Présentation
Les Services de Fédération Active Directory (AD FS) permettent aux utilisateurs d’un annuaire Active Directory de bénéficier de services d’authentification unique (SSO) et d’une identité fédérée pour des applications externes grâce à un échange de revendications (claims).
L’authentification fondée sur les revendications permet à un utilisateur d’obtenir un jeton sécurisé auprès de son serveur d’identité. Le jeton peut ensuite être présenté à un partenaire de confiance, afin d’ouvrir une session applicative.
Vous trouverez également la présentation et les bénéfices du service ADFS directement sur ce lien : https://technet.microsoft.com/fr-fr/library/cc755226.aspx
Prérequis
ADFS 3.0 est la version des services de fédération disponible sur le système d’exploitation Microsoft Windows Server 2012 R2.
Cette version améliore les fonctions proposées par ADFS 2.0, et offre notamment les avantages suivants :
Support de protocoles de fédérations étendus (SAML, WS-Trust, Oauth, etc.)
- Nouvelles commandes PowerShell pour la gestion et l’exploitation de ADFS
- Support de l’authentification Multi Facteurs
- Support des périphériques mobiles grâce au Workplace Join
- Introduction du Web Application Proxy (WAP) permettant la publication simple d’application, ainsi que l’authentification intégrée ADFS aux applications publiées.
- Intégration d’ADFS 3.0 en tant que rôle
Prérequis Matériels
Le déploiement des services de fédération Active Directory (AD FS) version 3.0 nécessite un ensemble de serveurs. L'utilisation de VMs est totalement supportée.
- Quad-core, 2 GHz
- 4 GB of RAM
- 60 GB of Disk Space
Prérequis Logiciels
AD FS 3.0 nécessite Microsoft Windows Server 2012 R2 pour les serveurs de fédération et les serveurs proxy.
Tous les contrôleurs de domaine de l’organisation doivent exécuter Microsoft Windows Server 2008 ou supérieur. Le niveau fonctionnel des domaines concernés doit être 2003 ou supérieur. Les autres prérequis logiciels seront déployés lors de l’installation du rôle AD FS.
AD FS supporte les comptes de services classiques, ainsi que les «group managed service account ». Le compte de service utilisé doit être trusté dans chaque domaine concerné. Les MSA (Managed service account) sont disponibles dans une infrastructure exécutant au moins un contrôleur de domaine Windows Server 2012.
Le serveur ADFS ne doit pas être joint au domaine.
Certificats
Un certificat SSL sera utilisé lors des communications entre les serveurs AD FS, les clients et les serveurs proxy.
Ce certificat sera déployé sur chaque serveur de fédération appartenant à la ferme.
Les utilisateurs doivent faire confiance à ce certificat. Il doit émaner d’une autorité publique de certification, ou de la PKI interne de l’organisation cible.
Ce certificat doit répondre aux critères suivants :
- Le SN et le SAN de ce certificat doivent faire référence à votre service de fédération. Par exemple : adfs.consulting.com
- Le SAN doit de plus posséder la valeur enterpriseregistration suivie du suffixe UPN de l’organisation cible. Par exemple : adfs.main.consulting.com
- Ce certificat peut être de type « wildcard ». Par exemple : *.main.consulting.com
Un certificat x.509 sera utilisé par les serveurs de fédération pour signer les jetons délivrés aux utilisateurs. AD FS peut automatiquement générer ce certificat. Ce certificat peut émaner d’une autorité de certification de confiance.
Le certificat utilisé doit être le même que celui utilisé sur ADFS Serveur !
Applicatifs
Les protocoles suivants pourront être utilisés par les applications désirant s’interfacer avec les services de fédération.
- WS-Federation
- WS-Trust
- SAML 2.0 utilisant IDPLite, SPLite ou eGov1.5.
- OAuth 2.0
Installation
Pour installer le serveur proxy pour ADFS, il est nécessaire d'avoir installé le serveur ADFS : http://www.it-channels.com/microsoft/ad-fs/191-installer-le-serveur-adfs-3-0
Installation du rôle Web Application Proxy sur srv-proxy1. Le rôle Proxy ADFS n’existe plus à proprement parlé dans Windows Server 2012 R2
Lancez l’assistant ajout de rôles et de fonctionnalités et sélectionner Remote Access
Next
Next
Sélectionner Web Application Proxy
Install
...
Le rôle est maintenant installé
Lancez le wizard de configuration
Next
Créez un compte d'administration dédié pour votre infrastructure ADFS
Rajoutez-le dans le groupe des administrateurs locaux des vos serveurs ADFS
Indiquez le nom du service ADFS préalablement configuré, ainsi que le nom de votre compte d'administration
Sélectionnez le certificat identique celui configuré sur la partie ADFS Serveur
Configure
...
Installation terminée
Test du service :
https://adfs.main.consulting.com/adfs/ls/idpinitiatedsignon - https://<nom_du_service_adfs>/adfs/ls/idpinitiatedsignon
Une fois avoir renseigné le login/mdp, vous devriez être connecté
Well done !!!
Bonne installation =)
Joris