Présentation

Les Services de Fédération Active Directory (AD FS) permettent aux utilisateurs d’un annuaire Active Directory de bénéficier de services d’authentification unique (SSO) et d’une identité fédérée pour des applications externes grâce à un échange de revendications (claims).

L’authentification fondée sur les revendications permet à un utilisateur d’obtenir un jeton sécurisé auprès de son serveur d’identité. Le jeton peut ensuite être présentéà un partenaire de confiance, afin d’ouvrir une session applicative.

Vous trouverez également la présentation et les bénéfices du service ADFS directement sur ce lien : https://technet.microsoft.com/fr-fr/library/cc755226.aspx

Prérequis

ADFS 3.0 est la version des services de fédération disponible sur le système d’exploitation Microsoft Windows Server 2012 R2.

Cette version améliore les fonctions proposées par ADFS 2.0, et offre notamment les avantages suivants :

Support de protocoles de fédérations étendus (SAML, WS-Trust, Oauth, etc.)

• Nouvelles commandes PowerShell pour la gestion et l’exploitation de ADFS
• Support de l’authentification Multi Facteurs
• Support des périphériques mobiles grâce au Workplace Join
• Introduction du Web Application Proxy (WAP) permettant la publication simple d’application, ainsi que l’authentification intégrée ADFS aux applications publiées.
• Intégration d’ADFS 3.0 en tant que rôle

Prérequis Matériels

Le déploiement des services de fédération Active Directory (AD FS) version 3.0 nécessite un ensemble de serveurs. L'utilisation de VMs est totalement supportée. 

• Quad-core, 2 GHz
• 4 GB of RAM
• 100 GB of Disk Space

Prérequis Logiciels

AD FS 3.0 nécessite Microsoft Windows Server 2012 R2 pour les serveurs de fédération et les serveurs proxy.

Tous les contrôleurs de domaine de l’organisation doivent exécuter Microsoft Windows Server 2008 ou supérieur. Le niveau fonctionnel des domaines concernés doit être 2003 ou supérieur. Les autres prérequis logiciels seront déployés lors de l’installation du rôle AD FS.

AD FS supporte les comptes de services classiques, ainsi que les «group managed service account ». Le compte de service utilisé doit être trusté dans chaque domaine concerné. Les MSA (Managed service account) sont disponibles dans une infrastructure exécutant au moins un contrôleur de domaine Windows Server 2012.

Le serveur ADFS doit être joint au domaine. 

Certificats 

Un certificat SSL sera utilisé lors des communications entre les serveurs AD FS, les clients et les serveurs proxy.

Ce certificat sera déployé sur chaque serveur de fédération appartenant à la ferme.

Les utilisateurs doivent faire confiance à ce certificat. Il doit émaner d’une autorité publique de certification, ou de la PKI interne de l’organisation cible.

Ce certificat doit répondre aux critères suivants :

• Le SN et le SAN de ce certificat doivent faire référence à votre service de fédération. Par exemple : adfs.consulting.com
• Le SAN doit de plus posséder la valeur enterpriseregistration suivie du suffixe UPN de l’organisation cible. Par exemple : adfs.main.consulting.com
• Ce certificat peut être de type « wildcard ». Par exemple : *.main.consulting.com

Un certificat x.509 sera utilisé par les serveurs de fédération pour signer les jetons délivrés aux utilisateurs.AD FS peut automatiquement générer ce certificat. Ce certificat peut émaner d’une autorité de certification de confiance.

Applicatifs 

Les protocoles suivants pourront être utilisés par les applications désirant s’interfacer avec les services de fédération.

• WS-Federation
• WS-Trust
• SAML 2.0 utilisant  IDPLite, SPLite ou eGov1.5.
• OAuth 2.0

Installation

Installation du rôle ADFS Server sur srv-adfs1

Lancez l’assistant d’ajout de rôles et de fonctionnalités, Sélectionnez Active Directory Federation Services

Installez

...

Nous allons maintenant lancer le wizard de configuration du service ADFS

Dans notre cas, il s'agit du premier serveur ADFS, si toutefois vous souhaitez installer plusieurs serveurs, il faudra cochez la deuxième case afin de rajouter l'installation en cours sur une ferme existante

Entrez un compte possédant les privilèges Administrateur du Domaine (Nécessaire pour l’inscription du SPN des services de Fédération)

Sélectionnez le certificat que présentera les services de fédération lors de la connexion par le protocole https. Entrer le nom du service de fédération à créer

L’assistant crée un enregistrement SPN de type HOST, qui peut également être créé manuellement avec la commande suivante :

setspn -s HOST/adfs.main.consulting.com main\svc_adfs

Petite parenthèse pendant mon wizard le temps de créer un certificat émanant de ma PKI interne (AD CS)..

Un fois mon certificat SSL disponible, on reprend sur le wizard... Il faut maintenant définir le compte de service

Vous avez deux possibilités d'un point de vue stockage de données, soit vous utilisez WIDS (Windows Internal Database - pratique pour des tests), soit vous avez créé une instance SQL dédiée (ce que je préconise ++ pour de la production)

Next...

Configure

Installation en cours...

Installation terminée

Pour finir, il faut configurer la partie DNS afin de pouvoir accéder au service de fédération

 Test de l'authentification SSO par le biais de ADFS :

https://adfs.main.consulting.com/adfs/ls/idpinitiatedsignon - https://<nom_du_service_adfs>/adfs/ls/idpinitiatedsignon

A ce stade là, votre service ADFS est fonctionnel.

Bonne installation =)

Next step : installer le proxy ADFS : http://www.it-channels.com/microsoft/ad-fs/192-installer-le-proxy-adfs-3-0

Joris