Forum aux questions (FAQ) sur AD FS

Cet article fournit des réponses aux questions fréquemment posées sur les services de fédération Active Directory (AD FS). Il est divisé en sections basées sur le type de question.

Deployment

Comment mettre à niveau/migrer à partir des versions précédentes d’AD FS ?

Vous pouvez mettre à niveau/migrer AD FS en effectuant les étapes de l’un des articles liés suivants :

• Windows Server 2012 R2 AD FS vers Windows Server 2016 AD FS ou version ultérieure. (Le processus est le même si vous effectuez une mise à niveau de Windows Server 2016 AD FS vers Windows Server 2019 AD FS.)
  • Mise à niveau vers AD FS dans Windows Server 2016 à l’aide d’une base de données WID
  • Mise à niveau vers AD FS dans Windows Server 2016 à l’aide d’une base de données SQL
• Windows Server 2012 AD FS vers Windows Server 2012 R2 AD FS :
  • Migrer vers AD FS sur Windows Server 2012 R2
• AD FS 2.0 vers Windows Server 2012 AD FS :
  • Migrer vers AD FS sur Windows Server 2012
• AD FS 1. x à AD FS 2.0 :
  • Mettez à niveau à partir d’AD FS 1. x à AD FS 2.0

Si vous devez effectuer une mise à niveau à partir d’AD FS 2.0 ou 2.1 (Windows Server 2008 R2 ou Windows Server 2012), utilisez les scripts in-box situés dans C :\Windows\ADFS.

Pourquoi l’installation d’AD FS nécessite-t-elle un redémarrage du serveur ?

La prise en charge de HTTP/2 a été ajoutée dans Windows Server 2016, mais HTTP/2 ne peut pas être utilisée pour l’authentification par certificat client. De nombreux scénarios AD FS utilisent l’authentification par certificat client. De nombreux clients ne prennent pas en charge les nouvelles tentatives de requêtes à l’aide de HTTP/1.1. Par conséquent, la configuration de la batterie de serveurs AD FS reconfigure les paramètres HTTP du serveur local sur HTTP/1.1. Cette reconfiguration nécessite un redémarrage du serveur.

Puis-je utiliser des serveurs proxy d’application web Windows Server 2016 pour publier la batterie de serveurs AD FS sur Internet sans mettre à niveau la batterie ad FS principale ?

Cette configuration est prise en charge, mais aucune nouvelle fonctionnalité AD FS 2016 n’est prise en charge. Cette configuration est destinée à être temporaire pendant la migration d’AD FS 2012 R2 vers AD FS 2016. Il ne doit pas être utilisé pendant de longues périodes.

Puis-je déployer AD FS pour Office 365 sans publier de proxy sur Office 365 ?

Oui, mais comme effet secondaire :

• Vous devez gérer manuellement les mises à jour des certificats de signature de jeton, car l’ID Microsoft Entra ne pourra pas accéder aux métadonnées de fédération. Pour plus d’informations sur la mise à jour manuelle des certificats de signature de jetons, consultez Renouveler les certificats de fédération pour Office 365 et Microsoft Entra ID.
• Vous ne pourrez pas utiliser les flux d’authentification hérités (par exemple, le flux d’authentification proxy ExO).

Quelles sont les exigences d’équilibrage de charge pour les serveurs proxy d’application web et AD FS ?

AD FS est un système sans état. L’équilibrage de charge est donc assez simple pour les connexions. Voici quelques recommandations clés pour les systèmes d’équilibrage de charge :

• Les équilibreurs de charge ne doivent pas être configurés avec l’affinité IP. L’affinité IP peut entraîner une charge excessive sur un sous-ensemble de vos serveurs dans certains scénarios Exchange Online.
• Les équilibreurs de charge ne doivent pas arrêter les connexions HTTPS et démarrer une nouvelle connexion au serveur AD FS.
• Les équilibreurs de charge doivent s’assurer que l’adresse IP de connexion doit être traduite en tant qu’adresse IP source dans le paquet HTTP lorsqu’elle est envoyée à AD FS. Si un équilibreur de charge ne peut pas envoyer l’adresse IP source dans le paquet HTTP, l’équilibreur de charge doit ajouter l’adresse IP à l’en-tête X-Forwarded-For. Cette étape est requise pour la gestion correcte de certaines fonctionnalités liées à l’adresse IP (telles que l’adresse IP interdite et le verrouillage intelligent extranet). Si cette configuration n’est pas implémentée correctement, la sécurité peut être réduite.
• Les équilibreurs de charge doivent prendre en charge SNI. Si ce n’est pas le cas, assurez-vous que AD FS est configuré pour créer des liaisons HTTPS pour gérer les clients qui ne prennent pas en charge SNI.
• Les équilibreurs de charge doivent utiliser le point de terminaison de sonde d’intégrité HTTP AD FS pour détecter si les serveurs AD FS ou proxy d’application web sont en cours d’exécution. Elle doit les exclure si 200 OK n’est pas retourné.

Quelles configurations multiforestes prend-elle en charge AD FS ?

AD FS prend en charge plusieurs configurations multiforest. Il s’appuie sur le réseau d’approbation AD DS sous-jacent pour authentifier les utilisateurs sur plusieurs domaines approuvés. Nous recommandons vivement les approbations de forêt bidirectionnelle, car elles sont plus faciles à configurer, ce qui permet de s’assurer que le système d’approbation fonctionne correctement.

Additionally:

• Si vous avez une approbation de forêt unidirectionnelle, comme une forêt de réseau de périmètre (également appelée DMZ) qui contient des identités partenaires, nous vous recommandons de déployer AD FS dans la forêt d’entreprise. Traitez la forêt de réseau de périmètre comme une autre approbation de fournisseur de revendications locales connectée via LDAP. Dans ce cas, l’authentification intégrée Windows ne fonctionnera pas pour les utilisateurs de la forêt de réseau de périmètre. Ils devront utiliser l’authentification par mot de passe, car il s’agit du seul mécanisme pris en charge pour LDAP.

  Si vous ne pouvez pas utiliser cette option, vous devez configurer un autre serveur AD FS dans la forêt du réseau de périmètre. Ajoutez-le en tant que confiance de fournisseur de revendications dans le serveur AD FS dans la forêt d’entreprise. Les utilisateurs devront effectuer la découverte du domaine d’accueil, mais l’authentification intégrée Windows et l’authentification par mot de passe fonctionneront. Apportez les modifications appropriées aux règles d’émission dans AD FS dans la forêt du réseau de périmètre, car AD FS dans la forêt d’entreprise ne pourra pas obtenir plus d’informations sur les utilisateurs de la forêt de réseau de périmètre.

• Les approbations au niveau du domaine sont prises en charge et peuvent fonctionner. Mais nous vous recommandons vivement de passer à un modèle d’approbation au niveau de la forêt. Vous devez également vérifier que le routage UPN et la résolution de noms NetBIOS fonctionnent correctement.

Note

Si vous utilisez l’authentification facultative avec une configuration d’approbation bidirectionnelle, vérifiez que l’utilisateur de l’appelant reçoit l’autorisation d’authentification autorisée sur le compte de service cible.

AD FS Extranet Smart Lockout prend-il en charge IPv6 ?

Oui, les adresses IPv6 sont considérées comme des emplacements familiers et inconnus.

Design

Quels fournisseurs d’authentification multifacteur tiers sont disponibles pour AD FS ?

AD FS fournit un mécanisme extensible pour les fournisseurs d’authentification multifacteur tiers à intégrer. Il n’existe aucun programme de certification défini pour cela. Il est supposé que le fournisseur a effectué les validations nécessaires avant la mise en production.

La liste des fournisseurs qui ont averti Microsoft est disponible ici : fournisseurs d’authentification multifacteur pour AD FS. Il peut y avoir des fournisseurs disponibles que nous ne connaissons pas. Nous allons mettre à jour la liste à mesure que nous en découvrons de nouvelles.

Les proxys tiers sont-ils pris en charge avec AD FS ?

Oui, des proxys tiers peuvent être placés devant AD FS, mais tout proxy tiers doit prendre en charge le protocoleMS-ADFSPIP à utiliser à la place du proxy d’application Web.

Nous sommes actuellement au courant des fournisseurs tiers suivants. Il peut y avoir des fournisseurs disponibles que nous ne connaissons pas. Nous allons mettre à jour cette liste à mesure que nous en découvrons de nouvelles.

• Gestionnaire de stratégies d’accès F5
• Citrix Application Delivery Controller (ADC)

Où se trouve la feuille de calcul de dimensionnement de planification de la capacité pour AD FS 2016 ?

Vous pouvez télécharger la version AD FS 2016 de la feuille de calcul. Vous pouvez également utiliser cette feuille de calcul pour AD FS dans Windows Server 2012 R2.

Comment puis-je vérifier que mes serveurs AD FS et proxy d’application web prennent en charge les exigences ATP d’Apple ?

Apple a publié un ensemble de conditions appelées App Transport Security (ATS) susceptibles d’affecter les appels des applications iOS qui s’authentifient auprès d’AD FS. Vous pouvez vous assurer que vos serveurs AD FS et proxy d’application web sont conformes en s’assurant qu’ils prennent en charge les exigences de connexion à l’aide d’ATS. En particulier, vous devez vérifier que :

• Vos serveurs AD FS et proxy d’application web prennent en charge TLS 1.2.
• La suite de chiffrement négociée de la connexion TLS prend en charge le secret avant parfait.

Pour plus d’informations sur l’activation et la désactivation de SSL 2.0 et 3.0 et TLS 1.0, 1.1 et 1.2, consultez Gérer les protocoles SSL dans AD FS.

Pour vous assurer que vos serveurs AD FS et proxy d’application web négocient uniquement les suites de chiffrement TLS qui prennent en charge ATP, vous pouvez désactiver toutes les suites de chiffrement qui ne sont pas dans la liste des suites de chiffrement compatibles ATP. Pour les désactiver, utilisez les applets de commande Windows TLS PowerShell.

Developer

Quand AD FS génère une id_token pour un utilisateur authentifié sur Active Directory, comment la revendication « sub » est-elle générée dans l’id_token ?

La valeur de la revendication « sub » est le hachage de l’ID client et la valeur de revendication d’ancre.

Quelles sont les durées de vie du jeton d’actualisation et du jeton d’accès lorsque l’utilisateur se connecte via une approbation de fournisseur de revendications distante sur WS-Fed/SAML-P ?

La durée de vie du jeton d’actualisation sera la durée de vie du jeton obtenu par AD FS à partir de l’approbation du fournisseur de revendications distantes. La durée de vie du jeton d’accès sera la durée de vie du jeton de la partie de confiance pour laquelle le jeton d’accès est émis.

Je dois retourner des étendues de profil et d’e-mail en plus de l’étendue openid. Puis-je obtenir plus d’informations à l’aide d’étendues ? Comment procéder dans AD FS ?

Vous pouvez utiliser un id_token personnalisé pour ajouter des informations pertinentes dans le id_token lui-même. Pour plus d’informations, consultez Personnaliser les revendications à émettre dans id_token.

Comment émettre des objets blob JSON dans des jetons JWT ?

Un caractère ValueType (http://www.w3.org/2001/XMLSchema#json) spécial et un caractère d’échappement (\x22) ont été ajoutés pour ce scénario dans AD FS 2016. Utilisez les exemples suivants pour la règle d’émission et pour la sortie finale du jeton d’accès.

Exemple de règle d’émission :

=> issue(Type = "array_in_json", ValueType = "http://www.w3.org/2001/XMLSchema#json", Value = "{\x22Items\x22:[{\x22Name\x22:\x22Apple\x22,\x22Price\x22:12.3},{\x22Name\x22:\x22Grape\x22,\x22Price\x22:3.21}],\x22Date\x22:\x2221/11/2010\x22}");

Revendication émise dans le jeton d’accès :

"array_in_json":{"Items":[{"Name":"Apple","Price":12.3},{"Name":"Grape","Price":3.21}],"Date":"21/11/2010"}

Puis-je transmettre une valeur de ressource dans le cadre de la valeur d’étendue, de la même façon que les demandes sont effectuées sur l’ID Microsoft Entra ?

Avec AD FS sur Windows Server 2019, vous pouvez désormais passer la valeur de la ressource incorporée dans le paramètre d’étendue. Le paramètre d’étendue peut être organisé en tant que liste séparée par un espace où chaque entrée est structurée en tant que ressource/étendue.

AD FS prend-il en charge l’extension PKCE ?

AD FS dans Windows Server 2019 prend en charge la clé de preuve pour l’échange de code (PKCE) pour le flux d’octroi de code d’autorisation OAuth.

Quelles étendues autorisées sont prises en charge par AD FS ?

Supported:

• aza. Si vous utilisez des extensions de protocole OAuth 2.0 pour les clients Broker et que le paramètre d’étendue contient l’étendue aza, le serveur émet un nouveau jeton d’actualisation principal et le définit dans le champ refresh_token de la réponse. Il définit également le champ refresh_token_expires_in sur la durée de vie du nouveau jeton d’actualisation principal, s’il est appliqué.
• openid. Permet à une application de demander l’utilisation du protocole d’autorisation OpenID Connect.
• logon_cert. Permet à une application de demander des certificats d’ouverture de session, qui peuvent être utilisés pour connecter de manière interactive des utilisateurs authentifiés. Le serveur AD FS omet le paramètre access_token de la réponse et fournit plutôt une chaîne de certificats CMS encodée en Base64 ou une réponse PKI complète CMC. Pour plus d’informations, consultez Détails du traitement.
• user_impersonation. Obligatoire si vous souhaitez demander un jeton d’accès au nom à partir d’AD FS. Pour plus d’informations sur l’utilisation de cette étendue, consultez Créer une application multiniveau à l’aide d’on-Behalf-Of (OBO) à l’aide d’OAuth avec AD FS 2016.

Not supported:

• vpn_cert. Permet à une application de demander des certificats VPN, qui peuvent être utilisés pour établir des connexions VPN à l’aide de l’authentification EAP-TLS. Cette étendue n’est plus prise en charge.
• email. Permet à une application de demander une revendication par e-mail pour l’utilisateur connecté. Cette étendue n’est plus prise en charge.
• profile. Permet à une application de demander des revendications liées au profil pour l’utilisateur connecté. Cette étendue n’est plus prise en charge.

Operations

Comment remplacer le certificat SSL pour AD FS ?

Le certificat SSL AD FS n’est pas le même que le certificat de communication de service AD FS dans le composant logiciel enfichable Gestion AD FS. Pour modifier le certificat SSL AD FS, vous devez utiliser PowerShell. Suivez les instructions de gestion des certificats SSL dans AD FS et WAP 2016.

Comment activer ou désactiver les paramètres TLS/SSL pour AD FS ?

Pour plus d’informations sur la désactivation et l’activation des protocoles SSL et des suites de chiffrement, consultez Gérer les protocoles SSL dans AD FS.

Le certificat SSL proxy doit-il être identique au certificat SSL AD FS ?

• Si le proxy est utilisé pour proxyr les demandes AD FS qui utilisent l’authentification intégrée Windows, le certificat SSL proxy doit utiliser la même clé que le certificat SSL du serveur de fédération.
• Si la propriété AD FS ExtendedProtectionTokenCheck est activée (paramètre par défaut dans AD FS), le certificat SSL proxy doit utiliser la même clé que le certificat SSL du serveur de fédération.
• Sinon, le certificat SSL proxy peut avoir une clé différente du certificat SSL AD FS. Il doit répondre aux mêmes exigences.

Pourquoi ne vois-je qu’une connexion par mot de passe sur AD FS et non les autres méthodes d’authentification que j’ai configurées ?

AD FS affiche une seule méthode d’authentification sur l’écran de connexion lorsqu’une application requiert explicitement un URI d’authentification spécifique mappé à une méthode d’authentification configurée et activée. La méthode est véhiculée dans le paramètre wauth dans WS-Federation requêtes. Il est véhiculé dans le paramètre RequestedAuthnCtxRef dans les demandes de protocole SAML. Seule la méthode d’authentification demandée s’affiche. (Par exemple, connexion par mot de passe.)

Lorsque vous utilisez AD FS avec Microsoft Entra ID, il est courant que les applications envoient le paramètre prompt=login à Microsoft Entra ID. Microsoft Entra ID par défaut traduit ce paramètre en demandant une nouvelle connexion basée sur un mot de passe en AD FS. Ce scénario est la raison la plus courante pour laquelle vous pouvez voir une connexion par mot de passe sur AD FS dans votre réseau ou ne pas voir une option de connexion avec votre certificat. Vous pouvez facilement résoudre ce problème en modifiant les paramètres de domaine fédéré dans Microsoft Entra ID.

Pour plus d’informations, consultez la prise en charge des paramètres de connexion des services de fédération Active Directory.

Comment puis-je modifier le compte de service AD FS ?

Pour modifier le compte de service AD FS, utilisez le module PowerShell du compte de service de boîte à outils AD FS. Pour obtenir des instructions, consultez Modifier le compte de service AD FS.

Comment configurer des navigateurs pour utiliser l’authentification intégrée Windows (WIA) avec AD FS ?

Consultez Configurer les navigateurs pour utiliser l’authentification intégrée Windows (WIA) avec AD FS.

Puis-je désactiver BrowserSsoEnabled ?

Si vous ne disposez pas de stratégies de contrôle d’accès basées sur l’appareil sur AD FS ou de l’inscription de certificats Windows Hello Entreprise via AD FS, vous pouvez désactiver BrowserSsoEnabled. BrowserSsoEnabled permet à AD FS de collecter un jeton d’actualisation primaire (PRT) à partir du client qui contient des informations sur le périphérique. Sans ce jeton, l’authentification d’appareil d’AD FS ne fonctionnera pas sur les appareils Windows 10.

Combien de temps les jetons AD FS sont-ils valides ?

Les administrateurs se demandent souvent combien de temps les utilisateurs obtiennent l’authentification unique (SSO) sans avoir à entrer de nouvelles informations d’identification et comment les administrateurs peuvent contrôler ce comportement. Ce comportement et les paramètres de configuration qui le contrôlent sont décrits dans les paramètres d’authentification unique AD FS.

Les durées de vie par défaut des différents cookies et jetons sont répertoriées ici (avec les paramètres qui régissent les durées de vie) :

Registered devices

• Cookies PRT et SSO : 90 jours maximum, régis par PSSOLifeTimeMins. (Si l’appareil est utilisé au moins tous les 14 jours. Cette fenêtre de temps est contrôlée par DeviceUsageWindow.)

• Jeton d’actualisation : calculé en fonction des paramètres précédents pour fournir un comportement cohérent.

• access_token : une heure par défaut, en fonction de la partie de confiance.

• id_token : identique à access_token.

Unregistered devices

• Cookies SSO : Huit heures par défaut, régis par SSOLifetimeMins. Lorsque la fonctionnalité Conserver la connexion (KMSI) est activée, la valeur par défaut est de 24 heures. Cette valeur par défaut est configurable via KMSILifetimeMins.

• Jeton d’actualisation : huit heures par défaut. 24 heures si KMSI est activé.

• access_token : une heure par défaut, en fonction de la partie de confiance.

• id_token : identique à access_token.

AD FS prend-il en charge les flux implicites pour le client confidentiel ?

AD FS ne prend pas en charge les flux implicites pour le client confidentiel. L’authentification du client est activée uniquement pour le point de terminaison de jeton et AD FS n’émet pas de jeton d’accès sans authentification du client. Si le client confidentiel a besoin d’un jeton d’accès et nécessite également l’authentification de l’utilisateur, il doit utiliser le flux de code d’autorisation.

AD FS prend-il en charge HTTP Strict Transport Security (HSTS) ?

HSTS est un mécanisme de stratégie de sécurité web. Il permet d’atténuer les attaques de rétrogradation du protocole et le détournement de cookies pour les services qui ont à la fois des points de terminaison HTTP et HTTPS. Il permet aux serveurs web de déclarer que les navigateurs web (ou d’autres agents utilisateur conformes) doivent interagir avec eux uniquement en utilisant HTTPS et jamais via le protocole HTTP.

Tous les points de terminaison AD FS pour le trafic d’authentification web sont ouverts exclusivement via HTTPS. Ad FS atténue donc les menaces créées par le mécanisme de stratégie HSTS. (Par conception, il n’y a pas de rétrogradation vers HTTP, car il n’y a pas d’écouteurs dans HTTP.) AD FS empêche également les cookies d’être envoyés à un autre serveur qui a des points de terminaison de protocole HTTP en marquant tous les cookies avec l’indicateur sécurisé.

Vous n’avez donc pas besoin de HSTS sur un serveur AD FS, car HSTS ne peut pas être rétrogradé. Les serveurs AD FS répondent aux exigences de conformité, car ils ne peuvent pas utiliser HTTP et parce que les cookies sont marqués comme sécurisés.

Enfin, AD FS 2016 (avec les correctifs les plus up-to-date) et AD FS 2019 prennent en charge l’émission de l’en-tête HSTS. Pour configurer ce comportement, consultez Personnaliser les en-têtes de réponse de sécurité HTTP avec AD FS.

X-MS-Forwarded-Client-IP ne contient pas l’adresse IP du client. Il contient l’adresse IP du pare-feu devant le proxy. Où puis-je obtenir l’adresse IP du client ?

Nous vous déconseillons d’effectuer une terminaison SSL avant le serveur proxy d’application web. S’il est effectué devant le serveur proxy d’application web, leClient-IP X-MS-Forwarded contient l’adresse IP de l’appareil réseau devant le serveur proxy d’application web. Voici une brève description des différentes revendications liées à l’adresse IP prises en charge par AD FS :

• X-MS-Client-IP. Adresse IP réseau de l’appareil connecté au STS. Pour les requêtes extranet, cette revendication contient toujours l’adresse IP du serveur proxy d’application web.
• X-MS-Forwarded-Client-IP. Revendication à valeurs multiples qui contient toutes les valeurs transférées à AD FS par Exchange Online. Il contient également l’adresse IP de l’appareil connecté au serveur proxy d’application web.
• Userip. Pour les requêtes extranet, cette revendication contient la valeur de X-MS-Forwarded-Client-IP. Pour les demandes intranet, cette revendication contient la même valeur que X-MS-Client-IP.

AD FS 2016 (avec les correctifs les plus up-to-date) et les versions ultérieures prennent également en charge la capture de l’en-tête X-Forwarded-For. Tout équilibreur de charge ou périphérique réseau qui n’est pas transféré au niveau de la couche 3 (ip est conservée) doit ajouter l’adresse IP du client entrant à l’en-tête X-Forwarded-For standard du secteur.

J’essaie d’obtenir plus de revendications sur le point de terminaison UserInfo, mais il ne retourne que l’objet. Comment puis-je obtenir plus de revendications ?

Le point de terminaison UserInfo AD FS retourne toujours la revendication d’objet spécifiée dans les normes OpenID. AD FS ne prend pas en charge les revendications supplémentaires demandées via le point de terminaison UserInfo. Si vous avez besoin de plus de revendications dans un jeton d’ID, consultez jetons d’ID personnalisés dans AD FS.

Pourquoi est-ce que je vois un avertissement pour l’échec de l’ajout du compte de service AD FS au groupe Administrateurs de clés d’entreprise ?

Ce groupe est créé uniquement lorsqu’un contrôleur de domaine Windows Server 2016 avec le rôle PDC FSMO existe dans le domaine. Pour résoudre l’erreur, vous pouvez créer le groupe manuellement. Procédez comme suit pour ajouter les autorisations requises après avoir ajouté le compte de service en tant que membre du groupe :

1. Ouvrez Utilisateurs et ordinateurs Active Directory.
2. Cliquez avec le bouton droit sur votre nom de domaine dans le volet gauche, puis sélectionnez Propriétés.
3. Select Security. (Si l’onglet Sécurité est manquant, activez les fonctionnalités avancées dans le menu Affichage .)
4. Sélectionnez Avancé, Ajouter, puis Sélectionner un mandataire.
5. La boîte de dialogue Sélectionner un utilisateur, un ordinateur, un compte de service ou un groupe s’affiche. Dans la zone Entrer le nom de l’objet à sélectionner , entrez le groupe d’administration de clés. Select OK.
6. Dans la zone S’applique à , sélectionnez Objets Utilisateur descendant.
7. Faites défiler la page jusqu’au bas et sélectionnez Effacer tout.
8. Dans la section Propriétés , sélectionnez Lire msDS-KeyCredentialLink et Écrire msDS-KeyCredentialLink.

Pourquoi l’authentification moderne des appareils Android échoue-t-elle si le serveur n’envoie pas tous les certificats intermédiaires dans la chaîne avec le certificat SSL ?

Pour les applications qui utilisent la bibliothèque ADAL Android, l’authentification auprès de Microsoft Entra ID peut échouer pour les utilisateurs fédérés. L’application obtient une exception d’authentification lorsqu’elle tente d’afficher la page de connexion. Dans le navigateur Chrome, la page de connexion AD FS peut être décrite comme non sécurisée.

Pour toutes les versions et tous les appareils, Android ne prend pas en charge le téléchargement de certificats supplémentaires à partir du champ authorityInformationAccess du certificat. Cette limitation s’applique également au navigateur Chrome. Tout certificat d’authentification serveur manquant entraîne cette erreur si la chaîne de certificats entière n’est pas passée à partir d’AD FS.

Vous pouvez résoudre ce problème en configurant les serveurs AD FS et proxy d’application web pour envoyer les certificats intermédiaires nécessaires avec le certificat SSL.

Lorsque vous exportez le certificat SSL d’un ordinateur à importer dans le magasin personnel de l’ordinateur des serveurs AD FS et Proxy d’application web, veillez à exporter la clé privée et à sélectionner Personal Information Exchange - PKCS #12.

Veillez également à sélectionner Inclure tous les certificats dans le chemin du certificat si possible et exporter toutes les propriétés étendues.

Exécutez certlm.msc sur les serveurs Windows et importez *.pfx dans le magasin de certificats personnel de l’ordinateur. Cela entraîne la transmission du serveur à l’ensemble de la chaîne de certificats à la bibliothèque ADAL.

Note

Le magasin de certificats des équilibreurs de charge réseau doit également être mis à jour pour inclure l’ensemble de la chaîne de certificats, le cas échéant.

AD FS prend-il en charge les demandes HEAD ?

AD FS ne prend pas en charge les demandes HEAD. Les applications ne doivent pas utiliser les requêtes HEAD sur les points de terminaison AD FS. L’utilisation de ces requêtes peut entraîner des réponses d’erreur HTTP inattendues ou retardées. Vous pouvez également voir des événements d’erreur inattendus dans le journal des événements AD FS.

Pourquoi ne vois-je pas de jeton d’actualisation quand je me connecte avec un fournisseur d’identité distant ?

Un jeton d’actualisation n’est pas émis si le jeton émis par idP a une validité inférieure à une heure. Pour vous assurer qu’un jeton d’actualisation est émis, augmentez la validité du jeton émis par le fournisseur d’identité à plus d’une heure.

Existe-t-il un moyen de modifier l’algorithme de chiffrement de jeton RP ?

Le chiffrement de jeton rp est défini sur AES256. Vous ne pouvez pas le remplacer par une autre valeur.

Sur une batterie de serveurs en mode mixte, j’obtiens une erreur lorsque j’essaie de définir le nouveau certificat SSL à l’aide de Set-AdfsSslCertificate -Thumbprint. Comment puis-je mettre à jour le certificat SSL dans une batterie de serveurs AD FS en mode mixte ?

Les batteries ad FS en mode mixte sont destinées à être temporaires. Lors de votre planification, nous vous recommandons de restaurer le certificat SSL avant le processus de mise à niveau ou d’effectuer le processus et d’augmenter le niveau de comportement de la batterie de serveurs avant de mettre à jour le certificat SSL. Si cette recommandation n’a pas été suivie, utilisez les instructions suivantes pour mettre à jour le certificat SSL.

Sur les serveurs proxy d’application web, vous pouvez toujours utiliser Set-WebApplicationProxySslCertificate. Sur les serveurs AD FS, vous devez utiliser netsh. Procédez comme suit :

1. Sélectionnez un sous-ensemble de serveurs AD FS 2016 pour la maintenance.

2. Sur les serveurs sélectionnés à l’étape précédente, importez le nouveau certificat via MMC.

3. Supprimez les certificats existants :

   a. netsh http delete sslcert hostnameport=fs.contoso.com:443

   b. netsh http delete sslcert hostnameport=localhost:443

   c. netsh http delete sslcert hostnameport=fs.contoso.com:49443

4. Ajoutez les nouveaux certificats :

   a. netsh http add sslcert hostnameport=fs.contoso.com:443 certhash=THUMBPRINT appid="{5d89a20c-beab-4389-9447-324788eb944a}" certstorename=My verifyclientcertrevocation=Enable sslctlstorename=AdfsTrustedDevices

   b. netsh http add sslcert hostnameport=localhost:443 certhash=THUMBPRINT appid="{5d89a20c-beab-4389-9447-324788eb944a}" certstorename=My verifyclientcertrevocation=Enable

   c. netsh http add sslcert hostnameport=fs.contoso.com:49443 certhash=THUMBPRINT appid="{5d89a20c-beab-4389-9447-324788eb944a}" certstorename=My verifyclientcertrevocation=Enable clientcertnegotiation=Enable

5. Redémarrez le service AD FS sur le serveur sélectionné.

6. Supprimez un sous-ensemble de serveurs proxy d’application web pour la maintenance.

7. Sur les serveurs proxy d’application web sélectionnés, importez le nouveau certificat via MMC.

8. Définissez le nouveau certificat sur le serveur proxy d’application web à l’aide de cette applet de commande :

   • Set-WebApplicationProxySslCertificate -Thumbprint " CERTTHUMBPRINT"

9. Redémarrez le service sur les serveurs proxy d’application web sélectionnés.

10. Placez le proxy d’application web sélectionné et les serveurs AD FS dans l’environnement de production.

Mettez à jour le reste des serveurs AD FS et proxy d’application web de la même façon.

AD FS est-il pris en charge lorsque les serveurs proxy d’application web se trouvent derrière le pare-feu d’applications web Azure (WAF) ?

Les serveurs d’applications web et AD FS prennent en charge tout pare-feu qui n’effectue pas d’arrêt SSL sur le point de terminaison. En outre, les serveurs proxy d’application web / AD FS disposent de mécanismes intégrés pour :

• Empêchez les attaques web courantes telles que les scripts intersites.
• Effectuez un proxy AD FS.
• Satisfaire à toutes les exigences définies par le protocoleMS-ADFSPIP.

J’obtiens « Événement 441 : Un jeton avec une clé de liaison de jeton incorrecte a été trouvé ». Que dois-je faire pour résoudre cet événement ?

Dans AD FS 2016, la liaison de jeton est automatiquement activée et provoque plusieurs problèmes connus avec les scénarios de proxy et de fédération. Ces problèmes provoquent cet événement. Pour résoudre cet événement, exécutez la commande PowerShell suivante pour supprimer la prise en charge de la liaison de jeton :

Set-AdfsProperties -IgnoreTokenBinding $true

J’ai mis à niveau ma batterie de serveurs ad FS dans Windows Server 2016 vers AD FS dans Windows Server 2019. Le niveau de comportement de la batterie de serveurs AD FS a été élevé à Windows Server 2019, mais la configuration du proxy d’application web s’affiche toujours sous la forme de Windows Server 2016.

Après une mise à niveau vers Windows Server 2019, la version de configuration du proxy d’application web continuera à s’afficher en tant que Windows Server 2016. Le proxy d’application web n’a pas de nouvelles fonctionnalités spécifiques à la version pour Windows Server 2019. Si le niveau de comportement de la batterie de serveurs a été déclenché sur AD FS, le proxy d’application web continue à s’afficher en tant que Windows Server 2016. Ce comportement est voulu.

Puis-je estimer la taille d’ADFSArtifactStore avant d’activer ESL ?

Quand ESL est activé, AD FS effectue le suivi de l’activité du compte et des emplacements connus pour les utilisateurs dans la base de données ADFSArtifactStore. Cette base de données est mise à l’échelle par rapport au nombre d’utilisateurs et d’emplacements connus suivis. Lorsque vous envisagez d’activer ESL, vous pouvez estimer que la base de données ADFSArtifactStore augmentera à un taux allant jusqu’à 1 Go par 100 000 utilisateurs.

Si la batterie de serveurs AD FS utilise la base de données interne Windows, l’emplacement par défaut des fichiers de base de données est C :\Windows\WID\Data. Pour empêcher le remplissage de ce lecteur, veillez à disposer d’au moins 5 Go de stockage gratuit avant d’activer ESL. En plus du stockage sur disque, planifiez la croissance de la mémoire totale du processus après avoir activé ESL jusqu’à 1 Go de RAM pour les populations d’utilisateurs de 500 000 ou moins.

J’obtiens l’ID d’événement 570 sur AD FS 2019. Comment atténuer cet événement ?

Voici le texte de l’événement :

Active Directory trust enumeration was unable to enumerate one of more domains due to the following error. Enumeration will continue but the Active Directory identifier list may not be correct. Validate that all expected Active Directory identifiers are present by running Get-ADFSDirectoryProperties.

Cet événement se produit lorsque les forêts ne sont pas approuvées lorsque AD FS tente d’énumérer toutes les forêts d’une chaîne de forêts approuvées et de se connecter à toutes les forêts. Par exemple, supposons que la forêt AD FS A et la forêt B sont approuvées et que la forêt B et la forêt C sont approuvées. AD FS énumère les trois forêts et tente de trouver une approbation entre la forêt A et la forêt C. Si les utilisateurs de la forêt défaillante doivent être authentifiés par AD FS, configurez une approbation entre la forêt AD FS et la forêt défaillante. Si les utilisateurs de la forêt défaillante ne doivent pas être authentifiés par AD FS, ignorez cet événement.

J’obtiens l’ID d’événement 364. Que dois-je faire pour résoudre ce problème ?

Voici le texte de l’événement :

Microsoft.IdentityServer.AuthenticationFailedException: MSIS5015: Authentication of the presented token failed. Token Binding claim in token must match the binding provided by the channel.

Dans AD FS 2016, la liaison de jeton est automatiquement activée et provoque plusieurs problèmes connus avec les scénarios de proxy et de fédération. Ces problèmes provoquent cet événement. Pour résoudre l’événement, exécutez la commande PowerShell suivante pour supprimer la prise en charge de la liaison de jeton :

Set-AdfsProperties -IgnoreTokenBinding $true

J’obtiens l’ID d’événement 543. Comment atténuer cet événement ?

Voici le texte de l’événement :

System.ServiceModel.FaultException: The formatter threw an error while trying to deserialize the message: There was an error while trying to deserialize parameter schemas.microsoft.com/ws/2009/12/identityserver/protocols/policystore:maxBehaviorLevel". The InnerException message was "Invalid enum value 'Win2019' cannot be deserialized into type 'Microsoft.IdentityServer.FarmBehavior'. Ensure that the necessary enum values are present and are marked with EnumMemberAttribute attribute if the type has DataContractAttribute attribute.

Cet événement est attendu lorsque ces deux instructions sont vraies :

• Vous disposez d’une batterie de serveurs en mode mixte.
• AD FS 2019 fournit les informations de niveau de comportement maximal de la batterie de serveurs au serveur de fédération principal et n’est pas reconnue par le serveur de fédération version 2016.

AD FS 2019 continue d’essayer de partager dans la batterie la valeur Win2019 MaxBehaviorLevel jusqu’à ce qu’elle devienne obsolète après deux mois et soit automatiquement supprimée de la batterie de serveurs. Pour éviter d’obtenir cet événement, migrez le rôle de fédération principal vers le serveur de fédération avec la dernière version. Suivez les instructions fournies dans Pour mettre à niveau votre batterie AD FS vers le niveau de comportement de la batterie de serveurs Windows Server 2019.

Comment résoudre l’erreur des journaux des événements d’administration AD FS : « Demande Oauth non valide reçue. Le client <NAME> est interdit d’accéder à la ressource avec des ugs d’étendue » ?

Pour résoudre ce problème, procédez comme suit :

1. Lancez la console de gestion AD FS.
2. Allez àDescriptions de l’étenduedes services>.
3. Dans « Descriptions de l’étendue », sélectionnez Plus d’options, puis sélectionnez Ajouter une description de l’étendue.
4. Sous Nom, entrez ugs, puis sélectionnez Appliquer>OK.
5. Lancez PowerShell en tant qu’administrateur.
6. Exécutez la commande Get-AdfsApplicationPermission. Recherchez l’élément ScopeNames :{openid, aza} qui a la ClientRoleIdentifier valeur. Notez la valeur de ObjectIdentifier.
7. Exécutez la commande Set-AdfsApplicationPermission -TargetIdentifier <ObjectIdentifier from step 5> -AddScope 'ugs'.
8. Redémarrez le service AD FS.
9. Sur le client, redémarrez le client. Vous devez être invité à configurer Windows Hello Entreprise.
10. Si la fenêtre de configuration ne s’affiche pas, vous devez collecter les journaux de suivi et résoudre les problèmes supplémentaires.

Puis-je transmettre une valeur de ressource dans le cadre de la valeur d’étendue comme une requête classique sur Azure AD ?

Oui, mais uniquement dans Windows Server 2019 ou version ultérieure. Vous pouvez organiser le paramètre d’étendue en tant que liste séparée par un espace où chaque entrée est structurée en tant que ressource ou étendue, par <create a valid sample request>exemple .

AD FS prend-il en charge l’extension PKCE ?

Oui, mais uniquement dans Windows Server 2019 ou version ultérieure. AD FS prend en charge la clé de preuve pour l’échange de code (PKCE) pour le flux d’octroi de code d’autorisation OAuth.

Comment obtenir l’extension SID (Security Identifier) dans les certificats inscrits via AD FS pour répondre aux critères de mappage forts appliqués au Centre de distribution de clés (KDC) ?

AD FS s’inscrit pour les certificats d’ouverture de session pour le compte de comptes authentifiés dans certains scénarios Windows Hello Entreprise, comme documenté dans Configurer l’authentification unique pour Azure Virtual Desktop à l’aide d’AD FS. Par défaut, ces certificats ne contiennent pas d’extension SID et sont refusés par KDC. Pour plus d’informations sur les exigences de KDC, consultez KB5014754 : modifications de l’authentification basée sur des certificats sur les contrôleurs de domaine Windows. Les mises à jour sont disponibles pour AD FS sur Windows Server 2019, Windows Server 2022 et Windows Server 2025 pour s’assurer que les certificats émis incluent l’extension SID pour répondre à des exigences de mappage fortes. Pour activer ce comportement, installez les dernières mises à jour Windows sur tous les serveurs AD FS de la batterie de serveurs, puis exécutez l’applet de commande suivante sur le serveur AD FS principal :

• Set-AdfsCertificateAuthority -EnrollmentAgent -AddSIDCertificateExtension $true

Cet article fournit des réponses aux questions fréquemment posées sur les services de fédération Active Directory (AD FS). Il est divisé en sections basées sur le type de question.

Vous pouvez mettre à niveau/migrer AD FS en effectuant les étapes de l’un des articles liés suivants :

• Windows Server 2012 R2 AD FS vers Windows Server 2016 AD FS ou version ultérieure. (Le processus est le même si vous effectuez une mise à niveau de Windows Server 2016 AD FS vers Windows Server 2019 AD FS.)
  • Mise à niveau vers AD FS dans Windows Server 2016 à l’aide d’une base de données WID
  • Mise à niveau vers AD FS dans Windows Server 2016 à l’aide d’une base de données SQL
• Windows Server 2012 AD FS vers Windows Server 2012 R2 AD FS :
  • Migrer vers AD FS sur Windows Server 2012 R2
• AD FS 2.0 vers Windows Server 2012 AD FS :
  • Migrer vers AD FS sur Windows Server 2012
• AD FS 1. x à AD FS 2.0 :
  • Mettez à niveau à partir d’AD FS 1. x à AD FS 2.0

Si vous devez effectuer une mise à niveau à partir d’AD FS 2.0 ou 2.1 (Windows Server 2008 R2 ou Windows Server 2012), utilisez les scripts in-box situés dans C :\Windows\ADFS.

La prise en charge de HTTP/2 a été ajoutée dans Windows Server 2016, mais HTTP/2 ne peut pas être utilisée pour l’authentification par certificat client. De nombreux scénarios AD FS utilisent l’authentification par certificat client. De nombreux clients ne prennent pas en charge les nouvelles tentatives de requêtes à l’aide de HTTP/1.1. Par conséquent, la configuration de la batterie de serveurs AD FS reconfigure les paramètres HTTP du serveur local sur HTTP/1.1. Cette reconfiguration nécessite un redémarrage du serveur.

Cette configuration est prise en charge, mais aucune nouvelle fonctionnalité AD FS 2016 n’est prise en charge. Cette configuration est destinée à être temporaire pendant la migration d’AD FS 2012 R2 vers AD FS 2016. Il ne doit pas être utilisé pendant de longues périodes.

Oui, mais comme effet secondaire :

• Vous devez gérer manuellement les mises à jour des certificats de signature de jeton, car l’ID Microsoft Entra ne pourra pas accéder aux métadonnées de fédération. Pour plus d’informations sur la mise à jour manuelle des certificats de signature de jetons, consultez Renouveler les certificats de fédération pour Office 365 et Microsoft Entra ID.
• Vous ne pourrez pas utiliser les flux d’authentification hérités (par exemple, le flux d’authentification proxy ExO).

AD FS est un système sans état. L’équilibrage de charge est donc assez simple pour les connexions. Voici quelques recommandations clés pour les systèmes d’équilibrage de charge :

• Les équilibreurs de charge ne doivent pas être configurés avec l’affinité IP. L’affinité IP peut entraîner une charge excessive sur un sous-ensemble de vos serveurs dans certains scénarios Exchange Online.
• Les équilibreurs de charge ne doivent pas arrêter les connexions HTTPS et démarrer une nouvelle connexion au serveur AD FS.
• Les équilibreurs de charge doivent s’assurer que l’adresse IP de connexion doit être traduite en tant qu’adresse IP source dans le paquet HTTP lorsqu’elle est envoyée à AD FS. Si un équilibreur de charge ne peut pas envoyer l’adresse IP source dans le paquet HTTP, l’équilibreur de charge doit ajouter l’adresse IP à l’en-tête X-Forwarded-For. Cette étape est requise pour la gestion correcte de certaines fonctionnalités liées à l’adresse IP (telles que l’adresse IP interdite et le verrouillage intelligent extranet). Si cette configuration n’est pas implémentée correctement, la sécurité peut être réduite.
• Les équilibreurs de charge doivent prendre en charge SNI. Si ce n’est pas le cas, assurez-vous que AD FS est configuré pour créer des liaisons HTTPS pour gérer les clients qui ne prennent pas en charge SNI.
• Les équilibreurs de charge doivent utiliser le point de terminaison de sonde d’intégrité HTTP AD FS pour détecter si les serveurs AD FS ou proxy d’application web sont en cours d’exécution. Elle doit les exclure si 200 OK n’est pas retourné.

AD FS prend en charge plusieurs configurations multiforest. Il s’appuie sur le réseau d’approbation AD DS sous-jacent pour authentifier les utilisateurs sur plusieurs domaines approuvés. Nous recommandons vivement les approbations de forêt bidirectionnelle, car elles sont plus faciles à configurer, ce qui permet de s’assurer que le système d’approbation fonctionne correctement.

Additionally:

• Si vous avez une approbation de forêt unidirectionnelle, comme une forêt de réseau de périmètre (également appelée DMZ) qui contient des identités partenaires, nous vous recommandons de déployer AD FS dans la forêt d’entreprise. Traitez la forêt de réseau de périmètre comme une autre approbation de fournisseur de revendications locales connectée via LDAP. Dans ce cas, l’authentification intégrée Windows ne fonctionnera pas pour les utilisateurs de la forêt de réseau de périmètre. Ils devront utiliser l’authentification par mot de passe, car il s’agit du seul mécanisme pris en charge pour LDAP.

  Si vous ne pouvez pas utiliser cette option, vous devez configurer un autre serveur AD FS dans la forêt du réseau de périmètre. Ajoutez-le en tant que confiance de fournisseur de revendications dans le serveur AD FS dans la forêt d’entreprise. Les utilisateurs devront effectuer la découverte du domaine d’accueil, mais l’authentification intégrée Windows et l’authentification par mot de passe fonctionneront. Apportez les modifications appropriées aux règles d’émission dans AD FS dans la forêt du réseau de périmètre, car AD FS dans la forêt d’entreprise ne pourra pas obtenir plus d’informations sur les utilisateurs de la forêt de réseau de périmètre.

• Les approbations au niveau du domaine sont prises en charge et peuvent fonctionner. Mais nous vous recommandons vivement de passer à un modèle d’approbation au niveau de la forêt. Vous devez également vérifier que le routage UPN et la résolution de noms NetBIOS fonctionnent correctement.

Note

Si vous utilisez l’authentification facultative avec une configuration d’approbation bidirectionnelle, vérifiez que l’utilisateur de l’appelant reçoit l’autorisation d’authentification autorisée sur le compte de service cible.

Oui, les adresses IPv6 sont considérées comme des emplacements familiers et inconnus.

AD FS fournit un mécanisme extensible pour les fournisseurs d’authentification multifacteur tiers à intégrer. Il n’existe aucun programme de certification défini pour cela. Il est supposé que le fournisseur a effectué les validations nécessaires avant la mise en production.

La liste des fournisseurs qui ont averti Microsoft est disponible ici : fournisseurs d’authentification multifacteur pour AD FS. Il peut y avoir des fournisseurs disponibles que nous ne connaissons pas. Nous allons mettre à jour la liste à mesure que nous en découvrons de nouvelles.

Oui, des proxys tiers peuvent être placés devant AD FS, mais tout proxy tiers doit prendre en charge le protocoleMS-ADFSPIP à utiliser à la place du proxy d’application Web.

Nous sommes actuellement au courant des fournisseurs tiers suivants. Il peut y avoir des fournisseurs disponibles que nous ne connaissons pas. Nous allons mettre à jour cette liste à mesure que nous en découvrons de nouvelles.

• Gestionnaire de stratégies d’accès F5
• Citrix Application Delivery Controller (ADC)

Vous pouvez télécharger la version AD FS 2016 de la feuille de calcul. Vous pouvez également utiliser cette feuille de calcul pour AD FS dans Windows Server 2012 R2.

Apple a publié un ensemble de conditions appelées App Transport Security (ATS) susceptibles d’affecter les appels des applications iOS qui s’authentifient auprès d’AD FS. Vous pouvez vous assurer que vos serveurs AD FS et proxy d’application web sont conformes en s’assurant qu’ils prennent en charge les exigences de connexion à l’aide d’ATS. En particulier, vous devez vérifier que :

• Vos serveurs AD FS et proxy d’application web prennent en charge TLS 1.2.
• La suite de chiffrement négociée de la connexion TLS prend en charge le secret avant parfait.

Pour plus d’informations sur l’activation et la désactivation de SSL 2.0 et 3.0 et TLS 1.0, 1.1 et 1.2, consultez Gérer les protocoles SSL dans AD FS.

Pour vous assurer que vos serveurs AD FS et proxy d’application web négocient uniquement les suites de chiffrement TLS qui prennent en charge ATP, vous pouvez désactiver toutes les suites de chiffrement qui ne sont pas dans la liste des suites de chiffrement compatibles ATP. Pour les désactiver, utilisez les applets de commande Windows TLS PowerShell.

La valeur de la revendication « sub » est le hachage de l’ID client et la valeur de revendication d’ancre.

La durée de vie du jeton d’actualisation sera la durée de vie du jeton obtenu par AD FS à partir de l’approbation du fournisseur de revendications distantes. La durée de vie du jeton d’accès sera la durée de vie du jeton de la partie de confiance pour laquelle le jeton d’accès est émis.

Vous pouvez utiliser un id_token personnalisé pour ajouter des informations pertinentes dans le id_token lui-même. Pour plus d’informations, consultez Personnaliser les revendications à émettre dans id_token.

Un caractère ValueType (http://www.w3.org/2001/XMLSchema#json) spécial et un caractère d’échappement (\x22) ont été ajoutés pour ce scénario dans AD FS 2016. Utilisez les exemples suivants pour la règle d’émission et pour la sortie finale du jeton d’accès.

Exemple de règle d’émission :

=> issue(Type = "array_in_json", ValueType = "http://www.w3.org/2001/XMLSchema#json", Value = "{\x22Items\x22:[{\x22Name\x22:\x22Apple\x22,\x22Price\x22:12.3},{\x22Name\x22:\x22Grape\x22,\x22Price\x22:3.21}],\x22Date\x22:\x2221/11/2010\x22}");

Revendication émise dans le jeton d’accès :

"array_in_json":{"Items":[{"Name":"Apple","Price":12.3},{"Name":"Grape","Price":3.21}],"Date":"21/11/2010"}

Avec AD FS sur Windows Server 2019, vous pouvez désormais passer la valeur de la ressource incorporée dans le paramètre d’étendue. Le paramètre d’étendue peut être organisé en tant que liste séparée par un espace où chaque entrée est structurée en tant que ressource/étendue.

AD FS dans Windows Server 2019 prend en charge la clé de preuve pour l’échange de code (PKCE) pour le flux d’octroi de code d’autorisation OAuth.

Supported:

• aza. Si vous utilisez des extensions de protocole OAuth 2.0 pour les clients Broker et que le paramètre d’étendue contient l’étendue aza, le serveur émet un nouveau jeton d’actualisation principal et le définit dans le champ refresh_token de la réponse. Il définit également le champ refresh_token_expires_in sur la durée de vie du nouveau jeton d’actualisation principal, s’il est appliqué.
• openid. Permet à une application de demander l’utilisation du protocole d’autorisation OpenID Connect.
• logon_cert. Permet à une application de demander des certificats d’ouverture de session, qui peuvent être utilisés pour connecter de manière interactive des utilisateurs authentifiés. Le serveur AD FS omet le paramètre access_token de la réponse et fournit plutôt une chaîne de certificats CMS encodée en Base64 ou une réponse PKI complète CMC. Pour plus d’informations, consultez Détails du traitement.
• user_impersonation. Obligatoire si vous souhaitez demander un jeton d’accès au nom à partir d’AD FS. Pour plus d’informations sur l’utilisation de cette étendue, consultez Créer une application multiniveau à l’aide d’on-Behalf-Of (OBO) à l’aide d’OAuth avec AD FS 2016.

Not supported:

• vpn_cert. Permet à une application de demander des certificats VPN, qui peuvent être utilisés pour établir des connexions VPN à l’aide de l’authentification EAP-TLS. Cette étendue n’est plus prise en charge.
• email. Permet à une application de demander une revendication par e-mail pour l’utilisateur connecté. Cette étendue n’est plus prise en charge.
• profile. Permet à une application de demander des revendications liées au profil pour l’utilisateur connecté. Cette étendue n’est plus prise en charge.

Le certificat SSL AD FS n’est pas le même que le certificat de communication de service AD FS dans le composant logiciel enfichable Gestion AD FS. Pour modifier le certificat SSL AD FS, vous devez utiliser PowerShell. Suivez les instructions de gestion des certificats SSL dans AD FS et WAP 2016.

Pour plus d’informations sur la désactivation et l’activation des protocoles SSL et des suites de chiffrement, consultez Gérer les protocoles SSL dans AD FS.

• Si le proxy est utilisé pour proxyr les demandes AD FS qui utilisent l’authentification intégrée Windows, le certificat SSL proxy doit utiliser la même clé que le certificat SSL du serveur de fédération.
• Si la propriété AD FS ExtendedProtectionTokenCheck est activée (paramètre par défaut dans AD FS), le certificat SSL proxy doit utiliser la même clé que le certificat SSL du serveur de fédération.
• Sinon, le certificat SSL proxy peut avoir une clé différente du certificat SSL AD FS. Il doit répondre aux mêmes exigences.

AD FS affiche une seule méthode d’authentification sur l’écran de connexion lorsqu’une application requiert explicitement un URI d’authentification spécifique mappé à une méthode d’authentification configurée et activée. La méthode est véhiculée dans le paramètre wauth dans WS-Federation requêtes. Il est véhiculé dans le paramètre RequestedAuthnCtxRef dans les demandes de protocole SAML. Seule la méthode d’authentification demandée s’affiche. (Par exemple, connexion par mot de passe.)

Lorsque vous utilisez AD FS avec Microsoft Entra ID, il est courant que les applications envoient le paramètre prompt=login à Microsoft Entra ID. Microsoft Entra ID par défaut traduit ce paramètre en demandant une nouvelle connexion basée sur un mot de passe en AD FS. Ce scénario est la raison la plus courante pour laquelle vous pouvez voir une connexion par mot de passe sur AD FS dans votre réseau ou ne pas voir une option de connexion avec votre certificat. Vous pouvez facilement résoudre ce problème en modifiant les paramètres de domaine fédéré dans Microsoft Entra ID.

Pour plus d’informations, consultez la prise en charge des paramètres de connexion des services de fédération Active Directory.

Pour modifier le compte de service AD FS, utilisez le module PowerShell du compte de service de boîte à outils AD FS. Pour obtenir des instructions, consultez Modifier le compte de service AD FS.

Consultez Configurer les navigateurs pour utiliser l’authentification intégrée Windows (WIA) avec AD FS.

Si vous ne disposez pas de stratégies de contrôle d’accès basées sur l’appareil sur AD FS ou de l’inscription de certificats Windows Hello Entreprise via AD FS, vous pouvez désactiver BrowserSsoEnabled. BrowserSsoEnabled permet à AD FS de collecter un jeton d’actualisation primaire (PRT) à partir du client qui contient des informations sur le périphérique. Sans ce jeton, l’authentification d’appareil d’AD FS ne fonctionnera pas sur les appareils Windows 10.

Les administrateurs se demandent souvent combien de temps les utilisateurs obtiennent l’authentification unique (SSO) sans avoir à entrer de nouvelles informations d’identification et comment les administrateurs peuvent contrôler ce comportement. Ce comportement et les paramètres de configuration qui le contrôlent sont décrits dans les paramètres d’authentification unique AD FS.

Les durées de vie par défaut des différents cookies et jetons sont répertoriées ici (avec les paramètres qui régissent les durées de vie) :

Registered devices

• Cookies PRT et SSO : 90 jours maximum, régis par PSSOLifeTimeMins. (Si l’appareil est utilisé au moins tous les 14 jours. Cette fenêtre de temps est contrôlée par DeviceUsageWindow.)

• Jeton d’actualisation : calculé en fonction des paramètres précédents pour fournir un comportement cohérent.

• access_token : une heure par défaut, en fonction de la partie de confiance.

• id_token : identique à access_token.

Unregistered devices

• Cookies SSO : Huit heures par défaut, régis par SSOLifetimeMins. Lorsque la fonctionnalité Conserver la connexion (KMSI) est activée, la valeur par défaut est de 24 heures. Cette valeur par défaut est configurable via KMSILifetimeMins.

• Jeton d’actualisation : huit heures par défaut. 24 heures si KMSI est activé.

• access_token : une heure par défaut, en fonction de la partie de confiance.

• id_token : identique à access_token.

AD FS ne prend pas en charge les flux implicites pour le client confidentiel. L’authentification du client est activée uniquement pour le point de terminaison de jeton et AD FS n’émet pas de jeton d’accès sans authentification du client. Si le client confidentiel a besoin d’un jeton d’accès et nécessite également l’authentification de l’utilisateur, il doit utiliser le flux de code d’autorisation.

HSTS est un mécanisme de stratégie de sécurité web. Il permet d’atténuer les attaques de rétrogradation du protocole et le détournement de cookies pour les services qui ont à la fois des points de terminaison HTTP et HTTPS. Il permet aux serveurs web de déclarer que les navigateurs web (ou d’autres agents utilisateur conformes) doivent interagir avec eux uniquement en utilisant HTTPS et jamais via le protocole HTTP.

Tous les points de terminaison AD FS pour le trafic d’authentification web sont ouverts exclusivement via HTTPS. Ad FS atténue donc les menaces créées par le mécanisme de stratégie HSTS. (Par conception, il n’y a pas de rétrogradation vers HTTP, car il n’y a pas d’écouteurs dans HTTP.) AD FS empêche également les cookies d’être envoyés à un autre serveur qui a des points de terminaison de protocole HTTP en marquant tous les cookies avec l’indicateur sécurisé.

Vous n’avez donc pas besoin de HSTS sur un serveur AD FS, car HSTS ne peut pas être rétrogradé. Les serveurs AD FS répondent aux exigences de conformité, car ils ne peuvent pas utiliser HTTP et parce que les cookies sont marqués comme sécurisés.

Enfin, AD FS 2016 (avec les correctifs les plus up-to-date) et AD FS 2019 prennent en charge l’émission de l’en-tête HSTS. Pour configurer ce comportement, consultez Personnaliser les en-têtes de réponse de sécurité HTTP avec AD FS.

Nous vous déconseillons d’effectuer une terminaison SSL avant le serveur proxy d’application web. S’il est effectué devant le serveur proxy d’application web, leClient-IP X-MS-Forwarded contient l’adresse IP de l’appareil réseau devant le serveur proxy d’application web. Voici une brève description des différentes revendications liées à l’adresse IP prises en charge par AD FS :

• X-MS-Client-IP. Adresse IP réseau de l’appareil connecté au STS. Pour les requêtes extranet, cette revendication contient toujours l’adresse IP du serveur proxy d’application web.
• X-MS-Forwarded-Client-IP. Revendication à valeurs multiples qui contient toutes les valeurs transférées à AD FS par Exchange Online. Il contient également l’adresse IP de l’appareil connecté au serveur proxy d’application web.
• Userip. Pour les requêtes extranet, cette revendication contient la valeur de X-MS-Forwarded-Client-IP. Pour les demandes intranet, cette revendication contient la même valeur que X-MS-Client-IP.

AD FS 2016 (avec les correctifs les plus up-to-date) et les versions ultérieures prennent également en charge la capture de l’en-tête X-Forwarded-For. Tout équilibreur de charge ou périphérique réseau qui n’est pas transféré au niveau de la couche 3 (ip est conservée) doit ajouter l’adresse IP du client entrant à l’en-tête X-Forwarded-For standard du secteur.

Le point de terminaison UserInfo AD FS retourne toujours la revendication d’objet spécifiée dans les normes OpenID. AD FS ne prend pas en charge les revendications supplémentaires demandées via le point de terminaison UserInfo. Si vous avez besoin de plus de revendications dans un jeton d’ID, consultez jetons d’ID personnalisés dans AD FS.

Ce groupe est créé uniquement lorsqu’un contrôleur de domaine Windows Server 2016 avec le rôle PDC FSMO existe dans le domaine. Pour résoudre l’erreur, vous pouvez créer le groupe manuellement. Procédez comme suit pour ajouter les autorisations requises après avoir ajouté le compte de service en tant que membre du groupe :

1. Ouvrez Utilisateurs et ordinateurs Active Directory.
2. Cliquez avec le bouton droit sur votre nom de domaine dans le volet gauche, puis sélectionnez Propriétés.
3. Select Security. (Si l’onglet Sécurité est manquant, activez les fonctionnalités avancées dans le menu Affichage .)
4. Sélectionnez Avancé, Ajouter, puis Sélectionner un mandataire.
5. La boîte de dialogue Sélectionner un utilisateur, un ordinateur, un compte de service ou un groupe s’affiche. Dans la zone Entrer le nom de l’objet à sélectionner , entrez le groupe d’administration de clés. Select OK.
6. Dans la zone S’applique à , sélectionnez Objets Utilisateur descendant.
7. Faites défiler la page jusqu’au bas et sélectionnez Effacer tout.
8. Dans la section Propriétés , sélectionnez Lire msDS-KeyCredentialLink et Écrire msDS-KeyCredentialLink.

Pour les applications qui utilisent la bibliothèque ADAL Android, l’authentification auprès de Microsoft Entra ID peut échouer pour les utilisateurs fédérés. L’application obtient une exception d’authentification lorsqu’elle tente d’afficher la page de connexion. Dans le navigateur Chrome, la page de connexion AD FS peut être décrite comme non sécurisée.

Pour toutes les versions et tous les appareils, Android ne prend pas en charge le téléchargement de certificats supplémentaires à partir du champ authorityInformationAccess du certificat. Cette limitation s’applique également au navigateur Chrome. Tout certificat d’authentification serveur manquant entraîne cette erreur si la chaîne de certificats entière n’est pas passée à partir d’AD FS.

Vous pouvez résoudre ce problème en configurant les serveurs AD FS et proxy d’application web pour envoyer les certificats intermédiaires nécessaires avec le certificat SSL.

Lorsque vous exportez le certificat SSL d’un ordinateur à importer dans le magasin personnel de l’ordinateur des serveurs AD FS et Proxy d’application web, veillez à exporter la clé privée et à sélectionner Personal Information Exchange - PKCS #12.

Veillez également à sélectionner Inclure tous les certificats dans le chemin du certificat si possible et exporter toutes les propriétés étendues.

Exécutez certlm.msc sur les serveurs Windows et importez *.pfx dans le magasin de certificats personnel de l’ordinateur. Cela entraîne la transmission du serveur à l’ensemble de la chaîne de certificats à la bibliothèque ADAL.

Note

Le magasin de certificats des équilibreurs de charge réseau doit également être mis à jour pour inclure l’ensemble de la chaîne de certificats, le cas échéant.

AD FS ne prend pas en charge les demandes HEAD. Les applications ne doivent pas utiliser les requêtes HEAD sur les points de terminaison AD FS. L’utilisation de ces requêtes peut entraîner des réponses d’erreur HTTP inattendues ou retardées. Vous pouvez également voir des événements d’erreur inattendus dans le journal des événements AD FS.

Un jeton d’actualisation n’est pas émis si le jeton émis par idP a une validité inférieure à une heure. Pour vous assurer qu’un jeton d’actualisation est émis, augmentez la validité du jeton émis par le fournisseur d’identité à plus d’une heure.

Le chiffrement de jeton rp est défini sur AES256. Vous ne pouvez pas le remplacer par une autre valeur.

Les batteries ad FS en mode mixte sont destinées à être temporaires. Lors de votre planification, nous vous recommandons de restaurer le certificat SSL avant le processus de mise à niveau ou d’effectuer le processus et d’augmenter le niveau de comportement de la batterie de serveurs avant de mettre à jour le certificat SSL. Si cette recommandation n’a pas été suivie, utilisez les instructions suivantes pour mettre à jour le certificat SSL.

Sur les serveurs proxy d’application web, vous pouvez toujours utiliser Set-WebApplicationProxySslCertificate. Sur les serveurs AD FS, vous devez utiliser netsh. Procédez comme suit :

1. Sélectionnez un sous-ensemble de serveurs AD FS 2016 pour la maintenance.

2. Sur les serveurs sélectionnés à l’étape précédente, importez le nouveau certificat via MMC.

3. Supprimez les certificats existants :

   a. netsh http delete sslcert hostnameport=fs.contoso.com:443

   b. netsh http delete sslcert hostnameport=localhost:443

   c. netsh http delete sslcert hostnameport=fs.contoso.com:49443

4. Ajoutez les nouveaux certificats :

   a. netsh http add sslcert hostnameport=fs.contoso.com:443 certhash=THUMBPRINT appid="{5d89a20c-beab-4389-9447-324788eb944a}" certstorename=My verifyclientcertrevocation=Enable sslctlstorename=AdfsTrustedDevices

   b. netsh http add sslcert hostnameport=localhost:443 certhash=THUMBPRINT appid="{5d89a20c-beab-4389-9447-324788eb944a}" certstorename=My verifyclientcertrevocation=Enable

   c. netsh http add sslcert hostnameport=fs.contoso.com:49443 certhash=THUMBPRINT appid="{5d89a20c-beab-4389-9447-324788eb944a}" certstorename=My verifyclientcertrevocation=Enable clientcertnegotiation=Enable

5. Redémarrez le service AD FS sur le serveur sélectionné.

6. Supprimez un sous-ensemble de serveurs proxy d’application web pour la maintenance.

7. Sur les serveurs proxy d’application web sélectionnés, importez le nouveau certificat via MMC.

8. Définissez le nouveau certificat sur le serveur proxy d’application web à l’aide de cette applet de commande :

   • Set-WebApplicationProxySslCertificate -Thumbprint " CERTTHUMBPRINT"

9. Redémarrez le service sur les serveurs proxy d’application web sélectionnés.

10. Placez le proxy d’application web sélectionné et les serveurs AD FS dans l’environnement de production.

Mettez à jour le reste des serveurs AD FS et proxy d’application web de la même façon.

Les serveurs d’applications web et AD FS prennent en charge tout pare-feu qui n’effectue pas d’arrêt SSL sur le point de terminaison. En outre, les serveurs proxy d’application web / AD FS disposent de mécanismes intégrés pour :

• Empêchez les attaques web courantes telles que les scripts intersites.
• Effectuez un proxy AD FS.
• Satisfaire à toutes les exigences définies par le protocoleMS-ADFSPIP.

Dans AD FS 2016, la liaison de jeton est automatiquement activée et provoque plusieurs problèmes connus avec les scénarios de proxy et de fédération. Ces problèmes provoquent cet événement. Pour résoudre cet événement, exécutez la commande PowerShell suivante pour supprimer la prise en charge de la liaison de jeton :

Set-AdfsProperties -IgnoreTokenBinding $true

Après une mise à niveau vers Windows Server 2019, la version de configuration du proxy d’application web continuera à s’afficher en tant que Windows Server 2016. Le proxy d’application web n’a pas de nouvelles fonctionnalités spécifiques à la version pour Windows Server 2019. Si le niveau de comportement de la batterie de serveurs a été déclenché sur AD FS, le proxy d’application web continue à s’afficher en tant que Windows Server 2016. Ce comportement est voulu.

Quand ESL est activé, AD FS effectue le suivi de l’activité du compte et des emplacements connus pour les utilisateurs dans la base de données ADFSArtifactStore. Cette base de données est mise à l’échelle par rapport au nombre d’utilisateurs et d’emplacements connus suivis. Lorsque vous envisagez d’activer ESL, vous pouvez estimer que la base de données ADFSArtifactStore augmentera à un taux allant jusqu’à 1 Go par 100 000 utilisateurs.

Si la batterie de serveurs AD FS utilise la base de données interne Windows, l’emplacement par défaut des fichiers de base de données est C :\Windows\WID\Data. Pour empêcher le remplissage de ce lecteur, veillez à disposer d’au moins 5 Go de stockage gratuit avant d’activer ESL. En plus du stockage sur disque, planifiez la croissance de la mémoire totale du processus après avoir activé ESL jusqu’à 1 Go de RAM pour les populations d’utilisateurs de 500 000 ou moins.

Voici le texte de l’événement :

Active Directory trust enumeration was unable to enumerate one of more domains due to the following error. Enumeration will continue but the Active Directory identifier list may not be correct. Validate that all expected Active Directory identifiers are present by running Get-ADFSDirectoryProperties.

Cet événement se produit lorsque les forêts ne sont pas approuvées lorsque AD FS tente d’énumérer toutes les forêts d’une chaîne de forêts approuvées et de se connecter à toutes les forêts. Par exemple, supposons que la forêt AD FS A et la forêt B sont approuvées et que la forêt B et la forêt C sont approuvées. AD FS énumère les trois forêts et tente de trouver une approbation entre la forêt A et la forêt C. Si les utilisateurs de la forêt défaillante doivent être authentifiés par AD FS, configurez une approbation entre la forêt AD FS et la forêt défaillante. Si les utilisateurs de la forêt défaillante ne doivent pas être authentifiés par AD FS, ignorez cet événement.

Voici le texte de l’événement :

Microsoft.IdentityServer.AuthenticationFailedException: MSIS5015: Authentication of the presented token failed. Token Binding claim in token must match the binding provided by the channel.

Dans AD FS 2016, la liaison de jeton est automatiquement activée et provoque plusieurs problèmes connus avec les scénarios de proxy et de fédération. Ces problèmes provoquent cet événement. Pour résoudre l’événement, exécutez la commande PowerShell suivante pour supprimer la prise en charge de la liaison de jeton :

Set-AdfsProperties -IgnoreTokenBinding $true

Voici le texte de l’événement :

System.ServiceModel.FaultException: The formatter threw an error while trying to deserialize the message: There was an error while trying to deserialize parameter schemas.microsoft.com/ws/2009/12/identityserver/protocols/policystore:maxBehaviorLevel". The InnerException message was "Invalid enum value 'Win2019' cannot be deserialized into type 'Microsoft.IdentityServer.FarmBehavior'. Ensure that the necessary enum values are present and are marked with EnumMemberAttribute attribute if the type has DataContractAttribute attribute.

Cet événement est attendu lorsque ces deux instructions sont vraies :

• Vous disposez d’une batterie de serveurs en mode mixte.
• AD FS 2019 fournit les informations de niveau de comportement maximal de la batterie de serveurs au serveur de fédération principal et n’est pas reconnue par le serveur de fédération version 2016.

AD FS 2019 continue d’essayer de partager dans la batterie la valeur Win2019 MaxBehaviorLevel jusqu’à ce qu’elle devienne obsolète après deux mois et soit automatiquement supprimée de la batterie de serveurs. Pour éviter d’obtenir cet événement, migrez le rôle de fédération principal vers le serveur de fédération avec la dernière version. Suivez les instructions fournies dans Pour mettre à niveau votre batterie AD FS vers le niveau de comportement de la batterie de serveurs Windows Server 2019.

Pour résoudre ce problème, procédez comme suit :

1. Lancez la console de gestion AD FS.
2. Allez àDescriptions de l’étenduedes services>.
3. Dans « Descriptions de l’étendue », sélectionnez Plus d’options, puis sélectionnez Ajouter une description de l’étendue.
4. Sous Nom, entrez ugs, puis sélectionnez Appliquer>OK.
5. Lancez PowerShell en tant qu’administrateur.
6. Exécutez la commande Get-AdfsApplicationPermission. Recherchez l’élément ScopeNames :{openid, aza} qui a la ClientRoleIdentifier valeur. Notez la valeur de ObjectIdentifier.
7. Exécutez la commande Set-AdfsApplicationPermission -TargetIdentifier <ObjectIdentifier from step 5> -AddScope 'ugs'.
8. Redémarrez le service AD FS.
9. Sur le client, redémarrez le client. Vous devez être invité à configurer Windows Hello Entreprise.
10. Si la fenêtre de configuration ne s’affiche pas, vous devez collecter les journaux de suivi et résoudre les problèmes supplémentaires.

Oui, mais uniquement dans Windows Server 2019 ou version ultérieure. Vous pouvez organiser le paramètre d’étendue en tant que liste séparée par un espace où chaque entrée est structurée en tant que ressource ou étendue, par <create a valid sample request>exemple .

Oui, mais uniquement dans Windows Server 2019 ou version ultérieure. AD FS prend en charge la clé de preuve pour l’échange de code (PKCE) pour le flux d’octroi de code d’autorisation OAuth.

AD FS s’inscrit pour les certificats d’ouverture de session pour le compte de comptes authentifiés dans certains scénarios Windows Hello Entreprise, comme documenté dans Configurer l’authentification unique pour Azure Virtual Desktop à l’aide d’AD FS. Par défaut, ces certificats ne contiennent pas d’extension SID et sont refusés par KDC. Pour plus d’informations sur les exigences de KDC, consultez KB5014754 : modifications de l’authentification basée sur des certificats sur les contrôleurs de domaine Windows. Les mises à jour sont disponibles pour AD FS sur Windows Server 2019, Windows Server 2022 et Windows Server 2025 pour s’assurer que les certificats émis incluent l’extension SID pour répondre à des exigences de mappage fortes. Pour activer ce comportement, installez les dernières mises à jour Windows sur tous les serveurs AD FS de la batterie de serveurs, puis exécutez l’applet de commande suivante sur le serveur AD FS principal :

• Set-AdfsCertificateAuthority -EnrollmentAgent -AddSIDCertificateExtension $true