Partager via


Conditions requises pour AD FS

Voici les conditions requises pour le déploiement des services de fédération Active Directory (AD FS) :

Certificate requirements

TLS/SSL Certificates

Chaque serveur proxy d’application web et AD FS dispose d’un certificat TLS/SSL pour traiter les requêtes HTTPS adressées au service de fédération. Le proxy d’application web peut avoir des certificats supplémentaires pour traiter les demandes aux applications publiées.

Recommandations pour les certificats TLS/SSL

Utilisez le même certificat TLS/SSL pour tous les serveurs de fédération AD FS et les proxys d’application web.

Configuration requise pour les certificats TLS/SSL

Les certificats TLS/SSL sur les serveurs de fédération doivent répondre aux exigences suivantes :

  • Le certificat est approuvé publiquement (pour les déploiements de production).
  • Le certificat contient la valeur EKU (Server Authentication Enhanced Key Usage).
  • Le certificat contient le nom du service de fédération, tel que fs.contoso.com dans le champ Objet ou le nom alternatif du sujet (SAN).
  • Pour l'authentification par certificat d'utilisateur sur le port 443, le certificat contient certauth.\<federation service name\>, tel que certauth.fs.contoso.com dans le SAN.
  • Pour l'enregistrement des appareils ou pour l'authentification moderne auprès des ressources locales utilisant des clients pré-Windows 10, le SAN doit contenir enterpriseregistration.\<upn suffix\> pour chaque suffixe UPN (User Principal Name) utilisé dans votre organisation.

Les certificats TLS/SSL sur le proxy d’application web doivent répondre aux exigences suivantes :

  • Si le proxy est utilisé pour proxyr les demandes AD FS qui utilisent l’authentification intégrée Windows, le certificat TLS/SSL du proxy doit être identique (utilisez la même clé) que le certificat TLS/SSL du serveur de fédération.
  • If the AD FS property, ExtendedProtectionTokenCheck, is enabled (the default setting in AD FS), the proxy TLS/SSL certificate must be the same (use the same key) as the federation server TLS/SSL certificate.
  • Dans le cas contraire, les conditions requises pour le certificat TLS/SSL proxy sont les mêmes que celles du certificat TLS/SSL du serveur de fédération.

Certificat de communication du service

Ce certificat n’est pas nécessaire pour la plupart des scénarios AD FS, notamment Microsoft Entra ID et Office 365. Par défaut, AD FS configure le certificat TLS/SSL fourni lors de la configuration initiale en tant que certificat de communication de service.

Recommandation pour le certificat de communication de service

  • Utilisez le même certificat que vous utilisez pour TLS/SSL.

Certificat de signature de jetons

Ce certificat est utilisé pour signer des jetons émis à des parties de confiance. Par conséquent, les applications de partie de confiance doivent reconnaître le certificat et sa clé associée comme connue et approuvée. Lorsque le certificat de signature de jeton change, par exemple lorsqu’il expire et que vous configurez un nouveau certificat, toutes les parties de confiance doivent être mises à jour.

Recommandation pour le certificat de signature de jetons

Utilisez les certificats de signature de jetons auto-signés par défaut générés en interne par AD FS.

Exigences pour le Certificat de signature de jetons

  • If your organization requires that certificates from the enterprise public key infrastructure (PKI) be used for token signing, you can meet this requirement by using the SigningCertificateThumbprint parameter of the Install-AdfsFarm cmdlet.
  • Que vous utilisiez les certificats générés en interne par défaut ou les certificats inscrits en externe, lorsque le certificat de signature de jeton est modifié, vous devez vérifier que toutes les parties de confiance sont mises à jour avec les nouvelles informations de certificat. Sinon, ces parties de confiance ne peuvent pas se connecter.

Certificat de chiffrement/déchiffrement de jetons

Ce certificat est utilisé par les fournisseurs de revendications qui chiffrent les jetons délivrés à AD FS.

Recommandation pour le certificat de cryptage/décryptage de jetons

Utilisez les certificats de déchiffrement de jetons auto-signés par défaut d'AD FS générés en interne.

Exigences pour le certificat de chiffrement/déchiffrement de jetons

  • If your organization requires that certificates from the enterprise PKI be used for token signing, you can meet this requirement by using the DecryptingCertificateThumbprint parameter of the Install-AdfsFarm cmdlet.
  • Que vous utilisiez les certificats générés en interne par défaut ou les certificats inscrits en externe, lorsque le certificat de déchiffrement de jeton est modifié, vous devez vous assurer que tous les fournisseurs de revendications sont mis à jour avec les nouvelles informations de certificat. Dans le cas contraire, les connexions utilisant des fournisseurs de revendications non mis à jour échouent.

Caution

Les certificats qui sont utilisés pour la signature des jetons et le déchiffrement/chiffrement des jetons sont essentiels à la stabilité du Service de Fédération. Les clients qui gèrent leur propre signature de jeton et déchiffrement/chiffrement de jetons doivent s’assurer que ces certificats sont sauvegardés et sont disponibles indépendamment pendant un événement de récupération.

User Certificates

  • Lorsque vous utilisez l’authentification par certificat utilisateur x509 avec AD FS, tous les certificats utilisateur doivent être chaînés à une autorité de certification racine approuvée par les serveurs AD FS et Proxy d’Application Web.

Hardware requirements

Les exigences matérielles du proxy d’application web et d'AD FS (physiques ou virtuelles) sont déterminées par le nombre de processeurs, vous devez donc dimensionner votre ferme de serveurs pour la capacité de traitement.

La mémoire et les disques requis pour AD FS sont assez statiques. Les conditions requises sont indiquées dans le tableau suivant :

Hardware requirement Minimum requirement Recommended requirement
RAM 2 GB 4 GB
Disk space 32 GB 100 GB

Configuration matérielle requise pour SQL Server

Si vous utilisez Azure SQL pour votre base de données de configuration AD FS, dimensionner SQL Server en fonction des recommandations SQL Server les plus élémentaires. La taille de la base de données AD FS est petite et AD FS n’a pas mis une charge de traitement significative sur l’instance de base de données. AD FS se connecte toutefois plusieurs fois à la base de données pendant une authentification, de sorte que la connexion réseau doit être robuste. Malheureusement, SQL Azure n’est pas pris en charge pour la base de données de configuration AD FS.

Proxy requirements

  • Pour l’accès extranet, vous devez déployer le service de rôle proxy d’application web , qui fait partie du rôle serveur d’accès à distance.

  • Third-party proxies must support the MS-ADFSPIP protocol to be supported as an AD FS proxy. Pour obtenir la liste des fournisseurs tiers, consultez les questions fréquentes (FAQ) sur AD FS.

  • AD FS 2016 nécessite des serveurs proxy d’application web sur Windows Server 2016. Vous ne pouvez pas configurer un proxy de niveau inférieur pour une batterie de serveurs AD FS 2016 s’exécutant au niveau du comportement de batterie de serveurs 2016.

  • Un serveur de fédération et le service de rôle proxy d’application web ne peuvent pas être installés sur le même ordinateur.

Conditions requises pour AD DS

Configuration requise pour le contrôleur de domaine

  • AD FS nécessite des contrôleurs de domaine exécutant Windows Server 2008 ou version ultérieure.

  • Au moins un contrôleur de domaine Windows Server 2016 est requis pour Windows Hello Entreprise.

Note

Toute la prise en charge des environnements avec les contrôleurs de domaine Windows Server 2003 a pris fin. Pour plus d’informations, consultez les informations de cycle de vie de Microsoft.

Conditions requises au niveau fonctionnel du domaine

  • Tous les domaines de compte d’utilisateur et le domaine auquel les serveurs AD FS sont joints doivent fonctionner au niveau fonctionnel du domaine de Windows Server 2003 ou version ultérieure.

  • Un niveau fonctionnel de domaine Windows Server 2008 ou version ultérieure est requis pour l’authentification par certificat client si le certificat est mappé explicitement au compte d’un utilisateur dans AD DS.

Schema requirements

  • Les nouvelles installations d’AD FS 2016 nécessitent le schéma Active Directory 2016 (version minimale 85).

  • L’élévation du niveau de comportement de la batterie de serveurs AD FS au niveau 2016 nécessite le schéma Active Directory 2016 (version minimale 85).

Conditions requises pour le compte de service

  • Tout compte de domaine standard peut être utilisé comme compte de service pour AD FS. Les comptes de service géré de groupe sont également pris en charge. Les autorisations requises au moment de l’exécution sont automatiquement ajoutées lorsque vous configurez AD FS.

  • L’attribution des droits utilisateur requise pour le compte de service AD est log on as a service.

  • Les attributions de droits utilisateur requises pour les NT Service\adfssrv et les NT Service\drs sont générer des audits de sécurité et se connecter en tant que service.

  • Les comptes de service géré de groupe nécessitent au moins un contrôleur de domaine exécutant Windows Server 2012 ou version ultérieure. Le compte de service administré de groupe (gMSA) doit résider sous le conteneur par défaut CN=Managed Service Accounts.

  • Pour l’authentification Kerberos, le nom du principal de service «HOST/<adfs\_service\_name> » doit être inscrit sur le compte de service AD FS. Par défaut, AD FS configure cette exigence lors de la création d’une batterie de serveurs AD FS. Si ce processus échoue, par exemple s’il existe une collision ou des autorisations insuffisantes, vous voyez un avertissement et vous devez l’ajouter manuellement.

Domain Requirements

  • Tous les serveurs AD FS doivent être joints à un domaine AD DS.

  • Tous les serveurs AD FS au sein d’une batterie de serveurs doivent être déployés dans le même domaine.

  • L’installation du premier nœud de la batterie de serveurs AD FS dépend de la disponibilité du contrôleur de domaine principal.

Exigences en matière de forêts multiples

  • Le domaine auquel les serveurs AD FS sont joints doit approuver chaque domaine ou forêt qui contient des utilisateurs s’authentifiant auprès du service AD FS.

  • La forêt dont le compte de service AD FS est membre doit approuver toutes les forêts de connexion utilisateur.

  • Le compte de service AD FS doit disposer d’autorisations pour lire les attributs utilisateur dans chaque domaine qui contient des utilisateurs s’authentifiant auprès du service AD FS.

Configuration requise pour la base de données

Cette section décrit les exigences et les restrictions pour les batteries de serveurs AD FS qui utilisent respectivement la base de données interne Windows (WID) ou SQL Server comme base de données :

WID

  • Le profil de résolution d’artefact de SAML 2.0 n’est pas pris en charge dans une batterie de serveurs WID.

  • La détection de relecture de jetons n’est pas prise en charge dans une batterie de serveurs WID. Cette fonctionnalité est utilisée uniquement dans les scénarios où AD FS agit comme fournisseur de fédération et consomme des jetons de sécurité provenant de fournisseurs de revendications externes.

Le tableau suivant fournit un résumé du nombre de serveurs AD FS pris en charge dans un WID et une batterie de serveurs SQL Server.

Approbations de partie de confiance 1-100 Plus de 100 fiducies RP
Nœuds AD FS 1-30 : WID pris en charge Nœuds AD FS 1-30 : Non pris en charge avec WID - SQL Server requis
Plus de 30 nœuds AD FS : Non pris en charge avec WID - SQL Server requis Plus de 30 nœuds AD FS : Non pris en charge avec WID - SQL Server requis

SQL Server

  • Pour AD FS dans Windows Server 2016, SQL Server 2008 et versions ultérieures sont pris en charge.

  • La résolution d’artefacts SAML et la détection de relecture de jetons sont prises en charge dans une batterie SQL Server.

Browser requirements

Lorsque l’authentification AD FS est effectuée via un navigateur ou un contrôle de navigateur, votre navigateur doit respecter les exigences suivantes :

  • JavaScript doit être activé.

  • Pour l’authentification unique, le navigateur client doit être configuré pour autoriser les cookies.

  • L’indication de nom de serveur (SNI) doit être prise en charge.

  • Pour l’authentification par certificat d’utilisateur et certificat d’appareil, le navigateur doit prendre en charge l’authentification par certificat client TLS/SSL.

  • Pour l’authentification transparente à l’aide de l’authentification intégrée Windows, le nom du service de fédération (par exemple https:\/\/fs.contoso.com) doit être configuré dans une zone intranet locale ou une zone de sites approuvés.

Network requirements

Firewall Requirements

Les pare-feu situés entre le proxy d’application web et la batterie de serveurs de fédération et entre les clients et le proxy d’application web doivent avoir le port TCP 443 activé entrant.

En outre, si vous avez besoin de l’authentification par certificat utilisateur client (authentification clientTLS à l’aide de certificats utilisateur X509) et que vous n’avez pas le port 443 sur le point de terminaison certauth activé. AD FS 2016 nécessite d’activer le port TCP 49443 entrant sur le pare-feu entre les clients et le proxy d’application web. Cette exigence ne s’applique pas au pare-feu entre le proxy d’application web et les serveurs de fédération.

Pour plus d’informations sur la configuration requise pour les ports hybrides, consultez Ports et protocoles obligatoires d’identité hybride.

Pour plus d’informations, consultez les meilleures pratiques pour la sécurisation des services de fédération Active Directory

DNS Requirements

  • Pour l’accès intranet, tous les clients accédant au service AD FS au sein du réseau d’entreprise interne (intranet) doivent pouvoir résoudre le nom du service AD FS en équilibreur de charge pour les serveurs AD FS ou le serveur AD FS.

  • Pour l’accès extranet, tous les clients accédant au service AD FS à partir de l’extérieur du réseau d’entreprise (extranet/Internet) doivent pouvoir résoudre le nom du service AD FS en équilibreur de charge pour les serveurs proxy d’application web ou le serveur proxy d’application web.

  • Chaque serveur proxy d’application web dans la zone démilitarisée (DMZ) doit être en mesure de résoudre le nom du service AD FS en équilibreur de charge pour les serveurs AD FS ou le serveur AD FS. Vous pouvez créer cette configuration à l’aide d’un autre serveur DNS (Domain Name System) dans le réseau DMZ ou en modifiant la résolution de serveur local à l’aide du fichier HOSTS.

  • Pour l’authentification intégrée Windows, vous devez utiliser un enregistrement DNS A (et non CNAME) pour le nom du service de fédération.

  • Pour l’authentification par certificat utilisateur sur le port 443, « certauth.<nom du service de fédération> » doit être configuré dans DNS pour qu'il pointe vers le serveur de fédération ou le proxy d’application web.

  • Pour l’inscription des appareils ou pour l’authentification moderne auprès de ressources locales utilisant des clients antérieurs à Windows 10, enterpriseregistration.\<upn suffix\>, vous devez configurer chaque suffixe UPN utilisé dans votre organisation pour qu’il corresponde au serveur de fédération ou au Proxy d’application web.

Configuration requise pour l’équilibreur de charge

  • L’équilibreur de charge ne doit pas arrêter TLS/SSL. AD FS prend en charge plusieurs cas d’utilisation avec l’authentification par certificat, ce qui s’interrompt lors de la fin du protocole TLS/SSL. La fin du protocole TLS/SSL au niveau de l’équilibreur de charge n’est pas prise en charge pour un cas d’usage quelconque.
  • Utilisez un équilibreur de charge qui prend en charge SNI. Dans le cas contraire, l’utilisation de la liaison de secours 0.0.0.0 sur votre serveur Proxy d’application web ou AD FS doit fournir une solution de contournement.
  • Utilisez les points de terminaison de sonde d’intégrité HTTP (et non HTTPS) afin d’effectuer des vérifications de l’intégrité de l’équilibreur de charge pour le routage du trafic. Cette exigence évite les problèmes liés à SNI. La réponse à ces points de terminaison de sonde est http 200 OK et est traitée localement sans dépendance vis-à-vis des services principaux. La sonde HTTP est accessible via HTTP à l’aide du chemin « /adfs/probe »
    • http://<Web Application Proxy name>/adfs/probe
    • http://<AD FS server name>/adfs/probe
    • http://<Web Application Proxy IP address>/adfs/probe
    • http://<AD FS IP address>/adfs/probe
  • Il n’est pas recommandé d’utiliser le DNS round robin comme moyen de répartition de charge. L’utilisation de ce type d’équilibrage de charge ne fournit pas de moyen automatisé de supprimer un nœud de l’équilibreur de charge à l’aide de sondes d’intégrité.
  • Il n’est pas recommandé d’utiliser l’affinité de session basée sur IP ou les sessions sticky pour le trafic d’authentification vers AD FS au sein de l’équilibreur de charge. Vous pouvez entraîner une surcharge de certains nœuds lors de l’utilisation du protocole d’authentification hérité pour que les clients de messagerie se connectent aux services de messagerie Office 365 (Exchange Online).

Permissions requirements

L’administrateur qui effectue l’installation et la configuration initiale d’AD FS doivent disposer d’autorisations d’administrateur local sur le serveur AD FS. If the local administrator doesn't have permissions to create objects in Active Directory, they must first have a domain admin create the required AD objects, then configure the AD FS farm using the AdminConfiguration parameter.