Ceci est le troisième article d’une série de billets expliquant le montage d’une plateforme permettant de faire de la fédération d’identité entre le SI et Office 365.

La première partie est visible ici : http://blogs.technet.com/b/stanislas/archive/2011/04/20/montage-plateforme-office-365-partie-1-introduction-et-pr-233-sentation-de-la-plateforme.aspx

La seconde est visible ici : http://blogs.technet.com/b/stanislas/archive/2011/04/20/montage-plateforme-office-365-partie-2-le-serveur-adfs.aspx

Cette troisième partie concerne le paramétrage du serveur Forefront TMG qui va exposer le service Web du serveur STS sur Internet 

0– Pré-requis

  • Avoir un serveur Forefront TMG 2010 installé (en mode multi-cartes réseau ou monocarte).
  • Le nom sts.stan-demo.info doit être résolu au niveau des DNS publiques et correspondre à l’interface externe (ou la monointerface) du serveur TMG.
  • Le serveur TMG sait résoudre adfs-sts.stan-demo.net (nom interne du STS)
  • Le serveur TMG reconnait l’autorité de certification interne (dans mon cas : DC01R2 CA)
  • Dans ma plateforme le serveur Forefront TMG n’est pas membre du domaine stan-demo.net mais vous pouvez le mettre membre si vous préférez

1– Achat d’un certificat SSL auprès d’une autorité de certification publique

Depuis une machine avec IIS (ex: le serveur ADFS-STS), faire une requête de certificat depuis la console IIS. (Note : il faudra ensuite télécharger le certificat depuis la CA sur la même machine, l’installer et l’exporter avec la clé privée pour l’installer ensuite sur le TMG)

Après discussion avec quelques collègues, GoDaddy s’avère le moins cher pour un certicat avec 5 SANs.

Sur le site de GoDaddy, sélectionner l’achat d’un certificat avec SAN.

Copier/Coller le contenu du fichier généré précédemment.

Définir les SANs.

ici : sts.stan-demo.info, exchangedelegation.stan-demo.info, autodiscover.stan-demo.info, gateway.stan-demo.info


Patienter un peu… 

[manque 1 capture]

 

2– Installation du certificat SSL publique (acheté précédemment) sur le serveur Forefront TMG

Cliquer sur l’icone Download et sélectionner le format IIS7

Sauvegarder le fichier zip sur la machine depuis laquelle a été faite la requête de certificat

Installer le certificat sur le serveur depuis lequel a été fait la Certificate Signing Request (CSR),  puis l’exporter avec sa clé privée.

Prendre le fichier certificat + le fichier chaine de certificat et copier le tout sur le serveur Forefront TMG 2010

Faire la suite des opérations sur le serveur Forefront TMG 2010

Désactivation du certificat Go Daddy Racine

Installation du certificat intermédiaire de GoDaddy

3– Création d’un port d’écoute Web (Web Listener) sur le serveur Forefront TMG

Note : le port d’écoute est nécessaire lors de la création d’une règle de publication Web dans Forefront TMG ou ISA Server

4– Création de la règle de publication Web pour le site STS

 

Note : ici on peut mettre l’option client may authenticate directly (c’est même conseillé)

Une fois la règle appliquée, il faut modifier le filtre HTTP pour retirer la vérification de la normalisation et ajouter le support des high bits (caractères étendus)

La publication est opérationnelle.

Voilà fin de cette partie.

Prochain article : L’installation et la configuration de l’outil de gestion de la fédération d’identité

Stanislas Quastana