Planifier et déployer AD FS 2.0 pour l'utilisation avec l'authentification unique

La topologie par défaut pour Office 365 est une batterie de serveurs de fédération AD FS 2.0 qui se compose de plusieurs serveurs hébergeant le service de fédération de votre organisation. Dans cette topologie, AD FS 2.0 utilise la base de données interne Windows comme base de données de configuration AD FS 2.0 pour tous les serveurs de fédération joints à la batterie. La batterie réplique et maintient les données du service de fédération de la base de données de configuration à travers chaque serveur de la batterie.

La création du premier serveur de fédération d’une batterie consiste aussi à créer un nouveau service de fédération. Quand la base de données interne Windows est utilisée comme base de données de configuration AD FS 2.0, le premier serveur de fédération créé dans la batterie est désigné comme serveur de fédération principal. Cela signifie que cet ordinateur sera configuré comme copie en lecture/écriture de la base de données de configuration AD FS 2.0.

Tous les autres serveurs de fédération configurés pour cette batterie sont désignés comme serveurs de fédération secondaires, car ils doivent répliquer toutes les modifications apportées au serveur de fédération principal sur leurs copies en lecture seule de la base de données de configuration AD FS 2.0 qu’ils stockent en local.

Remarque :
Il est recommandé d’utiliser au moins deux serveurs de fédération dans une configuration à équilibrage de charge.

La définition de la topologie de base de la batterie de serveurs de fédération est la première phase de votre déploiement AD FS 2.0. La seconde phase consiste à déterminer comment proposer la fonctionnalité de contrôle d’accès aux utilisateurs externes en déployant les serveurs proxys de fédération.

Phase 1 : Déployer votre batterie de serveurs de fédération

---

Lorsque vous êtes prêt à démarrer le déploiement de votre batterie, vous devez prévoir de placer tous les serveurs de fédération de votre réseau d’entreprise derrière un hôte NLB (équilibrage de la charge réseau) qui puisse être configuré pour un cluster d’équilibrage de la charge réseau avec un nom DNS de cluster et une adresse IP de cluster dédiés.

Important :
Ce nom DNS de cluster doit correspondre au nom du service de fédération (par exemple, fs.fabrikam.com) et être routable sur Internet pour l’instance AD FS 2.0 que vous déployez. Si le nom ne correspond pas, la demande d’authentification n’est pas acheminée vers le serveur DNS ou le serveur de fédération appropriés.

L’hôte NLB peut utiliser les paramètres définis dans ce cluster pour allouer les demandes clientes aux serveurs de fédération individuels. Le schéma suivant décrit comment Fabrikam, Inc. peut configurer la première phase de leur déploiement à l’aide d’une batterie de serveurs de fédération (fs1 et fs2) à deux ordinateurs avec la base de données interne Windows, ainsi que le positionnement d’un serveur DNS et d’un seul hôte NLB connecté au réseau d’entreprise.

Remarque :
En cas de défaillance sur ce seul hôte NLB, les utilisateurs ne peuvent pas accéder aux services Office 365. Ajoutez de nouveaux hôtes NLB si vos contraintes d’entreprise ne vous autorisent pas à avoir un seul point de défaillance.

Phase 2 : Déployer les serveurs proxys de fédération

---

En règle générale, les serveurs proxys de fédération sont utilisés pour rediriger les demandes d’authentification client extérieures à votre réseau d’entreprise vers la batterie de serveurs de fédération. Pour les clients d’entreprise Office 365, le déploiement des serveurs proxys de fédération sur votre infrastructure AD FS 2.0 existante est nécessaire pour permettre les scénarios utilisateur suivants :

• Ordinateur professionnel itinérant : les utilisateurs qui ont ouvert une session à l’aide de leurs informations d’identification d’entreprise sur des ordinateurs appartenant à un domaine mais qui ne sont pas connectés au réseau d’entreprise (par exemple, ordinateur professionnel utilisé à la maison ou dans un hôtel), peuvent accéder aux services de Office 365.
  
• Ordinateur personnel ou public : lorsque l’utilisateur travaille sur un ordinateur non joint au domaine de l’entreprise, il doit se connecter à l’aide des informations d’identification de l’entreprise pour pouvoir accéder aux services de Office 365.
  
• Smartphone : pour accéder aux services de Office 365 à partir d’un Smartphone, par exemple à Microsoft Exchange Online via Microsoft Exchange ActiveSync, l’utilisateur doit se connecter à l’aide des informations d’identification de l’entreprise.
  
• Microsoft Outlook ou autres clients de messagerie : l’utilisateur doit se connecter à l’aide des informations d’identification fournies par son entreprise pour accéder à son courrier Office 365 s’il utilise Outlook ou un client de messagerie non inclus dans Office, par exemple un client IMAP ou POP.
  

Pour prendre en charge ces scénarios utilisateur, la seconde phase s’appuie sur la phase 1 du déploiement précédent, y ajoute deux serveurs proxys de fédération et fournit l’accès à un serveur DNS du réseau de périmètre, ainsi que l’accès à un second hôte NLB sur le réseau de périmètre.

Le second hôte NLB doit être configuré avec un cluster NLB qui utilise une adresse IP de cluster accessible par Internet et doit utiliser le même nom DNS de cluster que le précédent cluster NLB que vous avez configuré sur le réseau d’entreprise pour la phase 1 (fs.fabrikam.com). Les serveurs proxys de fédération sont aussi configurés avec des adresses IP accessibles par Internet.

Le schéma suivant illustre le déploiement existant de la phase 1 et la façon dont Fabrikam, Inc. peut fournir l’accès à un serveur DNS du périmètre, ajouter un deuxième hôte NLB avec le même nom DNS de cluster (fs.fabrikam.com), et ajouter deux serveurs proxys de fédération (fsp1 and fsp2) au réseau de périmètre.

Remarque :

Vous pouvez utiliser des solutions de proxy inverse HTTP d'autres fournisseurs pour publier AD FS 2.0 sur l’extranet. Pour plus d’informations, voir Configuration des options avancées d’AD FS 2.0. Toute communication AD FS 2.0 qui franchit le pare-feu repose sur le protocole HTTPS. Vous pouvez créer des règles de demande personnalisées dans AD FS 2.0 afin de limiter l'accès de vos utilisateurs aux services Office 365 selon l'emplacement physique de l'ordinateur ou du périphérique client qui sert à la demande d'accès. Pour plus d'informations sur la création de ces règles, consultez Limiter l'accès aux services Office 365 selon l'emplacement du client.

Il s’agit d’une option de topologie de déploiement AD FS 2.0 avancée qui utilise les serveurs proxys de fédération et une configuration SQL Server pour autoriser tous les serveurs de fédération de la batterie à lire et à écrire dans une base de données SQL Server commune. L’utilisation d’une base de données SQL Server comme base de données de configuration AD FS 2.0 offre les avantages suivants par rapport à la base de données interne Windows :

• Fonctionnalités haute disponibilité de SQL Server que les administrateurs peuvent utiliser.
  
• Améliorations additionnelles des performances, y compris la possibilité de mise à l’échelle avec plus de cinq serveurs de fédération (la base de données interne Windows est limitée à cinq serveurs de fédération par batterie).
  
• Équilibrage de charge géographique afin d’offrir une augmentation en cas de trafic élevé basé sur l’emplacement.
  

Remarque :
Comme cette topologie est une option de déploiement AD FS 2.0 avancée, les détails de son fonctionnement et de son déploiement ne sont pas abordés dans cet article.

Pour plus d’informations sur cette option de topologie, voir Configuration des options avancées d’AD FS 2.0.

Vous pouvez utiliser le tableau suivant pour vous aider à estimer le nombre maximal de serveurs de fédération AD FS 2.0 et de serveurs proxys de fédération que vous devrez mettre en place dans une batterie de serveurs de fédération configurée avec la base de données interne Windows via votre infrastructure de réseau d’entreprise en fonction du nombre d’utilisateurs qui nécessitent un accès d’authentification unique, y compris l’accès distant, à Office 365.

Remarque :
Tous les ordinateurs configurés pour le rôle serveur de fédération ou de serveur proxy de fédération doivent s’exécuter sous le système d’exploitation Windows Server 2008 ou Windows Server 2008 R2.

Nous vous recommandons d’utiliser un seul serveur de fédération pour tenir compte de la redondance. Le tableau suivant respecte cette recommandation.

Nombre d’utilisateurs accédant à Office 365	Nombre minimal de serveurs à déployer	Recommandation et étapes
Moins de 1 000 utilisateurs	0 serveur de fédération dédié 0 serveur proxy de fédération dédié 1 serveur NLB dédié	Pour les serveurs de fédération, utilisez deux contrôleurs de domaine Active Directory existants et configurez-les tous deux pour le rôle de serveur de fédération. À cette fin, sélectionnez deux contrôleurs de domaine existants, puis : Installez AD FS 2.0 sur les deux contrôleurs de domaine. Configurez l’un d’eux en tant que premier serveur de fédération d’une nouvelle batterie. Joignez le second à la batterie de serveurs de fédération. Pour l’équilibrage de la charge réseau, configurez un hôte NLB existant ou obtenez un serveur dédié, puis installez-y le rôle de serveur NLB et configurez le serveur NLB. Pour les serveurs proxys de fédération, utilisez deux serveurs Web ou serveurs proxys existants, puis configurez-les tous deux pour le rôle de serveur proxy de fédération. À cette fin, sélectionnez deux serveurs Web ou serveurs proxys existants qui résident dans l’extranet, puis : Installez AD FS 2.0 sur les deux serveurs. Configurez-les pour le rôle de serveur proxy de fédération. Installez le rôle de serveur d’équilibrage de la charge réseau sur l’un des serveurs proxys de fédération ou configurez un hôte d’équilibrage de charge existant. Remarque : Si vous n’avez pas deux contrôleurs de domaine existants et deux serveurs Web ou proxys, ou qu’ils n’exécutent pas Windows Server 2008 ou Windows Server 2008 R2, vous devez déployer à la place des serveurs dédiés, comme indiqué dans la ligne suivante du tableau.
1 000 à 15 000 utilisateurs	2 serveurs de fédération dédiés 2 serveurs proxys de fédération dédiés	Pour les serveurs de fédération, obtenez deux serveurs dédiés, puis : Installez AD FS 2.0 sur les deux serveurs. Configurez l’un d’eux en tant que premier serveur de fédération d’une nouvelle batterie. Joignez le second à la batterie. Installez le rôle de serveur d’équilibrage de la charge réseau sur l’un des serveurs de fédération ou configurez un hôte d’équilibrage de charge existant. Pour les serveurs de fédération, obtenez deux serveurs dédiés que vous pouvez placer sur l’extranet : Installez AD FS 2.0 sur les deux serveurs. Configurez-les pour le rôle de serveur proxy de fédération. Installez le rôle de serveur d’équilibrage de la charge réseau sur l’un des serveurs proxys de fédération ou configurez un hôte d’équilibrage de charge existant.
15 000 à 60 000 utilisateurs	Entre 3 et 5 serveurs de fédération dédiés Au moins 2 serveurs proxys de fédération dédiés	Chaque serveur de fédération dédié peut prendre en charge approximativement 15 000 utilisateurs. Par conséquent, ajoutez un serveur de fédération dédié au déploiement de base des deux serveurs de fédération précédemment décrit par groupe de 15 000 utilisateurs qui nécessitent un accès à Office 365, jusqu’à un maximum de cinq serveurs de fédération de la batterie ou 60 000 utilisateurs. Remarque : Une batterie de serveurs de fédération AD FS 2.0 configurée pour utiliser la base de données interne Windows prend en charge un maximum de cinq serveurs de fédération. Si vous avez besoin de plus de cinq serveurs de fédération, vous devez configurer une base de données SQL Server pour stocker la base de données de configuration AD FS 2.0. Pour plus d’informations sur cette option, voir Configuration des options avancées d’AD FS 2.0.

Le nombre minimal d’utilisateurs pour les serveurs est calculé en fonction du matériel suivant :

Quand deux serveurs de fédération ou plus sont configurés dans une batterie à l’aide de la technologie d’équilibrage de la charge réseau, ils peuvent opérer indépendamment pour aider à traiter la charge des demandes utilisateur entrantes adressées au service de fédération AD FS 2.0 sans dégrader les performances d’ensemble du service. Par conséquent, l’ajout de serveurs de fédération à votre environnement de production après que vous avez déployé stratégiquement vos serveurs de fédération initiaux dans votre réseau n’entraîne qu’une faible surcharge.

Retour au début

Le logiciel AD FS 2.0 doit être installé sur tout ordinateur que vous préparez pour le rôle de serveur de fédération ou de serveur proxy de fédération. Vous pouvez l’installer avec l’Assistant Installation AD FS 2.0 ou en effectuant une installation silencieuse à l’aide du paramètre adfssetup.exe /quiet à partir d’une ligne de commande.

Pour une plateforme d’installation de base, AD FS 2.0 requiert le système d’exploitation Windows Server 2008 ou Windows Server 2008 R2. AD FS 2.0 possède un package d’installation distinct pour chaque plateforme du système d’exploitation.

Les certificats jouent un rôle déterminant dans la sécurisation des communications entre les serveurs de fédération, les serveurs proxys de fédération, Office 365 et les clients Web. Les conditions requises en matière de certificats varient, selon que vous configurez un serveur de fédération ou un serveur proxy de fédération, comme décrit dans les tableaux suivants.

Certificats de serveur de fédération

---

Les serveurs de fédération nécessitent les certificats du tableau suivant.

 

Type de certificat	Description	Ce que vous devez savoir avant de procéder au déploiement
Certificat SSL (aussi appelé certificat d’authentification serveur)	Il s’agit d’un certificat SSL standard utilisé pour sécuriser les communications entre les serveurs de fédération, les clients et les serveurs proxys de fédération.	AD FS 2.0 nécessite un certificat SSL lors de la configuration des paramètres du serveur de fédération. Par défaut, AD FS 2.0 utilise le certificat SSL configuré pour le site Web par défaut dans Internet Information Services (IIS). Le nom Objet de ce certificat SSL permet de déterminer le nom du service de fédération de chaque instance AD FS 2.0 que vous déployez. Pour cette raison, il se peut que vous souhaitiez choisir un nom Objet sur un nouveau certificat émis par une autorité de certification et qui représente au mieux le nom de votre organisation sur Office 365, lequel nom doit être routable sur Internet. Par exemple, dans le schéma proposé plus haut (voir « Phase 2 »), le nom d’objet du certificat sera fs.fabrikam.com. Important : AD FS 2.0 requiert que ce certificat SSL soit un nom d’objet sans point (nom abrégé). Recommandation : comme ce certificat doit être approuvé par les clients AD FS 2.0 et les services Office 365, utilisez un certificat SSL émis par une autorité de certification publique (tierce) ou subordonnée à une racine approuvée publiquement ; par exemple, VeriSign ou Thawte.
Certificat de signature de jetons	Il s’agit d’un certificat standard X.509 utilisé pour signer de façon sécurisée tous les jetons que le serveur de fédération émet et que Office 365 accepte et valide.	Le certificat de signature de jetons doit contenir une clé privée, et être chaîné à une racine approuvée du service de fédération. Par défaut, AD FS 2.0 crée un certificat auto-signé. Cependant, en fonction des besoins de votre organisation, vous pouvez le modifier en un certificat émis par une autorité de certification à l’aide du composant logiciel enfichable Gestion AD FS 2.0. Recommandation : utilisez le certificat auto-signé de signature de jetons généré par AD FS 2.0Ainsi, AD FS 2.0 gère automatiquement ce certificat par défaut. Par exemple, dans le cas où le certificat viendrait à expirer, AD FS 2.0 génèrera un nouveau certificat auto-signé.

Attention

Le certificat de signature de jetons est critique pour la stabilité du service de fédération. S'il est modifié, Office 365 devra être informé de cette modification. Dans le cas contraire, les requêtes de services Office 365 échoueront. Pour cette raison, nous vous recommandons de télécharger et configurer Microsoft Office 365 Federation Metadata Update Automation Installation Tool (peut-être en anglais), qui surveillera et mettra automatiquement à jour les métadonnées de fédération d'Office 365 à intervalles réguliers. Ainsi, toute modification du certificat de signature de jetons dans le service FS (Federation Service) AD FS 2.0 est automatiquement répliquée vers Office 365. Pour obtenir des informations générales concernant la gestion de certificats dans la batterie de serveurs de fédération AD FS 2.0 et Office 365, voir Mettre à jour les propriétés d'approbation.

La configuration des services réseau de manière appropriée est essentielle au succès du déploiement de AD FS 2.0 dans votre organisation.

Pour assurer le fonctionnement de AD FS 2.0, chaque ordinateur qui fonctionne en tant que serveur de fédération doit être joint à un domaine. Les serveurs proxys de fédération doivent être joints à un domaine, mais ce n’est pas une condition requise.

1. Sur l’ordinateur que vous voulez joindre à un domaine, cliquez sur Démarrer, cliquez sur Panneau de configuration, puis double-cliquez sur Système.

2. Sous Paramètres de nom d’ordinateur, de domaine et de groupe de travail, cliquez sur Modifier les paramètres.

3. Sous l’ongletNom d’ordinateur, cliquez sur Modifier.

4. Sous Membre de, cliquez sur Domaine, tapez le nom du domaine auquel cet ordinateur sera joint, puis cliquez sur OK.

5. Cliquez sur OK, puis redémarrez l’ordinateur.

Pour que les clients du réseau d’entreprise accèdent avec succès au service de fédération, un enregistrement de ressource hôte (A) doit d’abord être créé dans le DND d’entreprise qui résout le nom DNS de cluster du service de fédération (par exemple, fs.fabrikam.com) en adresse IP de cluster du réseau d’entreprise (par exemple, 172.16.1.3). Vous pouvez utiliser la procédure suivante pour ajouter un enregistrement de ressource hôte (A) au DNS d’entreprise pour le cluster NLB.

1. Sur un serveur DNS du réseau d’entreprise, ouvrez le composant logiciel enfichable DNS.

2. Dans l’arborescence, cliquez avec le bouton droit sur la zone de recherche applicable (par exemple, fabrikam.com), puis cliquez sur Nouvel hôte (A ou AAAA).

3. Dans Nom, tapez seulement le nom d’ordinateur du serveur de fédération ou du cluster de serveurs de fédération ; par exemple, pour le nom de domaine complet (FQDN) fs.fabrikam.com, tapez fs.

4. Dans Adresse IP, tapez l’adresse IP du serveur de fédération ou du cluster de serveurs de fédération ; par exemple, 172.16.1.3.

5. Cliquez sur Ajouter un hôte.

   Important :
   Il est présumé que vous utilisez un serveur DNS, exécutant Windows 2000 Server, Windows Server 2003 ou Windows Server 2008 avec le service Serveur DNS, pour contrôler la zone DNS.

Après avoir obtenu un certificat d’authentification serveur auprès d’une autorité de certification, vous devez l’installer manuellement sur le site Web par défaut de chaque serveur de fédération de votre batterie.

Comme ce certificat doit être approuvé par les clients d'AD FS 2.0 et des services Office 365, utilisez un certificat SSL émis par une autorité de certification publique (tierce) ou subordonnée à une racine approuvée publiquement ; par exemple, VeriSign ou Thawte. Pour plus d’informations sur l’installation d’un certificat à partir d’une autorité de certification publique, voir IIS 7.0 : demander un certificat de serveur Internet.

Remarque :

Le nom de l’objet de ce certificat d’authentification serveur doit correspondre au nom de domaine complet du nom DNS du cluster (par exemple, fs.fabrikam.com) que vous avez préalablement créé sur l’hôte d’équilibrage de la charge réseau. Si les services Internet (IIS) n’ont pas été installés, vous devez commencer par les installer afin de pouvoir effectuer cette tâche. Lorsque vous installez les services Internet (IIS) pour la première fois, nous vous recommandons d’utiliser les options des fonctionnalités par défaut lorsque vous y êtes invité au cours de l’installation du rôle serveur.

1. Cliquez sur Démarrer, pointez sur Tous les programmes, sur Outils d’administration, puis cliquez sur Gestionnaire des services Internet (IIS).

2. Dans l’arborescence de la console, cliquez sur Nom_Ordinateur.

3. Dans le volet du milieu, double-cliquez sur Certificats de serveur.

4. Dans le volet Actions, cliquez sur Importer.

5. Dans la boîte de dialogue Importer un certificat, cliquez sur le bouton … .

6. Accédez à l’emplacement du fichier de certificat pfx, sélectionnez-le et cliquez sur Ouvrir.

7. Tapez un mot de passe pour le certificat et cliquez sur OK.

Pour configurer un environnement de batterie de serveurs de fédération dans AD FS 2.0, vous devez créer et configurer un compte de service dédié dans Active Directory où résidera la batterie. Ce compte de service dédié est nécessaire pour garantir que toutes les ressources requises par la batterie AD FS 2.0 bénéficient de l’accès à chacun des serveurs de fédération de la batterie.

Vous configurez ensuite chaque serveur de fédération de la batterie pour qu’il utilise le même compte de service. Par exemple, si le compte de service créé était fabrikam\ADFS2SVC, chaque ordinateur que vous configurez pour le rôle de serveur de fédération et qui va participer à la même batterie doit spécifier fabrikam\ADFS2SVC à cette étape de l’assistant de configuration du serveur de fédération pour que la batterie soit opérationnelle.

Remarque :
Vous ne devez exécuter les tâches de cette procédure qu’une seule fois pour l’ensemble de la batterie de serveurs de fédération. Par la suite, quand vous créerez un serveur de fédération à l’aide de l’Assistant Configuration du serveur de fédération AD FS 2.0, vous devrez spécifier ce même compte sur la page de l’Assistant Compte de service de chaque serveur de fédération de la batterie.

1. Créez un compte de service/utilisateur dédié dans la forêt Active Directory que vous utiliserez dans votre organisation.

2. Modifiez les propriétés du compte utilisateur, puis activez la case à cocher Le mot de passe n’expire jamais. Cette action garantit que le fonctionnement du compte de service n’est pas interrompu comme conséquence des modifications requises du mot de passe du domaine.

   Remarque :

   Si vous devez modifier régulièrement votre mot de passe pour le compte de services, voir Configuration d'options avancées pour AD FS 2.0 (peut-être en anglais). L’utilisation du compte de service réseau pour ce compte dédié se traduit par des défaillances aléatoires lors des tentatives d’accès via l’authentification Windows intégrée, car les tickets Kerberos ne sont pas validés d’un serveur à un autre.

Le logiciel AD FS 2.0 doit être installé sur tout ordinateur que vous préparez pour le rôle de serveur de fédération. Vous pouvez l’installer avec l’Assistant Installation AD FS 2.0 ou avec un paramètre de ligne de commande. Pour plus d’informations sur ce paramètre, voir Guide de déploiement d’AD FS 2.0.

Veillez à terminer le processus d’installation en installant l’ensemble des correctifs requis sur chaque serveur de fédération, comme indiqué dans la dernière étape de cette procédure.

1. Téléchargez le package logiciel d’AD FS 2.0 correspondant à la version de votre système d’exploitation (Windows Server 2008 ou Windows Server 2008 R2) en enregistrant le fichier d’installation AdfsSetup.exe sur l’ordinateur. Pour télécharger ce fichier, accédez à Active Directory Federation Services 2.0 RTW.

2. Accédez au fichier d’installation AdfsSetup.exe que vous avez téléchargé sur l’ordinateur et double-cliquez dessus.

3. Dans la page Assistant Installation d’AD FS 2.0, cliquez sur Suivant.

4. Dans la page Contrat de Licence Utilisateur Final, lisez les termes de licence.

5. Si vous acceptez les termes de licence, activez la case à cocher J’accepte les termes du contrat de licence et cliquez sur Suivant.

6. Dans la page Rôle du serveur, sélectionnez Serveur de fédération, puis cliquez sur Suivant.

7. Dans la page Fin de l’Assistant Installation d’AD FS 2.0, cliquez sur Terminer.

   Important :
   Dans certaines situations, l’installation de AD FS 2.0 peut nécessiter un redémarrage (par exemple, quand les correctifs associés ont été installés).

8. Description du Correctif cumulatif n°2 pour Active Directory Federation Services (AD FS) 2.0.

Vous pouvez utiliser la procédure suivante pour que l’ordinateur soit le premier serveur de fédération d’une nouvelle batterie de serveurs de fédération avec l’Assistant Configuration du serveur de fédération AD FS 2.0.

L’appartenance au groupe Administrateurs de domaine ou un compte de domaine délégué auquel a été accordé l’accès en écriture au conteneur Program Data dans Active Directory est la condition minimale de l’accès requis pour compléter cette procédure.

1. Une fois l’installation du logiciel AD FS 2.0 terminée, cliquez successivement sur Démarrer, Outils d’administration et Gestion d’AD FS 2.0 pour ouvrir le composant logiciel enfichable Gestion d’AD FS 2.0.

2. Dans la page Vue d’ensemble, cliquez sur Assistant Configuration du serveur de fédération AD FS 2.0.

3. Sur la page Bienvenue, vérifiez que la case Créer un service de fédération est activée, puis cliquez sur Suivant.

4. Sur la page Sélectionner un déploiement autonome ou un déploiement de batterie, cliquez sur Nouvelle batterie de serveurs de fédération, puis cliquez sur Suivant.

5. Sur la page Spécifiez le nom du service de fédération, vérifiez que le Certificat SSL affiché correspond au nom du certificat importé précédemment dans le site Web par défaut dans IIS. Si tel n’est pas le cas, sélectionnez le certificat approprié dans la liste Certificat SSL.

   Remarque :
   L’Assistant ne vous permet pas de remplacer le certificat si un certificat SSL est configuré pour IIS. Cela garantit que toute configuration IIS antérieure des certificats SSL est préservée. Pour contourner ce problème, vous pouvez revenir en arrière et importer à nouveau le certificat dans le site Web par défaut.

6. Si vous avez précédemment réinstallé AD FS sur cet ordinateur, la page Base de données de configuration AD FS détectée s’affiche. Si tel est le cas, cliquez sur Supprimer la base de données, puis cliquez sur Suivant.

7. Sur la page Spécifier un compte de service, cliquez sur Parcourir. Dans la boîte de dialogue Parcourir, recherchez le compte de domaine qui sera utilisé comme compte de service dans la nouvelle batterie de serveurs de fédération, puis cliquez sur OK. Tapez le mot de passe du compte, confirmez-le, et cliquez sur Suivant.

   Remarque :
   Pour plus d’informations sur le compte de service créé au cours de cet article, voir Créer un compte de service dédié pour la batterie de serveurs de fédération.

8. Dans la page Prêt à appliquer les paramètres, vérifiez les détails. Si les paramètres apparaissent corrects, cliquez sur Suivant pour commencer à configurer AD FS 2.0 avec ces paramètres.

9. Dans la page Résultats de la configuration, consultez les résultats. Lorsque toutes les étapes de configuration sont terminées, cliquez sur Fermer pour quitter l’Assistant.

Remarque :

Lorsque vous avez terminé les étapes de cette procédure, le composant logiciel enfichable Gestion d’AD FS 2.0 s’ouvre automatiquement, et un message s’affiche, indiquant que la Configuration requise est incomplète et que vous devez Ajouter une partie de confiance approuvée. Vous pouvez ignorer ce message. Une approbation de partie fiable pour Office 365 sera ajoutée lors d’une étape ultérieure. Pour plus d’informations, voir Installer Windows PowerShell pour l’authentification unique. Une fois l’étape terminée, le message disparaît du composant logiciel enfichable Gestion AD FS 2.0.

Après avoir installé le logiciel AD FS 2.0 et configuré les certificats requis sur un ordinateur, vous êtes prêt à configurer l’ordinateur pour qu’il devienne un serveur de fédération. Vous pouvez utiliser la procédure suivante pour joindre un ordinateur à une nouvelle batterie de serveurs de fédération.

Vous joignez un ordinateur à une batterie avec l’Assistant Configuration du serveur de fédération AD FS 2.0. Quand vous utilisez cet Assistant pour joindre un ordinateur à une batterie existante, l’ordinateur est configuré avec une copie en lecture seule de la base de données de configuration AD FS 2.0 et il doit recevoir les mises à jour d’un serveur de fédération principal.

1. Une fois l’installation du logiciel AD FS 2.0 terminée, cliquez successivement sur Démarrer, Outils d’administration et Gestion d’AD FS 2.0 pour ouvrir le composant logiciel enfichable Gestion d’AD FS 2.0.

2. Dans la page Vue d’ensemble ou dans le volet Actions, cliquez sur Assistant Configuration du serveur de fédération AD FS 2.0.

3. Sur la page Bienvenue, vérifiez que la case Ajouter un serveur de fédération à un service de fédération est activée, puis cliquez sur Suivant.

4. Si la base de données AD FS 2.0 que vous avez sélectionnée existe déjà, la page Base de données de configuration AD FS détectée s’ouvre. Si tel est le cas, cliquez sur Supprimer la base de données, puis cliquez sur Suivant.

   Attention
   Sélectionnez cette option uniquement quand vous êtes sûr que les données de cette base de données AD FS 2.0 ne sont pas importantes ou qu’elles ne sont pas utilisées dans une batterie de serveurs de fédération de production.

5. Dans la page Spécifiez le serveur de fédération principal et le compte de service, sous Nom du serveur de fédération principal, tapez le nom d’ordinateur du serveur de fédération principal, puis cliquez surParcourir. Dans la boîte de dialogue Parcourir, recherchez le compte de domaine qui sera utilisé comme compte de service par tous les autres serveurs de fédération dans la nouvelle batterie de serveurs de fédération, puis cliquez sur OK. Tapez le mot de passe et confirmez-le, puis cliquez surSuivant.

   Remarque :
   Pour plus d’informations sur le compte de service créé au cours de cet article, voir Créer un compte de service dédié pour la batterie de serveurs de fédération.

6. Dans la page Prêt à appliquer les paramètres, vérifiez les détails. Si les paramètres apparaissent corrects, cliquez sur Suivant pour commencer à configurer AD FS 2.0 avec ces paramètres.

7. Dans la page Résultats de la configuration, consultez les résultats. Lorsque toutes les étapes de configuration sont terminées, cliquez sur Fermer pour quitter l’Assistant.

Vous pouvez utiliser les procédures suivantes pour vérifier qu’un serveur de fédération est opérationnel ; à savoir, qu’un client du même réseau peut atteindre un nouveau serveur de fédération.

1. Connectez-vous à un ordinateur client situé dans la même forêt que le serveur de fédération.

2. Ouvrez une fenêtre du navigateur. Dans la barre d’adresse, tapez le nom d’hôte DNS du serveur de fédération, puis ajoutez-y /FederationMetadata/2007-06/FederationMetadata.xml pour le nouveau serveur de fédération ; par exemple :

   https://fs1.fabrikam.com/FederationMetadata/2007-06/FederationMetadata.xml

3. Appuyez sur Entrée, puis exécutez la procédure suivante sur l’ordinateur du serveur de fédération. Si le message Le certificat de sécurité de ce site Web présente un problème apparaît, cliquez sur Poursuivre sur ce site Web.

   La sortie attendue est l’affichage de code XML avec le document de description du service. Si cette page apparaît, IIS sur le serveur de fédération est opérationnel et le traitement des pages s’effectue avec succès.

1. Connectez-vous au nouveau serveur de fédération en tant qu’Administrateur.

2. Cliquez sur Démarrer, pointez sur Outils d’administration et cliquez sur Observateur d’événements.

3. Dans le volet de détails, double-cliquez sur Journaux des applications et des services, double-cliquez sur Événement AD FS 2.0, puis cliquez sur Administrateur.

4. Dans la colonne ID de l’événement, recherchez l’ID 100. Si le serveur de fédération est correctement configuré, vous voyez un nouvel événement dans le journal Application de l’Observateur d’événements, avec un ID d’événement égal à 100. Cet événement vérifie que le serveur de fédération a pu communiquer avec succès avec le service de fédération.

Retour au début

Pour que le serveur proxy de fédération fonctionne comme prévu dans le réseau de périmètre, vous devez ajouter une entrée aux fichiers hôtes de chaque serveur proxy de fédération qui pointe vers le nom DNS de cluster hébergé par l’équilibrage de la charge réseau dans le réseau de périmètre (par exemple, fs.fabrikam.com) et son adresse IP (par exemple, 172.16.1.3). L’ajout de cette entrée aux fichiers hôtes permet au serveur proxy de fédération d’acheminer correctement un appel initié par un client vers un serveur de fédération, au sein du réseau de périmètre ou à l’extérieur du réseau de périmètre.

1. Naviguez jusqu’au dossier %systemroot%\Winnt\System32\Drivers et recherchez le fichier hosts.

2. Démarrez le Bloc-notes, puis ouvrez le fichier hosts.

3. Ajoutez l’adresse IP et le nom d’hôte d’un serveur de fédération dans le fichier hosts, comme illustré dans l’exemple suivant :

   172.16.1.3             fs.fabrikam.com

4. Enregistrez le fichier et fermez-le.

Important :
Si l’adresse IP de cluster sur l’hôte NLB du réseau d’entreprise est modifiée, vous devez mettre à jour le fichier local hosts de chaque serveur proxy de fédération.

Pour traiter les demandes d’authentification des clients dans le réseau de périmètre ou à l’extérieur du réseau de périmètre, AD FS 2.0 requiert que la résolution de nom soit configurée sur les serveurs DNS externes qui hébergent la zone de l’organisation (par exemple, fabrikam.com).

À cette fin, ajoutez un enregistrement de ressource de l’hôte (A) au serveur DNS externe qui ne traite que le réseau de périmètre du nom DNS de cluster (par exemple, « fs.fabrikam.com ») pour pointer vers l’adresse IP de cluster externe qui vient d’être configurée.

1. Sur un serveur DNS du réseau de périmètre, ouvrez le composant logiciel enfichable DNS. Cliquez sur Démarrer, pointez sur Outils d’administration, puis cliquez surDNS.

2. Dans l’arborescence, cliquez avec le bouton droit sur la zone de recherche applicable (par exemple, fabrikam.com), puis cliquez sur Nouvel hôte (A ou AAAA).

3. Dans Nom, tapez uniquement le nom du nom DNS de cluster que vous avez spécifié sur l’hôte NLB du réseau de périmètre (il doit s’agir du même nom DNS que celui du service de fédération). Par exemple, pour le FQDN fs.fabrikam.com, tapez fs.

4. Dans Adresse IP, tapez l’adresse IP de la nouvelle adresse IP de cluster que vous avez spécifiée sur l’hôte NLB du réseau de périmètre. Par exemple, 192.0.2.3.

5. Cliquez sur Ajouter un hôte.

Après avoir obtenu un certificat d’authentification serveur utilisé par l’un des serveurs de fédération du réseau d’entreprise, vous devez installer manuellement ce certificat sur le site Web par défaut de chaque serveur proxy de fédération de votre organisation.

Comme ce certificat doit être approuvé par les clients d'AD FS 2.0 et des services Office 365, utilisez un certificat SSL émis par une autorité de certification publique (tierce) ou subordonnée à une racine approuvée publiquement ; par exemple, VeriSign ou Thawte. Pour plus d’informations sur l’installation d’un certificat à partir d’une autorité de certification publique, voir IIS 7.0 : demander un certificat de serveur Internet.

Remarque :

Le nom de l’objet de ce certificat d’authentification serveur doit correspondre au nom de domaine complet du nom DNS du cluster (par exemple, fs.fabrikam.com) que vous avez préalablement créé sur l’hôte d’équilibrage de la charge réseau. Si les services Internet (IIS) n’ont pas été installés, vous devez commencer par les installer afin de pouvoir effectuer cette tâche. Lorsque vous installez les services Internet (IIS) pour la première fois, nous vous recommandons d’utiliser les options des fonctionnalités par défaut lorsque vous y êtes invité au cours de l’installation du rôle serveur.

1. Cliquez sur Démarrer, pointez sur Tous les programmes, sur Outils d’administration, puis cliquez sur Gestionnaire des services Internet (IIS).

2. Dans l’arborescence de la console, cliquez sur Nom_Ordinateur.

3. Dans le volet du milieu, double-cliquez sur Certificats de serveur.

4. Dans le volet Actions, cliquez sur Importer.

5. Dans la boîte de dialogue Importer un certificat, cliquez sur le bouton … .

6. Accédez à l’emplacement du fichier de certificat pfx, sélectionnez-le et cliquez sur Ouvrir.

7. Tapez un mot de passe pour le certificat et cliquez sur OK.

Le logiciel AD FS 2.0 doit être installé sur tout ordinateur que vous préparez pour le rôle de serveur de fédération. Vous pouvez l’installer avec l’Assistant Installation AD FS 2.0 ou avec un paramètre de ligne de commande. Pour plus d’informations sur ce paramètre, voir Guide de déploiement d’AD FS 2.0.

Veillez à terminer le processus d’installation en installant l’ensemble des correctifs requis sur chaque serveur proxy de fédération, comme indiqué dans la dernière étape de cette procédure.

1. Téléchargez le package logiciel d’AD FS 2.0 correspondant à la version de votre système d’exploitation (Windows Server 2008 ou Windows Server 2008 R2) en enregistrant le fichier d’installation AdfsSetup.exe sur l’ordinateur. Pour télécharger ce fichier, accédez à Active Directory Federation Services 2.0 RTW.

2. Accédez au fichier d’installation AdfsSetup.exe que vous avez téléchargé sur l’ordinateur et double-cliquez dessus.

3. Dans la page Assistant Installation d’AD FS 2.0, cliquez sur Suivant.

4. Dans la page Contrat de Licence Utilisateur Final, lisez les termes de licence.

5. Si vous acceptez les termes de licence, activez la case à cocher J’accepte les termes du contrat de licence et cliquez sur Suivant.

6. Dans la page Rôle du serveur, sélectionnez Serveur proxy de fédération, puis cliquez sur Suivant.

7. Dans la page Fin de l’Assistant Installation d’AD FS 2.0, vérifiez que la case à cocher Démarrer l’Assistant Configuration du serveur proxy de fédération AD FS 2.0 à la fermeture de l’Assistant est activée, puis cliquez sur Terminer pour redémarrer l’ordinateur.

   Important :
   Dans certaines situations, l’installation de AD FS 2.0 peut nécessiter un redémarrage (par exemple, quand les correctifs associés ont été installés). Dans ce cas, activez la case Redémarrer maintenant sur la page Fin de l’Assistant Installation d’AD FS 2.0, puis cliquez sur Terminer pour redémarrer l’ordinateur.

8. Description du Correctif cumulatif n°2 pour Active Directory Federation Services (AD FS) 2.0.

Après avoir configuré un ordinateur avec les certificats requis et avoir installé le logiciel AD FS 2.0, vous êtes prêt à configurer l’ordinateur pour qu’il devienne un serveur proxy de fédération. Vous pouvez utiliser la procédure suivante pour que l’ordinateur tienne le rôle de serveur proxy de fédération.

Important :

Avant d’utiliser cette procédure pour configurer le serveur proxy de fédération, vérifiez que vous avez suivi toutes les étapes des listes de vérification fournies dans Déployer la batterie de serveurs de fédération dans l’ordre où elles apparaissent. Veillez à ce qu’au moins un serveur de fédération soit déployé et que toutes les informations d’identification nécessaires pour autoriser la configuration d’un serveur proxy de fédération sont implémentées. Vous devez aussi configurer les liaisons SSL (Secure Sockets Layer) sur le site Web par défaut, sinon l’Assistant ne démarrera pas. Toutes ces tâches doivent être exécutées avant que le serveur proxy de fédération ne puisse fonctionner.

1. Dans la page Fin de l’Assistant Installation d’AD FS 2.0 de l’Assistant Installation d’AD FS 2.0, la case à cocherDémarrer l’Assistant Configuration du serveur proxy de fédération AD FS 2.0 à la fermeture de l’Assistant est activée par défaut. Démarrez l’Assistant, puis, dans la page Bienvenue, cliquez sur Suivant

2. Dans la page Spécifier le nom du service de fédération, sous Nom du service de fédération, tapez le nom qui représente le service de fédération pour lequel cet ordinateur tiendra le rôle de proxy (par exemple, fs.fabrikam.com).

3. En fonction de vos impératifs réseau spécifiques, déterminez si vous devez utiliser un serveur proxy HTTP pour acheminer les demandes au service de fédération. Si tel est le cas, activez la case à cocher Utiliser un serveur proxy HTTP lors de l’envoi des demandes au service de fédération, sous Adresse du serveur proxy HTTP tapez l’adresse du serveur proxy, cliquez sur Tester la connexion, puis cliquez sur Suivant.

4. Quand vous y êtes invité, spécifiez les informations d’identification nécessaires pour établir une approbation entre ce serveur proxy de fédération et le service de fédération.

   Par défaut, seul le compte de service utilisé par le service de fédération ou par un membre du groupe local BUILTIN\Administrators peut autoriser un serveur proxy de fédération.

5. Dans la page Prêt à appliquer les paramètres, vérifiez les détails. Si les paramètres apparaissent corrects, cliquez sur Suivant pour commencer à configurer l’ordinateur avec ces paramètres de proxy.

6. Dans la page Résultats de la configuration, consultez les résultats. Lorsque toutes les étapes de configuration sont terminées, cliquez sur Fermer pour quitter l’Assistant.

Quand vous avez fini de configurer l’ordinateur, vérifiez que le serveur proxy de fédération fonctionne comme prévu.

Vous pouvez utiliser la procédure suivante pour vérifier que le serveur proxy de fédération peut communiquer avec le service de fédération dans AD FS 2.0. Vous exécutez cette procédure après avoir exécuté l’Assistant Configuration du serveur proxy de fédération AD FS 2.0 pour configurer l’ordinateur pour qu’il s’exécute dans le rôle de serveur proxy de fédération. Pour plus d’informations sur l’exécution de l’Assistant, voir Configurer un ordinateur pour le rôle de serveur proxy de fédération.

Remarque :
Le résultat du test est la génération réussie d’un événement spécifique dans l’Observateur d’événements sur le serveur proxy de fédération.

1. Connectez-vous au serveur proxy de fédération en tant qu’Administrateur.

2. Cliquez sur Démarrer, pointez sur Outils d’administration et cliquez sur Observateur d’événements.

3. Dans le volet de détails, double-cliquez sur Journaux des applications et des services, double-cliquez sur Événement AD FS 2.0, puis cliquez sur Administrateur.

4. Dans la colonne ID de l’événement, recherchez l’ID 198.

   Si le serveur proxy de fédération est correctement configuré, vous voyez un nouvel événement dans le journal Application de l’Observateur d’événements, avec un ID d’événement égal à 198. Cet événement vérifie que le service du serveur proxy de fédération a été démarré avec succès et qu’il est désormais en ligne.

Retour au début

Pour une présentation générale, une évaluation ou des informations de dépannage avancées sur AD FS 2.0, utilisez les liens de références suivants applicables :

• Aide AD FS 2.0
  
• Guides pas à pas AD FS 2.0 et Guides AD FS 2.0 (éventuellement en anglais)
  
• Guide de dépannage d’AD FS 2.0
  

Si vous envisagez de déployer une infrastructure AD FS 2.0 plus complexe que celle proposée dans cet article, pensez à prévoir une planification et des informations de déploiement plus avancées à l’aide des liens suivants.

• Guide de conception d’AD FS 2.0
  
• Guide de déploiement d’AD FS 2.0
  
• Description du Correctif cumulatif n°2 pour Active Directory Federation Services (AD FS) 2.0
  
• Planification de la capacité des serveurs AD FS 2.0
  
• Configuration des options avancées d’AD FS 2.0
  

Retour au début