Déployer Dossiers de travail avec AD FS et le Proxy d’application Web : Étape 1, Configurer AD FS

Cette rubrique décrit la première étape du déploiement de Dossiers de travail avec les services de fédération Active Directory (AD FS) et le Proxy d’application Web. Les rubriques suivantes décrivent les autres étapes de ce processus :

Note

Les instructions décrites dans cette section concernent un environnement Windows Server 2019 ou Windows Server 2016. Si vous utilisez Windows Server 2012 R2, suivez les instructions Windows Server 2012 R2.

Pour configurer AD FS à utiliser avec Dossiers de travail, utilisez les procédures suivantes.

Travail de préinstallation

Si vous envisagez de convertir l’environnement de test que vous configurez avec ces instructions en production, vous pouvez effectuer deux opérations avant de commencer :

  • Configurez un compte d’administrateur de domaine Active Directory à utiliser pour exécuter le service AD FS.

  • Obtenez un certificat SSL (Secure Sockets Layer) autre nom d’objet (SAN) pour l’authentification du serveur. Pour l’exemple de test, vous allez utiliser un certificat auto-signé, mais pour la production, vous devez utiliser un certificat approuvé publiquement.

L’obtention de ces éléments peut prendre un certain temps, en fonction des stratégies de votre entreprise. Il peut donc être utile de démarrer le processus de requête pour les éléments avant de commencer à créer l’environnement de test.

Il existe de nombreuses autorités de certification commerciales auprès desquelles vous pouvez acheter le certificat. Vous trouverez la liste des autorités de certification approuvées par Microsoft dans l’article de la base de connaissances 931125. Une autre alternative consiste à obtenir un certificat auprès de l’autorité de certification d’entreprise de votre société.

Pour l’environnement de test, vous allez utiliser un certificat auto-signé créé par l’un des scripts fournis.

Note

AD FS ne prend pas en charge les certificats CNG (Cryptography Next Generation), ce qui signifie que vous ne pouvez pas créer le certificat auto-signé à l’aide de l’applet de commande Windows PowerShell New-SelfSignedCertificate. Vous pouvez toutefois utiliser le script makecert.ps1 inclus dans le billet de blog Déploiement de dossiers de travail avec AD FS et Proxy d’application Web. Ce script crée un certificat auto-signé qui fonctionne avec AD FS et invite les noms SAN nécessaires pour créer le certificat.

Ensuite, effectuez le travail préparatoire supplémentaire décrit dans les sections suivantes.

Créer un certificat auto-signé AD FS

Pour créer un certificat auto-signé AD FS, procédez comme suit :

  1. Téléchargez les scripts fournis dans le billet de blog Déploiement de Dossiers de travail avec AD FS et le Proxy d’application Web, puis copiez le fichier makecert.ps1 sur l’ordinateur AD FS.

  2. Ouvrez une fenêtre Windows PowerShell avec des privilèges administrateur.

  3. Définissez la stratégie d’exécution sur unrestricted :

    Set-ExecutionPolicy –ExecutionPolicy Unrestricted

  4. Accédez au répertoire dans lequel vous avez copié le script.

  5. Exécutez le script makecert :

    .\makecert.ps1

  6. Lorsque vous êtes invité à modifier le certificat d’objet, entrez la nouvelle valeur de l’objet. Dans cet exemple, la valeur est blueadfs.contoso.com.

  7. Lorsque vous êtes invité à entrer d’autres noms d’objet (SAN), appuyez sur Y, puis entrez les noms SAN, un par un.

    Pour cet exemple, tapez blueadfs.contoso.com et appuyez sur Entrée, tapez 2016-adfs.contoso.com , puis appuyez sur Entrée, puis tapez enterpriseregistration.contoso.com et appuyez sur Entrée.

    Lorsque tous les noms SAN ont été entrés, appuyez sur Entrée sur une ligne vide.

  8. Lorsque vous êtes invité à installer les certificats dans le magasin Autorité de certification racine de confiance, appuyez sur Y.

Le certificat AD FS doit être un certificat SAN avec les valeurs suivantes :

  • nom de service AD FS.domaine

  • enterpriseregistration.domain

  • Nom de serveur AD FS.domaine

Dans l’exemple de test, les valeurs sont les suivantes :

  • blueadfs.contoso.com

  • enterpriseregistration.contoso.com

  • 2016-adfs.contoso.com

Le SAN enterpriseregistration est nécessaire pour Workplace Join.

Définir l’adresse IP du serveur

Remplacez l’adresse IP de votre serveur par une adresse IP statique. Pour l’exemple de test, utilisez la classe IP A, qui est 192.168.0.160/masque de sous-réseau : 255.255.0.0/Passerelle par défaut : 192.168.0.1/DNS préféré : 192.168.0.150 (l’adresse IP de votre contrôleur de domaine).

Installer le service de rôle AD FS

Pour installer AD FS, procédez comme suit :

  1. Connectez-vous à la machine physique ou virtuelle sur laquelle vous envisagez d’installer AD FS, ouvrez le Gestionnaire de serveur et démarrez l’Assistant Ajout de rôles et de fonctionnalités.

  2. Dans la page Rôles de serveur , sélectionnez le rôle Services de fédération Active Directory , puis cliquez sur Suivant.

  3. Dans la page Services de fédération Active Directory (AD FS), vous voyez un message indiquant que le rôle Proxy d’application Web ne peut pas être installé sur le même ordinateur qu’AD FS. Cliquez sur Suivant.

  4. Cliquez sur Installer dans la page de confirmation.

Pour effectuer l’installation équivalente d’AD FS via Windows PowerShell, utilisez les commandes suivantes :

Add-WindowsFeature RSAT-AD-Tools
Add-WindowsFeature ADFS-Federation –IncludeManagementTools

Configurer AD FS

Ensuite, configurez AD FS en utilisant Gestionnaire de serveur ou Windows PowerShell.

Configurer AD FS à l’aide de Gestionnaire de serveur

Pour configurer AD FS à l’aide de Gestionnaire de serveur, procédez comme suit :

  1. Ouvrez le Gestionnaire de serveur.

  2. Cliquez sur l’indicateur Notifications en haut de la fenêtre Gestionnaire de serveur, puis cliquez sur Configurer le service de fédération sur ce serveur.

  3. L’Assistant Configuration des services AD FS (Active Directory Federation Services) se lance. Sur la page Se connecter à AD DS, entrez le compte d’administrateur de domaine que vous souhaitez utiliser comme compte AD FS, puis cliquez sur Suivant.

  4. Sur la page Spécifier les propriétés du service, entrez le nom d’objet du certificat SSL à utiliser pour la communication AD FS. Dans l’exemple de test, il s’agit blueadfs.contoso.com.

  5. Saisissez le nom du service FS (Federation Service). Dans l’exemple de test, il s’agit blueadfs.contoso.com. Cliquez sur Suivant.

    Note

    Le nom du service FS (Federation Service) ne doit pas utiliser le nom d’un serveur existant dans l’environnement. Si vous utilisez le nom d’un serveur existant, l’installation d’AD FS échoue et doit être redémarrée.

  6. Sur la page Spécifier un compte de service, entrez le nom que vous souhaitez utiliser pour le compte de service administré. Pour l’exemple de test, sélectionnez Créer un compte de service administré de groupe et, dans Nom du compte, entrez ADFSService. Cliquez sur Suivant.

  7. Sur la page Spécifier une base de données de configuration, sélectionnez Créer une base de données sur ce serveur à l’aide de la base de données interne Windows et cliquez sur Suivant.

  8. La page Options de révision affiche une vue d’ensemble des options que vous avez sélectionnées. Cliquez sur Suivant.

  9. La page Vérifications préalables indique si toutes les vérifications requises ont réussi. En l’absence de problème, cliquez sur Configurer.

    Note

    Si vous avez utilisé le nom du serveur AD FS ou toute autre machine existante pour le nom du service de fédération, un message d’erreur s’affiche. Vous devez redémarrer l’installation et choisir un autre nom que le nom d’un ordinateur existant.

  10. Une fois la configuration terminée, la page Résultats confirme que AD FS a été correctement configuré.

Configurer AD FS à l’aide de PowerShell

Pour effectuer la configuration équivalente d’AD FS via Windows PowerShell, utilisez les commandes suivantes.

Pour installer AD FS :

Add-WindowsFeature RSAT-AD-Tools
Add-WindowsFeature ADFS-Federation -IncludeManagementTools

Pour créer le compte de service administré :

New-ADServiceAccount "ADFSService"-Server 2016-DC.contoso.com -Path "CN=Managed Service Accounts,DC=Contoso,DC=COM" -DNSHostName 2016-ADFS.contoso.com -ServicePrincipalNames HTTP/2016-ADFS,HTTP/2016-ADFS.contoso.com

Après avoir configuré AD FS, vous devez configurer une batterie de serveurs AD FS à l’aide du compte de service administré que vous avez créé à l’étape précédente et du certificat que vous avez créé lors des étapes de préconfiguration.

Pour configurer une batterie de serveurs AD FS :

$cert = Get-ChildItem CERT:\LocalMachine\My |where {$_.Subject -match blueadfs.contoso.com} | sort $_.NotAfter -Descending | select -first 1 
$thumbprint = $cert.Thumbprint
Install-ADFSFarm -CertificateThumbprint $thumbprint -FederationServiceDisplayName "Contoso Corporation" –FederationServiceName blueadfs.contoso.com -GroupServiceAccountIdentifier contoso\ADFSService$ -OverwriteConfiguration -ErrorAction Stop

Prochaine étape : Déployer Dossiers de travail avec AD FS et le Proxy d’application Web : Étape 2, Travail de post-configuration d’AD FS

Voir aussi

Vue d’ensemble des dossiers de travail

  • Last updated on