Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cette liste de contrôle inclut les tâches de déploiement nécessaires pour préparer un serveur exécutant Windows Server® 2012 pour le rôle serveur de fédération dans les services de fédération Active Directory (AD FS).
Remarque
Effectuez dans l’ordre les tâches répertoriées dans cette liste de vérification. Lorsqu’un lien de référence vous amène à une procédure, revenez à cette rubrique une fois que vous avez effectué les étapes de cette procédure afin que vous puissiez poursuivre les tâches restantes de cette liste de contrôle.
Liste de contrôle : Configuration d’un serveur de fédération
| Tâche | Référence |
|---|---|
| Avant de commencer à déployer vos serveurs de fédération AD FS, passez en revue le ; 1.) avantages et inconvénients de choisir la base de données interne Windows (WID) ou SQL Server pour stocker la base de données de configuration AD FS 2.) Types de topologie de déploiement AD FS et leurs recommandations de positionnement de serveur et de disposition réseau associées. |
Déterminer votre topologie de déploiement AD FS
|
| Passez en revue les conseils de planification de la capacité AD FS pour déterminer le nombre approprié de serveurs de fédération que vous devez utiliser dans votre environnement de production. |
Planification de la capacité du serveur de fédération |
| Passez en revue les informations contenues dans le Guide de conception AD FS sur l’emplacement où placer des serveurs de fédération dans votre organisation |
Planification du placement du serveur de fédération |
| Déterminez si un serveur de fédération autonome ou une batterie de serveurs de fédération est préférable pour votre déploiement. |
Quand créer un serveur de fédération |
| Déterminez si ce nouveau serveur de fédération sera créé dans l’organisation partenaire de compte ou dans l’organisation partenaire de ressources. |
Passez en revue le rôle du serveur de fédération dans le partenaire de compte
|
| Passez en revue les informations sur la façon dont les serveurs de fédération utilisent des certificats de communication de service et des certificats de signature de jetons pour authentifier en toute sécurité les demandes de proxy du client et du serveur de fédération. Prudence: Bien qu’il ait longtemps été une pratique courante d’utiliser des certificats avec des noms d’hôtes non qualifiés tels que https://myserver, ces certificats n’ont aucune valeur de sécurité et peuvent permettre à un attaquant d’emprunter l’identité du service de fédération AD FS aux clients d’entreprise. Par conséquent, il est recommandé d’utiliser un nom de domaine complet (FQDN) tel que https://myserver.contoso.com et d’utiliser uniquement des certificats SSL émis pour le nom de domaine complet de votre service de fédération. |
Configuration requise pour les serveurs de fédération |
| Passez en revue les informations sur la mise à jour du système DNS (Domain Name System) du réseau d’entreprise afin que la résolution de noms réussie sur les serveurs de fédération puisse se produire. |
Configuration requise pour la résolution de noms pour les serveurs de fédération |
| Joignez l’ordinateur qui deviendra le serveur de fédération à un domaine dans la forêt du partenaire de compte ou la forêt de partenaires de ressource où il sera utilisé pour authentifier les utilisateurs de cette forêt ou des forêts d’approbation. Note : Si vous souhaitez configurer un serveur de fédération dans l’organisation partenaire de compte, l’ordinateur doit d’abord être joint à n’importe quel domaine de la forêt où votre serveur de fédération sera utilisé pour authentifier les utilisateurs à partir de cette forêt ou à partir de forêts approuvées. |
Joindre un ordinateur à un domaine |
| Créez un enregistrement de ressource dans le DNS du réseau d’entreprise qui pointe le nom d’hôte DNS du serveur de fédération vers l’adresse IP du serveur de fédération. |
Ajouter un enregistrement de ressource de type hôte (A) au DNS d’entreprise pour un serveur de fédération |
| (Facultatif) Si vous ajoutez un serveur de fédération à une batterie de serveurs de fédération, vous devrez peut-être d’abord exporter la clé privée du certificat de signature de jeton existant (sur le premier serveur de fédération de la batterie de serveurs) afin que vous disposiez d’un format de fichier du certificat prêt lorsque d’autres serveurs de fédération doivent importer le même certificat. L’exportation de la clé privée n’est pas nécessaire lorsque votre certificat d’authentification serveur émis peut être réutilisé par plusieurs ordinateurs (sans avoir besoin d’exporter) ou lorsque vous obtiendrez des certificats d’authentification serveur uniques pour chaque serveur de fédération de la batterie de serveurs. Note : Le module de gestion AD FS désigne les certificats d'authentification serveur pour les serveurs de fédération comme certificats de communication de service. |
Exporter la partie Clé privée d’un certificat d’authentification serveur |
| Après avoir obtenu un certificat d’authentification serveur (ou une clé privée) auprès d’une autorité de certification, vous devez ensuite importer le fichier de certificat sur le site web par défaut pour chaque serveur de fédération. Note: L’installation de ce certificat sur le site web par défaut est une exigence avant de pouvoir utiliser l’Assistant Configuration du serveur de fédération AD FS. |
Importer un certificat d’authentification serveur sur le site web par défaut |
| (Facultatif) En guise d’alternative à l’obtention d’un certificat d’authentification serveur auprès d’une autorité de certification, vous pouvez utiliser Internet Information Services (IIS) pour créer un exemple de certificat pour votre serveur de fédération. Prudence: Il n’est pas recommandé de déployer un serveur de fédération dans un environnement de production à l’aide d’un certificat d’authentification de serveur auto-signé. |
IIS : Créer un certificat de serveur Self-Signed , puis effectuer la procédure Importer un certificat d’authentification serveur sur le site web par défaut |
| Si vous configurez un environnement de batterie de serveurs de fédération dans une organisation partenaire de compte, vous devez créer et configurer un compte de service dédié dans Active Directory Domain Services (AD DS) où la batterie de serveurs réside et configure chaque serveur de fédération dans la batterie de serveurs pour utiliser ce compte. En effectuant cette procédure, vous allez autoriser les clients du réseau d’entreprise à s’authentifier auprès de l’un des serveurs de fédération du groupe à l’aide de l’authentification intégrée Windows. |
Configurer manuellement un compte de service pour une batterie de serveurs de fédération |
| Installez le service de rôle de service de fédération sur l’ordinateur qui deviendra le serveur de fédération. |
Installer le service de rôle Fédération |
| Configurez le logiciel AD FS sur l’ordinateur pour qu’il agisse dans le rôle serveur de fédération à l’aide de l’Assistant Configuration du serveur de fédération AD FS. Suivez cette procédure lorsque vous souhaitez configurer un serveur de fédération autonome, créez le premier serveur de fédération dans une nouvelle batterie de serveurs ou joignez un ordinateur à une batterie de serveurs de fédération existante. Note : Pour la conception de l'authentification web unique fédérée Sign-On (SSO), vous devez disposer d’au moins un serveur de fédération dans l’organisation partenaire du compte et au moins un serveur de fédération dans l’organisation partenaire de la ressource. |
Créer un serveur de fédération Stand-Alone
|
| (Facultatif) Utilisez le composant logiciel enfichable Gestion AD FS pour ajouter et configurer les certificats AD FS nécessaires pour déployer votre conception. Pour plus d’informations sur l’ajout ou la modification de certificats à l’aide du composant logiciel enfichable, consultez Configuration requise pour les serveurs de fédération. |
Ajouter un certificat Token-Signing |
| S’il s’agit du premier serveur de fédération de votre organisation, configurez le service de fédération afin qu’il soit conforme à votre conception AD FS. |
Liste de contrôle : configuration de l’organisation partenaire de compte
|
| À partir d’un ordinateur client, vérifiez que le serveur de fédération est opérationnel. |
Vérifier qu’un serveur de fédération est opérationnel |