (A) aux serveurs de noms DNS d’entreprise pour le serveur de fédération et le service d’inscription d’appareil.

L’appartenance au groupe Administrateurs ou à un équivalent est la condition minimale requise pour effectuer cette procédure. Passez en revue les informations relatives à l’utilisation des comptes et des appartenances au groupe appropriés sous le lien HYPERTEXTE « https://go.microsoft.com/fwlink/?LinkId=83477 » Groupes locaux et de domaine par défaut (https://go.microsoft.com/fwlink/p/?LinkId=83477).

Pour ajouter des enregistrements de ressource d'hôte (A) et d'alias (CNAME) à DNS pour votre serveur de fédération

1. Sur le contrôleur de domaine (DC1), à partir du Gestionnaire de serveur, dans le menu Outils, cliquez sur DNS pour ouvrir le composant logiciel enfichable DNS.

2. Dans l’arborescence de la console, développez DC1, développez Zones de recherche directe, cliquez avec le bouton droit sur contoso.com, puis cliquez sur Nouvel hôte (A ou AAAA).

3. Dans Nom, tapez le nom que vous souhaitez utiliser pour votre batterie de serveurs AD FS. Pour cette procédure pas à pas, tapez adfs1.

4. Dans l’adresse IP, tapez l’adresse IP du serveur ADFS1. Cliquez sur Ajouter un hôte.

5. Cliquez avec le bouton droit sur contoso.com, puis cliquez sur Nouvel alias (CNAME).

6. Dans la boîte de dialogue Nouvel enregistrement de ressource, tapez enterpriseregistration dans la zone Nom de l’alias.

7. Dans le nom de domaine complet (FQDN) de la zone hôte cible, tapez adfs1.contoso.com, puis cliquez sur OK.

   Important

   Dans un déploiement réel, si votre entreprise a plusieurs suffixes DE nom d’utilisateur principal (UPN), vous devez créer plusieurs enregistrements CNAME, un pour chacun de ces suffixes UPN dans DNS.

Étape 3 : Configurer le serveur web (WebServ1) et un exemple d’application basée sur les revendications

Configurez une machine virtuelle (WebServ1) en installant le système d’exploitation Windows Server 2012 R2 et en la connectant au domaine contoso.com. Une fois qu’elle est jointe au domaine, vous pouvez procéder à l’installation et à la configuration du rôle Serveur Web.

Pour effectuer les procédures pas à pas référencées précédemment dans cette rubrique, vous devez disposer d’un exemple d’application sécurisé par votre serveur de fédération (ADFS1).

Vous devez effectuer les étapes suivantes pour configurer un serveur web avec cet exemple d’application basée sur les revendications.

Remarque

Ces étapes ont été testées sur un serveur web qui exécute le système d’exploitation Windows Server 2012 R2.

1. Installer le rôle serveur web et Windows Identity Foundation

2. Installer le Kit de développement logiciel (SDK) Windows Identity Foundation

3. Configurer l’application de revendications simples dans IIS

4. Créer une approbation de partie de confiance sur votre serveur de fédération

Installer le rôle Serveur Web et Windows Identity Foundation

1. Remarque

   Vous devez avoir accès au support d’installation de Windows Server 2012 R2.

   Connectez-vous à WebServ1 à l’aide administrator@contoso.com et au mot de passe pass@word1.

2. Dans le Gestionnaire de serveur, sous l’onglet Démarrage rapide de la vignette Bienvenue dans la page Tableau de bord , cliquez sur Ajouter des rôles et des fonctionnalités. Vous pouvez également cliquer sur Ajouter des rôles et des fonctionnalités dans le menu Gérer .

3. Dans la page Avant de commencer , cliquez sur Suivant.

4. Dans la page Sélectionner le type d’installation , cliquez sur Installation basée sur un rôle ou une fonctionnalité, puis sur Suivant.

5. Dans la page Sélectionner un serveur de destination , cliquez sur Sélectionner un serveur dans le pool de serveurs, vérifiez que l’ordinateur cible est sélectionné, puis cliquez sur Suivant.

6. Dans la page Sélectionner des rôles de serveur , cochez la case en regard du serveur web (IIS), cliquez sur Ajouter des fonctionnalités, puis sur Suivant.

7. Dans la page Sélectionner des fonctionnalités , sélectionnez Windows Identity Foundation 3.5, puis cliquez sur Suivant.

8. Dans la page Rôle serveur web (IIS), cliquez sur Suivant.

9. Dans la page Sélectionner les services de rôle, sélectionnez et développez Développement d'applications. Sélectionnez ASP.NET 3.5, cliquez sur Ajouter des fonctionnalités, puis sur Suivant.

10. Dans la page Confirmer les sélections d’installation , cliquez sur Spécifier un autre chemin source. Entrez le chemin d’accès au répertoire Sxs situé dans le support d’installation de Windows Server 2012 R2. Par exemple D:SourcesSxs. Cliquez sur OK, puis sur Installer.

Installer le Kit de développement logiciel (SDK) Windows Identity Foundation

1. Exécutez WindowsIdentityFoundation-SDK-3.5.msi pour installer le Kit de développement logiciel (SDK) Windows Identity Foundation 3.5. Choisissez toutes les options par défaut.

Configurer l’application de revendications simples dans IIS

1. Installez un certificat SSL valide dans le magasin de certificats d’ordinateur. Le certificat doit contenir le nom de votre serveur web, webserv1.contoso.com.

2. Copiez le contenu de C:Program Files (x86)Windows Identity Foundation SDKv3.5SamplesQuick StartWeb ApplicationPassiveRedirectBasedClaimsAwareWebApp to C:InetpubClaimapp.

3. Modifiez le fichier Default.aspx.cs afin qu’aucun filtrage de revendication n’ait lieu. Cette étape est effectuée pour vous assurer que l’exemple d’application affiche toutes les revendications émises par le serveur de fédération. Effectuez les actions suivantes :

   1. Ouvrez Default.aspx.cs dans un éditeur de texte.

   2. Recherchez dans le fichier la deuxième instance de ExpectedClaims.

   3. Commentez la totalité de l’instruction IF ainsi que ses accolades. Indiquez des commentaires en tapant « // » (sans les guillemets) au début d’une ligne.

   4. Votre FOREACH instruction doit maintenant ressembler à cet exemple de code.

      Foreach (claim claim in claimsIdentity.Claims)
      {
         //Before showing the claims validate that this is an expected claim
         //If it is not in the expected claims list then don't show it
         //if (ExpectedClaims.Contains( claim.ClaimType ) )
         // {
            writeClaim( claim, table );
         //}
      }
      
      

   5. Enregistrez et fermez Default.aspx.cs.

   6. Ouvrez web.config dans un éditeur de texte.

   7. Supprimez l’intégralité <microsoft.identityModel> de la section. Supprimez tout à partir de including <microsoft.identityModel> jusqu’à </microsoft.identityModel> inclus.

   8. Enregistrez et fermez web.config.

4. Configurer le Gestionnaire IIS

   1. Ouvrez le Gestionnaire des services Internet (IIS).

   2. Accédez à Pools d’applications, cliquez avec le bouton droit sur DefaultAppPool pour sélectionner Paramètres avancés. Définissez Charger le profil utilisateur sur True, puis cliquez sur OK.

   3. Cliquez avec le bouton droit sur DefaultAppPool pour sélectionner Paramètres de base. Remplacez la version CLR .NET par .NET CLR Version v2.0.50727.

   4. Cliquez avec le bouton droit sur Le site web par défaut pour sélectionner Modifier les liaisons.

   5. Ajoutez une liaison HTTPS au port 443 avec le certificat SSL que vous avez installé.

   6. Cliquez avec le bouton droit sur Le site web par défaut pour sélectionner Ajouter une application.

   7. Affectez la valeur claimapp à l’alias et la valeur c:inetpubclaimapp au chemin physique.

5. Pour configurer claimapp pour qu’elle fonctionne avec votre serveur de fédération, procédez comme suit :

   1. Exécutez FedUtil.exe, qui se trouve dans C :Program Files (x86)Windows Identity Foundation SDKv3.5.

   2. Définissez l’emplacement de configuration de l’application sur C:inetputclaimappweb.config et définissez l’URI de l’application sur l’URL de votre site,https://webserv1.contoso.com /claimapp/. Cliquez sur Suivant.

   3. Sélectionnez Utiliser un STS existant et accédez à l’URL https://adfs1.contoso.com/federationmetadata/2007-06/federationmetadata.xmldes métadonnées de votre serveur AD FS. Cliquez sur Suivant.

   4. Sélectionnez Désactiver la validation de la chaîne de certificats, puis cliquez sur Suivant.

   5. Sélectionnez Aucun chiffrement, puis cliquez sur Suivant. Dans la page Revendications proposées , cliquez sur Suivant.

   6. Cochez la case en regard de Planifier une tâche pour effectuer des mises à jour quotidiennes de métadonnées WS-Federation. Cliquez sur Terminer.

   7. Votre exemple d’application est maintenant configuré. Si vous testez l’URL https://webserv1.contoso.com/claimappde l’application, elle doit vous rediriger vers votre serveur de fédération. Le serveur de fédération devrait afficher une page d’erreur, car vous n’avez pas encore configuré la confiance de la partie utilisatrice. En d’autres termes, vous n’avez pas sécurisé cette application de test par AD FS.

Vous devez maintenant sécuriser votre exemple d’application qui s’exécute sur votre serveur web avec AD FS. Pour ce faire, vous pouvez ajouter une approbation de partie de confiance à votre serveur de fédération (ADFS1).

Créer une approbation de partie de confiance sur votre serveur de fédération

1. Sur votre serveur de fédération (ADFS1), dans la console de gestion AD FS, accédez aux approbations de partie de confiance, puis cliquez sur Ajouter une approbation de partie de confiance.

2. Dans la page Sélectionner une source de données , sélectionnez Importer des données sur la partie de confiance publiée en ligne ou sur un réseau local, entrez l’URL de métadonnées de claimapp, puis cliquez sur Suivant. L’exécution FedUtil.exe a créé un fichier de métadonnées .xml. Il est situé à https://webserv1.contoso.com/claimapp/federationmetadata/2007-06/federationmetadata.xml.

3. Dans la page Spécifier le nom d'affichage, spécifiez le nom d'affichage pour votre relation de confiance avec le tiers, claimapp, puis cliquez sur Suivant.

4. Dans la page Configurer l'authentification multifacteur maintenant ?, sélectionnez Ne pas configurer les paramètres d'authentification multifacteur pour cette approbation de partie de confiance, puis cliquez sur Suivant.

5. Dans la page Choisir les règles d'autorisation d'émission, sélectionnez Autoriser l'accès de tous les utilisateurs à cette partie de confiance, puis cliquez sur Suivant.

6. À la page Prêt à ajouter la confiance, cliquez sur Suivant.

7. Dans la boîte de dialogue Modifier les règles de revendication , cliquez sur Ajouter une règle.

8. Dans la page Choisir un type de règle , sélectionnez Envoyer des revendications à l’aide d’une règle personnalisée, puis cliquez sur Suivant.

9. Dans la page Configurer la règle de revendication , dans la zone Nom de la règle de revendication , tapez Toutes les revendications. Dans la zone Règle personnalisée , tapez la règle de revendication suivante.

   c:[ ]
   => issue(claim = c);
   
   

10. Cliquez sur Terminer, puis sur OK.

Étape 4 : Configurer l’ordinateur client (Client1)

Configurez une autre machine virtuelle et installez Windows 8.1. Cette machine virtuelle doit se trouver sur le même réseau virtuel que les autres machines. Cet ordinateur ne doit pas être joint au domaine Contoso.

Le client DOIT approuver le certificat SSL utilisé pour le serveur de fédération (ADFS1), que vous avez configuré à l’étape 2 : configurer le serveur de fédération (ADFS1) avec le service d’inscription d’appareil. Il doit également être en mesure de valider les informations de révocation de certificat.

Vous devez également configurer et utiliser un compte Microsoft pour vous connecter à Client1.

Voir aussi

Série de vidéos sur les procédures des Active Directory Federation Services : installation d’une batterie de serveurs AD FS Série de vidéos sur les procédures des Active Directory Federation Services : mise à jour des certificats Série de vidéos sur les procédures des Active Directory Federation Services : ajouter une approbation de partie de confiance Série de vidéos sur les procédures des Active Directory Federation Services : activation du service d’inscription d’appareil Série de vidéos sur les procédures des Active Directory Federation Services : installation du Proxy d’application Web