Configurer l'accès extranet pour les services AD FS sur Windows Server 2012 R2
S’applique à : Azure, Office 365, Power BI, Windows Intune
Cette rubrique décrit comment installer le rôle Accès à distance avec le service de rôle Proxy d'application web et comment configurer le serveur proxy d'application web de façon à le connecter à un serveur AD FS (Active Directory Federation Services).
2.2. Installer le rôle Accès à distance
Pour déployer le proxy d'application web, vous devez installer le rôle Accès à distance avec le service de rôle Proxy d'application web sur un serveur qui agira en tant que serveur proxy d'application web.
Répétez cette procédure pour tous les serveurs à déployer en tant que serveurs proxy d'application web.
Pour installer le service de rôle Proxy d'application web via l'interface utilisateur
Sur le serveur proxy d'application web, dans le Tableau de bord de la console Gestionnaire de serveur, cliquez sur Ajouter des rôles et fonctionnalités.
Dans l’Assistant Ajout de rôles et de fonctionnalités, cliquez sur Suivant trois fois pour accéder à l’écran de sélection du rôle serveur.
Dans la boîte de dialogue Sélectionner des rôles de serveurs, sélectionnez Accès à distance, puis cliquez sur Suivant.
Cliquez deux fois sur Suivant.
Dans la boîte de dialogue Sélectionner des rôles de serveurs, sélectionnez Proxy d'application web, cliquez sur Ajouter des fonctionnalités, puis sur Suivant.
Dans la boîte de dialogue Confirmer les sélections d’installation, cliquez sur Installer.
Dans la boîte de dialogue Progression de l’installation, vérifiez que l’installation s’est correctement déroulée et cliquez sur Fermer.
Pour installer le service de rôle Proxy d'application web via Windows PowerShell
L'applet ou les applets de commande Windows PowerShell suivantes remplissent la même fonction que la procédure précédente. Entrez chaque applet de commande sur une seule ligne, même si elles peuvent apparaître comme renvoyées sur plusieurs lignes ici en raison de contraintes de mise en forme.
L'applet ou les applets de commande Windows PowerShell suivantes remplissent la même fonction que la procédure précédente. Entrez chaque applet de commande sur une seule ligne, même si elles peuvent apparaître comme renvoyées sur plusieurs lignes ici en raison de contraintes de mise en forme.
Install-WindowsFeature Web-Application-Proxy -IncludeManagementTools
2.3. Configurer le proxy d’application Web
Vous devez configurer le proxy d'application web de façon à le connecter à un serveur AD FS.
Répétez cette procédure pour tous les serveurs à déployer en tant que serveurs proxy d'application web.
Pour configurer le proxy d'application web via l'interface utilisateur
Sur le serveur web Proxy d'application, ouvrez la console de gestion de l’accès à distance : RAMgmtUI.exe, puis appuyez sur Entrée. Si la boîte de dialogue Contrôle de compte d'utilisateur s'affiche, vérifiez que l'action affichée est celle que vous voulez, puis cliquez sur Oui.
Dans le volet de navigation, cliquez sur Proxy d'application web.
Dans le volet central de la Console de gestion de l'accès distant, cliquez sur Exécuter l'Assistant Configuration du proxy d'application web.
Dans l'Assistant Configuration du proxy d'application web, dans la boîte de dialogue Bienvenue, cliquez sur Suivant.
Dans la boîte de dialogue Serveur de fédération, procédez comme suit, puis cliquez sur Suivant :
Dans la zone Nom du service FS (Federation Service), entrez le nom de domaine complet (FQDN) du serveur AD FS. Par exemple : fs.fabrikam.com.
Dans les zones Nom d'utilisateur et Mot de passe, entrez les informations d'identification d'un compte administrateur local sur les serveurs AD FS.
Dans la boîte de dialogue Certificat du proxy AD FS, dans la liste des certificats actuellement installés sur le serveur proxy d'application web, sélectionnez un certificat à utiliser pour la fonctionnalité de proxy AD FS, puis cliquez sur Suivant.
Le certificat que vous choisissez ici doit être celui dont le sujet est le nom du service FS. Par exemple : fs.fabrikam.com.
Dans la boîte de dialogue Confirmation, passez en revue les paramètres. Si nécessaire, vous pouvez copier l’applet de commande PowerShell pour automatiser d’autres installations. Cliquez sur Configurer.
Dans la boîte de dialogue Résultats, vérifiez que la configuration s’est correctement déroulée et cliquez sur Fermer.
Pour configurer le proxy d'application web via Windows PowerShell
L'applet ou les applets de commande Windows PowerShell suivantes remplissent la même fonction que la procédure précédente. Entrez chaque applet de commande sur une seule ligne, même si elles peuvent apparaître comme renvoyées sur plusieurs lignes ici en raison de contraintes de mise en forme.
La commande suivante vous invite à entrer les informations d'identification d'un compte administrateur local sur les serveurs AD FS.
Install-WebApplicationProxy –CertificateThumprint '1a2b3c4d5e6f1a2b3c4d5e6f1a2b3c4d5e6f1a2b' -FederationServiceName fs.fabrikam.com
Optimiser les paramètres de contrôle de congestion entre le proxy d'application web et les serveurs AD FS (étape facultative)
Le proxy d'application web accessible sur extranet peut limiter les demandes en provenance de l'extranet si la latence entre le proxy d'application web et le serveur de fédération dépasse un certain seuil. Selon cette fonctionnalité, le proxy d'application web rejette les demandes d'authentification de clients externes si le serveur de fédération est surchargé (l'état de surcharge est déterminé par la latence entre le proxy d'application web et le serveur de fédération lors de la gestion des demandes d'authentification). Cela a un lien étroit avec un algorithme similaire employé pour le contrôle de congestion dans TCP, appelé AIMD (Additive Increase Multiplicative Decrease). La solution utilise une fenêtre de congestion représentée par un pool de jetons qu'elle loue à chaque demande entrante destinée au proxy d'application web.
Dans un réseau DMZ à latence élevée ou un proxy d'application web à forte charge, il est possible que les demandes d'authentification soient rejetées en fonction des paramètres par défaut qui contrôlent cet algorithme, et ce même si le serveur de fédération est en mesure de satisfaire à ces demandes. Dans ce type d'environnement, nous vous recommandons vivement de modifier les paramètres afin qu'ils soient moins agressifs. Pour cela, procédez comme suit :
Sur l'ordinateur proxy d'application web, lancez une fenêtre de commande avec des privilèges élevés.
Accédez au répertoire ADFS à l'emplacement %WINDIR%\adfs\config.
Remplacez les paramètres de contrôle de congestion par défaut par «< congestionControl latencyThresholdInMSec="8000 » minCongestionWindowSize="64 » enabled="true » />'.
Enregistrez et fermez le fichier.
Redémarrez les services AD FS en exécutant successivement net stop adfssrv et net start adfssrv.
Étape suivante
Maintenant que vous avez vérifié que vous avez configuré des ordinateurs web Proxy d'application, l’étape suivante consiste à installer Windows PowerShell pour l’authentification unique avec AD FS.
Voir aussi
Concepts
Préparer votre infrastructure réseau pour la configuration de l’accès extranet
Liste de vérification : utiliser les services AD FS pour implémenter et gérer l’authentification unique