Créer le premier serveur de fédération dans une batterie de serveurs de fédération
Après avoir installé le service de rôle Service de fédération et configuré les certificats requis sur un ordinateur, vous êtes prêt à configurer cet ordinateur en tant que serveur de fédération. La procédure suivante vous permet de configurer l'ordinateur pour en faire le premier serveur de fédération d'une nouvelle batterie de serveurs de fédération à l'aide de l'Assistant Configuration de serveur de fédération AD FS.
La création du premier serveur de fédération dans une batterie de serveurs entraîne la création d'un nouveau service de fédération, en définissant cet ordinateur en tant que serveur de fédération principal. Cela signifie que cet ordinateur est configuré avec une copie en lecture/écriture de la base de données de configuration AD FS. Tous les autres serveurs de fédération de cette batterie doivent répliquer les modifications apportées au serveur de fédération principal dans leurs copies en lecture/écriture de la base de données de configuration AD FS qu'ils stockent localement. Pour plus d'informations sur ce processus de réplication, voir Rôle de la base de données de configuration AD FS.
Notes
Pour la conception SSO de web fédéré, vous devez installer au moins un serveur de fédération dans l’organisation partenaire de compte et au moins un serveur de fédération dans l’organisation partenaire de ressource. Pour plus d'informations, voir Où placer un serveur de fédération.
Pour effectuer cette procédure, vous devez au minimum être membre du groupe Admins du domaine, ou avoir un compte de domaine délégué avec un accès en écriture au conteneur Program Data dans Active Directory.
Pour créer le premier serveur de fédération dans une batterie de serveurs de fédération
L'Assistant Configuration de serveur de fédération AD FS peut être démarré de deux manières différentes. Pour démarrer l'Assistant, effectuez l'une des opérations suivantes :
Une fois l'installation du service de rôle AD FS terminée, ouvrez le composant logiciel enfichable Gestion d'AD FS et cliquez sur le lien Assistant Configuration de serveur de fédération AD FS dans la page Vue d'ensemble ou le volet Actions.
À l'issue de l'Assistant de configuration, ouvrez à tout moment l'Explorateur Windows, accédez au dossier C:\Windows\ADFS, puis double-cliquez sur FsConfigWizard.exe.
Dans la page Bienvenue, vérifiez que la case Créer un service de fédération est cochée, puis cliquez sur Suivant.
Dans la page Sélectionner Autonome ou Déploiement de batterie de serveurs, cliquez sur Nouvelle batterie de serveurs de fédération, puis sur Suivant.
Dans la page Spécifier le nom du service de fédération, vérifiez que le Certificat SSL affiché est correct. Si ce n'est pas le cas, sélectionnez le certificat approprié dans la liste Certificat SSL.
Ce certificat est généré sur la base des paramètres SSL (Secure Sockets Layer) définis pour le site web par défaut. Si un seul certificat SSL est configuré pour le site web par défaut, il est présenté et automatiquement sélectionné comme certificat à utiliser. Si plusieurs certificats SSL sont configurés pour le site web par défaut, tous les certificats disponibles vous sont présentés, et vous devez en sélectionner un. S'il n'y a pas de paramètres SSL configurés pour le site web par défaut, la liste est créée à partir des certificats qui sont disponibles dans le magasin de certificats personnel qui se trouve sur l'ordinateur local.
Notes
Si un certificat SSL est configuré pour les services SSL, l'Assistant ne vous autorisera pas à le remplacer. Cela garantit que toute configuration de services IIS antérieure pour les certificats SSL est conservée. Pour contourner cette restriction, vous pouvez supprimer le certificat ou le reconfigurer manuellement à l'aide de la console de gestion d'IIS.
Si la base de données AD FS sélectionnée existe déjà, la page Base de données de configuration AD FS existante détectée apparaît. Le cas échéant, cliquez sur Supprimer la base de données, puis sur Suivant.
Attention
Sélectionnez cette option uniquement lorsque vous êtes sûr que les données de cette base de données AD FS ne sont pas importantes ni utilisées dans une batterie de serveurs de fédération de production.
Dans la page Spécifier un compte de service, cliquez sur Parcourir. Dans la boîte de dialogue Parcourir, recherchez le compte de domaine qui sera utilisé comme compte de service dans la nouvelle batterie de serveurs de fédération, puis cliquez sur OK. Entrez le mot de passe de ce compte, confirmez-le, puis cliquez sur Suivant.
Remarque
Pour plus d’informations sur la spécification d'un compte de service pour une batterie de serveur de fédération, consultez Configurer manuellement un compte de service pour une batterie de serveurs de fédération. Chaque serveur de fédération dans la batterie de serveurs de fédération doit spécifier le même compte de service pour que la batterie de serveurs soit opérationnelle. Par exemple, si le compte de service contoso\ADFS2SVC a été créé, chaque ordinateur que vous configurez pour jouer le rôle de serveur de fédération dans la même batterie doit spécifier contoso\ADFS2SVC à cette étape de l'Assistant Configuration du serveur de fédération, pour que cette batterie soit opérationnelle.
Passez en revue les détails dans la page Prêt à appliquer les paramètres. Si les paramètres semblent corrects, cliquez sur Suivant pour commencer à configurer AD FS avec ces paramètres.
Dans la page Résultats de la configuration, passez en revue les résultats. Une fois toutes les étapes de configuration effectuées, cliquez sur Fermer pour quitter l'Assistant.
Important
Pour sécuriser le déploiement, la résolution d'artefacts et la détection des réponses sont désactivées lorsque vous utilisez l'Assistant Configuration du serveur de fédération AD FS pour configurer une batterie de serveurs de fédération. Cet Assistant configure automatiquement la base de données interne Windows pour le stockage des données de configuration du service. Cependant, vous êtes susceptible d'annuler cette modification par erreur en activant le point de terminaison Résolution des artefacts par le biais du nœud Points de terminaison du composant logiciel enfichable Gestion d'AD FS ou l'applet de commande Enable-ADFSEndpoint dans Windows PowerShell. Veillez à ne pas reconfigurer le paramètre par défaut afin que ce point de terminaison reste désactivé lorsque vous utilisez conjointement une batterie de serveurs de fédération et la base de données interne Windows.