Partager via

Configurer le premier serveur de fédération de la batterie de serveurs de fédération

  • Article

S’applique à : Azure, Office 365, Power BI, Windows Intune

Les procédures suivantes vous permettent de configurer l'ordinateur pour en faire le premier serveur de fédération d'une nouvelle batterie de serveurs de fédération à l'aide de l'Assistant Configuration de serveur de fédération AD FS.

Important

AD FS peut être installé et configuré en tant que package distinct (également appelé AD FS 2.0) pour les plateformes des systèmes d'exploitation Windows Server 2008 et Windows Server 2008 R2. AD FS peut également être installé et configuré en ajoutant le rôle de serveur de service de fédération au système d'exploitation Windows Server 2012.

  • Créer le premier serveur de fédération de la batterie de serveurs de fédération à l'aide d'AD FS 2.0 sur Windows Server 2008 ou Windows Server 2008 R2

  • Créer le premier serveur de fédération de la batterie de serveurs de fédération à l'aide d'AD FS  sur Windows Server 2012

Créer le premier serveur de fédération de la batterie de serveurs de fédération à l'aide d'AD FS 2.0 sur Windows Server 2008 ou Windows Server 2008 R2

L’appartenance aux administrateurs de domaine ou à un compte de domaine délégué qui a reçu l’accès en écriture au conteneur de données du programme dans Active Directory est le minimum d’accès requis pour effectuer cette procédure.

  1. Une fois l’installation du logiciel AD FS 2.0 terminée, cliquez sur Démarrer, puis Outils d’administration, puis Gestion AD FS 2.0 pour ouvrir le composant logiciel enfichable Gestion AD FS 2.0.

  2. Dans la page Vue d’ensemble, cliquez sur Assistant Configuration du serveur de fédération AD FS 2.0.

  3. Dans la page Bienvenue, vérifiez que la case Créer un service de fédération est cochée, puis cliquez sur Suivant.

  4. Dans la page Sélectionner Autonome ou Déploiement de batterie de serveurs, cliquez sur Nouvelle batterie de serveurs de fédération, puis sur Suivant.

  5. Dans la page Spécifier le nom du service de fédération, vérifiez que le Certificat SSL affiché correspond au nom du certificat précédemment importé dans le site Web par défaut dans IIS. Si ce n'est pas le cas, sélectionnez le certificat approprié dans la liste Certificat SSL.

    Notes

    Si un certificat SSL est configuré pour les services SSL, l'Assistant ne vous autorisera pas à le remplacer. Cela garantit que toute configuration de services IIS antérieure pour les certificats SSL est conservée. Pour contourner ce problème, vous pouvez revenir en arrière et importer à nouveau le certificat dans le site Web par défaut.

  6. Si vous avez précédemment réinstallé AD FS sur cet ordinateur, la page Base de données de configuration AD FS détectée s’affiche. Le cas échéant, cliquez sur Supprimer la base de données, puis sur Suivant.

  7. Dans la page Spécifier un compte de service, cliquez sur Parcourir. Dans la boîte de dialogue Parcourir, recherchez le compte de domaine qui sera utilisé comme compte de service dans la nouvelle batterie de serveurs de fédération, puis cliquez sur OK. Entrez le mot de passe de ce compte, confirmez-le, puis cliquez sur Suivant.

  8. Passez en revue les détails dans la page Prêt à appliquer les paramètres. Si les paramètres semblent corrects, cliquez sur Suivant pour commencer à configurer AD FS 2.0 avec ces paramètres.

  9. Dans la page Résultats de la configuration, passez en revue les résultats. Une fois toutes les étapes de configuration effectuées, cliquez sur Fermer pour quitter l'Assistant.

    Notes

    Lorsque vous avez terminé les étapes de cette procédure, le composant logiciel enfichable Gestion AD FS 2.0 s’ouvre automatiquement et un message s’affiche indiquant que la configuration requise est incomplète et que vous devez ajouter une partie de confiance approuvée. Vous pouvez ignorer ce message.

    Une approbation de partie de confiance pour Microsoft Azure Active Directory (Microsoft Azure AD) sera ajoutée à une étape ultérieure. Pour plus d’informations, consultez Installer Windows PowerShell pour l’authentification unique avec AD FS. Une fois cette étape terminée, ce message disparaît du composant logiciel enfichable AD FS 2.0 Management.

  10. Dans le volet droit, cliquez sur Modifier les propriétés du service de fédération et modifiez le champ Nom complet du service de fédération pour indiquer celui du nom de marque de votre fédération, par exemple, le nom de votre société. Ce nom est visible par vos utilisateurs finaux lorsqu'ils se connectent pour accéder à vos applications activées pour l'authentification unique.

Créer le premier serveur de fédération de la batterie de serveurs de fédération à l'aide d'AD FS  sur Windows Server 2012

  1. L'Assistant Configuration de serveur de fédération AD FS peut être démarré de deux manières différentes. Pour démarrer l'Assistant, effectuez l'une des opérations suivantes :

    • Une fois l'installation du service de rôle AD FS terminée, ouvrez le composant logiciel enfichable Gestion d'AD FS et cliquez sur le lien Assistant Configuration de serveur de fédération AD FS dans la page Vue d'ensemble ou le volet Actions.

    • À l'issue de l'Assistant de configuration, ouvrez à tout moment l'Explorateur Windows, accédez au dossier C:\Windows\ADFS, puis double-cliquez sur FsConfigWizard.exe.

  2. Dans la page Bienvenue, vérifiez que la case Créer un service de fédération est cochée, puis cliquez sur Suivant.

  3. Dans la page Sélectionner Autonome ou Déploiement de batterie de serveurs, cliquez sur Nouvelle batterie de serveurs de fédération, puis sur Suivant.

  4. Dans la page Spécifier le nom du service de fédération, vérifiez que le Certificat SSL affiché est correct. Si ce n'est pas le cas, sélectionnez le certificat approprié dans la liste Certificat SSL.

    Ce certificat est généré sur la base des paramètres SSL (Secure Sockets Layer) définis pour le site web par défaut. Si un seul certificat SSL est configuré pour le site web par défaut, il est présenté et automatiquement sélectionné comme certificat à utiliser. Si plusieurs certificats SSL sont configurés pour le site web par défaut, tous les certificats disponibles vous sont présentés, et vous devez en sélectionner un. S'il n'y a pas de paramètres SSL configurés pour le site web par défaut, la liste est créée à partir des certificats qui sont disponibles dans le magasin de certificats personnel qui se trouve sur l'ordinateur local.

    Notes

    Si un certificat SSL est configuré pour les services SSL, l'Assistant ne vous autorisera pas à le remplacer. Cela garantit que toute configuration de services IIS antérieure pour les certificats SSL est conservée. Pour contourner cette restriction, vous pouvez supprimer le certificat ou le reconfigurer manuellement à l'aide de la console de gestion d'IIS.

  5. Si la base de données AD FS sélectionnée existe déjà, la page De détection de la base de données de configuration AD FS existante s’affiche. Le cas échéant, cliquez sur Supprimer la base de données, puis sur Suivant.

    Avertissement

    Sélectionnez cette option uniquement lorsque vous êtes sûr que les données de cette base de données AD FS ne sont pas importantes ni utilisées dans une batterie de serveurs de fédération de production.

  6. Dans la page Spécifier un compte de service, cliquez sur Parcourir. Dans la boîte de dialogue Parcourir, recherchez le compte de domaine qui sera utilisé comme compte de service dans la nouvelle batterie de serveurs de fédération, puis cliquez sur OK. Entrez le mot de passe de ce compte, confirmez-le, puis cliquez sur Suivant.

  7. Passez en revue les détails dans la page Prêt à appliquer les paramètres. Si les paramètres semblent corrects, cliquez sur Suivant pour commencer à configurer AD FS avec ces paramètres.

  8. Dans la page Résultats de la configuration, passez en revue les résultats. Une fois toutes les étapes de configuration effectuées, cliquez sur Fermer pour quitter l'Assistant.

    security Remarque relative à la sécurité
    Pour sécuriser le déploiement, la résolution d'artefacts et la détection des réponses sont désactivées lorsque vous utilisez l'Assistant Configuration du serveur de fédération AD FS pour configurer une batterie de serveurs de fédération. Cet Assistant configure automatiquement la base de données interne Windows pour le stockage des données de configuration du service. Cependant, vous êtes susceptible d'annuler cette modification par erreur en activant le point de terminaison Résolution des artefacts par le biais du nœud Points de terminaison du composant logiciel enfichable Gestion d'AD FS ou l'applet de commande Enable-ADFSEndpoint dans Windows PowerShell. Veillez à ne pas reconfigurer le paramètre par défaut afin que ce point de terminaison reste désactivé lorsque vous utilisez conjointement une batterie de serveurs de fédération et la base de données interne Windows.

Notes

Une fois le premier serveur de fédération de votre batterie configuré, dans le volet droit, cliquez sur Modifier les propriétés du service de fédération et modifiez le champ Nom complet du service de fédération pour indiquer celui du nom de marque de votre fédération, par exemple, le nom de votre société. Ce nom est visible par vos utilisateurs finaux lorsqu'ils se connectent pour accéder à vos applications activées pour l'authentification unique.

Étape suivante

Maintenant que vous avez configuré le premier serveur de fédération dans votre batterie de serveurs de fédération, revenez à liste de contrôle : Déployez votre batterie de serveurs de fédération sur les versions héritées de Windows Serveur et effectuez le reste des étapes.

Voir aussi

Concepts

Liste de contrôle : Déployer votre batterie de serveurs de fédération sur les versions héritées de Windows Serveur
Liste de vérification : utiliser les services AD FS pour implémenter et gérer l’authentification unique