Installation du serveur ADFS v2

Maintenant que nous avons vu à quoi sert ADFS et son mode de fonctionnement (http://blogs.technet.com/b/dcaro/archive/2011/05/12/office-365-mise-en-place-de-la-federation-identite-partie-1.aspx), regardons comment le mettre en œuvre d'un point de vue pratique.

La première étape dans notre infrastructure consiste donc à installer un serveur ADFS v2. ADFS v2 s'installe sur Windows 2008 ou Windows 2008 R2 et il faut le télécharger à cette adresse :

http://technet.microsoft.com/fr-fr/evalcenter/ee476597
Pour la version anglaise : http://technet.microsoft.com/en-us/evalcenter/ee476597.aspx

Attention : Le composant Active Directory Federation Services proposé dans l'ajout de rôles et fonctionnalités au niveau du gestionnaire de serveurs de Windows est la version 1.0 de ADFS. Si vous l'avez installé, il faudra le désinstaller avant d'installer ADFS v2.0

Les prérequis à respecter avant de procéder à l'installation de ADFS sont décrits à cette adresse : http://technet.microsoft.com/en-us/library/dd807096(WS.10).aspx. Si l'environnement ne répond pas à ces prérequis, le programme d'installation tentera soit d'installer les correctifs manquants soit d'ajouter le composants manquants.

Je vous recommande cependant d'effectuer à la main au moins ces opérations :

  • Créer un compte de service dans le domaine.
  • Installer le Framework .Net 3.5 SP1 (si vous êtes sur Windows 2008 R2).
  • Installer IIS 7.0
  • Installer Windows Identity Foundation (WIF)
  • Installer les mises à jour requises pour la connexion à Office 365.
  • Obtenir pour ce serveur un certificat. Le certificat doit avoir comme Common Name le nom du serveur ADFS et peut avoir comme Subject Alternate Name (SAN) le nom FQDN qui sera utilisé par Office 365 pour faire la redirection vers le serveur STS lors d'une authentification d'un client. L'étape 10 ci-dessous reprend ce sujet en détails.

Si vous souhaitez en savoir plus sur les pré-requis à propos de l'installation de ADFS v2, vous pouvez consulter l'article suivant : http://technet.microsoft.com/en-us/library/ff678034(WS.10).aspx

Vous pouvez utiliser l'assistant mis à votre disposition à cette adresse : https://portal.microsoftonline.com/download/default.aspx (Etape 3, en bas de la page)

Une fois les prérequis validés, nous allons suivre les étapes suivants :

  • Installation de ADFS 2.0
  • Configuration du serveur de fédération
  • Installation des outils d'administration de Microsoft Online Services.

Voici les étapes à suivre pas à pas :

1

 

2

 

3

Dans notre maquette, nous installerons uniquement le Federation Server. Le Federation Server Proxy est a utiliser dans le cas d'un déploiement en production pour faire le proxy entre les clients d'internet et le serveur ADFS interne à l'entreprise.

 

Dans le cas d'une maquette ou d'un lab, seul le serveur de fédération est nécessaire.

4

Si les pré-requis ne sont pas installés, le programme tente l'installation par lui-même.

5

L'installation est relativement rapide.

6

 

Une fois l'installation terminée nous passons à la configuration de ADFS avec l'assistant fournit.

7

L'assistant se lance depuis la console d'administration de ADFS v2.

8

Dans le cas de notre maquette ou lab, nous allons installer un nouveau service de Fédération.

En production, il est recommandé d'avoir plusieurs serveurs de Fédération. En cas d'incident sur le serveur ADFS, la chaine d'authentification qui est alors rompue. C'est-à-dire que dans le cas d'une coexistence avec Office 365, en cas d'incident sur le serveur ADFS, l'authentification sur le cloud ne peut plus se faire.

9

Dans le cas de la mise en œuvre d'un lab, l'option qui consiste à utiliser un serveur Stand-alone est l'option recommandée.

Dans le cas d'une mise en production, il faudra considérer une ferme de serveur.

10

Cette étape de la configuration définit le comportement de la fédération avec Office 365.

Il est important de bien comprendre cette étape.

 

Les informations affichées lors de l'étape 10 de la procédure de configuration de ADFS vont impacter le comportement de la fédération avec Office 365.

Le nom affiché dans la première boite de dialogue (ADFS.caro.eu.com sur la capture d'écran) est le Subject Name du certificat associé au site web par défaut du serveur IIS de la machine. C'est aussi le nom interne de mon serveur ADFS.

Si vous utilisez un certificat simple, le Federation Service Name sera identique au nom SSL du certificat affiché au-dessus. Si vous souhaitez afficher un nom différent dans ce champ, il faut utiliser un certificat qui possède un SAN (Subject Alternate Name).

Le Federation Service Name est le nom complet qui sera utilisé par Office 365 lors de la redirection d'un client qui tente de d'authentifier sur Office 365. Il est important que ce nom puisse être atteint sur le réseau de l'entreprise comme depuis l'internet si vous voulez permette à vos utilisateurs de se connecter en mobilité.

Les étapes à suivre pour obtenir un certificat avec des SAN à votre autorité de certification sont décrites dans cet article : http://technet.microsoft.com/en-us/library/ff625722(WS.10).aspx

Le nom ADFS.caro.eu.com n'est pas connu par Office 365. Il sera utilisé dans la configuration du proxy qui n'apparait pas sur ce schéma.

11

Renseignez les informations concernant le compte de service que vous avez créé dans les étapes de préparation.

12

Après un écran de résumé de la configuration, il reste à attendre la fin de l'installation.

 

Il faut maintenant installer les outils d'administration :

En pratique, cet assistant ajoute les cmdlets powershell nécessaires au pilotage de la fédération. A la fin de l'installation, vous aurez un racourcis vers une ligne de commande powershell permettant de piloter la fédération.

Il reste maintenant à configurer la relation de confiance et établir le Single Sign On !

 

 

 

  

 

 

 

 

 

Suivez la procédure pour configurer la relation de confiance et mettre en oeuvre le SSO à travers Internet dans ce prochain article : http://blogs.technet.com/b/dcaro/archive/2011/05/24/office-365-mise-en-place-de-la-federation-identite-partie-3.aspx