Annexe A : examen de la configuration requise pour AD FS
Pour que les partenaires organisationnels dans votre déploiement AD FS puissent collaborer efficacement, vous devez vous assurer que l’infrastructure de votre réseau d’entreprise prend en charge les exigences AD FS en termes de comptes, de résolution de noms et de certificats. AD FS présente les conditions requises suivantes :
Conseil
Vous trouverez d’autres liens vers des ressources AD FS dans Comprendre les concepts AD FS clés.
Configuration matérielle requise
La configuration matérielle minimale et recommandée suivante s’applique aux ordinateurs du serveur de fédération et du serveur proxy de fédération.
Configuration matérielle | Configuration minimale | Configuration recommandée |
---|---|---|
Vitesse du processeur | Cœur unique, 1 gigahertz (GHz) | quadruple cœur, 2 GHz |
Mémoire vive (RAM) | 1 Go | 4 Go |
Espace disque | 50 Mo | 100 Mo |
Configuration logicielle requise
AD FS repose sur les fonctionnalités serveur intégrées au système d’exploitation Windows Server® 2012.
Remarque
Les services de rôle Service de fédération et Proxy du service de fédération ne peuvent pas coexister sur le même ordinateur.
Configuration requise des certificats
Les certificats jouent le rôle le plus important dans la sécurisation des communications entre les serveurs de fédération, les serveurs proxy de fédération, les applications prenant en charge les revendications et les clients web. La configuration requise pour les certificats varie selon que vous configurez un ordinateur serveur de fédération ou un ordinateur serveur proxy de fédération, comme décrit dans cette section.
Certificats des serveurs de fédération
Les serveurs de fédération ont besoin des certificats indiqués dans le tableau suivant.
Type de certificat | Description | Ce que vous devez savoir avant d'effectuer le déploiement |
---|---|---|
Certificat SSL (Secure Sockets Layer) | Certificat SSL (Secure Sockets Layer) standard qui permet de sécuriser les communications entre les serveurs de fédération et les clients. | Ce certificat doit être lié au site web par défaut dans Internet Information Services (IIS) pour un serveur de fédération ou un serveur proxy de fédération. Dans le cas d'un Serveur proxy de fédération, vous devez configurer la liaison dans IIS avant d'exécuter l'Assistant Configuration du serveur proxy de fédération. Recommandation : ce certificat devant être approuvé par les clients d'AD FS, utilisez un certificat d'authentification serveur émis par une autorité de certification publique (tierce), comme VeriSign. Astuce : Le nom de sujet de ce certificat permet de représenter le nom du service de fédération pour chaque instance d'AD FS que vous déployez. Vous pouvez donc choisir pour tout nouveau certificat émis par une autorité de certification un nom de sujet qui reflète le nom de votre entreprise ou organisation auprès des partenaires. |
Certificat de communication du service | Ce certificat active la sécurité de message WCF pour sécuriser les communications entre les serveurs de fédération. | Par défaut, le certificat SSL est utilisé en tant que certificat de communication du service. Vous pouvez modifier ce paramétrage à l'aide de la console Gestion AD FS. |
Certificat de signature de jetons | Certificat X509 standard qui permet de signer de manière sécurisée tous les jetons émis par le serveur de fédération. | Le certificat de signature de jetons doit contenir une clé privée et être lié à une source digne de confiance dans le service de fédération. Par défaut, AD FS crée un certificat auto-signé. Toutefois, vous pouvez modifier ce paramétrage à tout moment au profit d'un certificat émis par une autorité de certification à l'aide du composant logiciel enfichable Gestion AD FS, suivant les besoins de votre organisation. |
Certificat de déchiffrement de jeton | Certificat SSL standard qui permet de déchiffrer les jetons entrants chiffrés par un serveur de fédération partenaire. Il est également publié dans les métadonnées de fédération. | Par défaut, AD FS crée un certificat auto-signé. Toutefois, vous pouvez modifier ce paramétrage à tout moment au profit d'un certificat émis par une autorité de certification à l'aide du composant logiciel enfichable Gestion AD FS, suivant les besoins de votre organisation. |
Attention
Les certificats utilisés pour la signature de jeton et pour le déchiffrement de jeton sont essentiels pour la stabilité du service de fédération. Comme la perte ou la suppression non planifiée d'un certificat configuré à cette fin peut perturber le service, vous devez sauvegarder tous les certificats de ce type.
Pour plus d'informations sur les certificats utilisés par les serveurs de fédération, consultez Certificats requis pour les serveurs de fédération.
Certificats des serveurs proxy de fédération
Les serveurs proxy de fédération ont besoin des certificats indiqués dans le tableau suivant.
Type de certificat | Description | Ce que vous devez savoir avant d'effectuer le déploiement |
---|---|---|
Certificat d'authentification serveur | Certificat SSL (Secure Sockets Layer) standard qui permet de sécuriser les communications entre un serveur proxy de fédération et les ordinateurs client Internet. | Vous devez lier ce certificat au site web par défaut dans Internet Information Services (IIS) avant d'exécuter l'Assistant Configuration du serveur proxy de fédération AD FS. Recommandation : ce certificat devant être approuvé par les clients d'AD FS, utilisez un certificat d'authentification serveur émis par une autorité de certification publique (tierce), comme VeriSign. Astuce : Le nom de sujet de ce certificat permet de représenter le nom du service de fédération pour chaque instance d'AD FS que vous déployez. Vous pouvez donc choisir un nom de sujet qui reflète le nom de votre entreprise ou organisation auprès des partenaires. |
Pour plus d'informations sur les certificats utilisés par les serveurs proxy de fédération, consultez Exigences de certificat pour les serveurs proxy de fédération.
Configuration requise des navigateurs
Bien que tout navigateur web actuel doté de la fonctionnalité JavaScript puisse être configuré en tant que client AD FS, les pages web fournies par défaut n'ont été testées que par rapport à Internet Explorer versions 7.0, 8.0 et 9.0, Mozilla Firefox 3.0 et Safari 3.1 sur Windows. JavaScript doit être activé, et les cookies doivent être autorisés pour que la connexion et la déconnexion via un navigateur fonctionnent correctement.
L’équipe produit AD FS chez Microsoft a testé avec succès les configurations de navigateur et de système d’exploitation indiquées dans le tableau suivant.
Browser | Windows 7 | Windows Vista |
---|---|---|
Internet Explorer 7.0 | X | X |
Internet Explorer 8.0 | X | X |
Internet Explorer 9.0 | X | Non testé |
FireFox 3.0 | X | X |
Safari 3.1 | X | X |
Notes
AD FS prend en charge les versions 32 bits et 64 bits de tous les navigateurs indiqués dans le tableau ci-dessus.
Cookies
AD FS crée des cookies persistants et de session qui doivent être stockés sur les ordinateurs clients pour fournir des fonctionnalités telles que la connexion, la déconnexion et l'authentification unique. Le navigateur client doit donc être configuré de manière à accepter les cookies. Les cookies utilisés pour l'authentification sont toujours des cookies de session HTTPS (Secure Hypertext Transfer Protocol) écrits pour le serveur d'origine. Si le navigateur client n'est pas configuré de manière à autoriser ces cookies, AD FS ne peut pas fonctionner correctement. Les cookies persistants permettent de conserver le fournisseur de revendications choisi par l'utilisateur. Vous pouvez les désactiver à l'aide d'un paramètre de configuration dans le fichier de configuration des pages de connexion AD FS.
Pour des raisons de sécurité, la prise en charge de TLS/SSL est nécessaire.
Configuration requise pour le réseau
La configuration appropriée des services réseau suivants est essentielle au succès du déploiement d'AD FS dans votre organisation.
Connectivité réseau TCP/IP
Pour que AD FS fonctionne, une connectivité réseau TCP/IP doit relier le client, un contrôleur de domaine et les ordinateurs qui hébergent le service de fédération, le proxy du service de fédération (quand celui-ci est utilisé) et l’Agent web AD FS.
DNS
Outre les services AD DS, le service réseau principal essentiel au fonctionnement d’AD FS est le service DNS. Quand DNS est déployé, les utilisateurs peuvent se connecter aux ordinateurs et autres ressources sur les réseaux IP à l'aide de noms d'ordinateur conviviaux faciles à retenir.
Windows Server 2008 utilise DNS pour la résolution de noms plutôt que la résolution de noms Windows Internet Name Service (WINS) NetBIOS employée dans les réseaux Windows NT 4.0. Vous pouvez toujours utiliser WINS pour les applications qui le nécessitent. Toutefois, AD DS et AD FS nécessitent la résolution de noms DNS.
La façon de configurer DNS pour prendre en charge AD FS varie en fonction des cas de figure suivants :
Votre organisation possède déjà une infrastructure DNS. Dans la plupart des scénarios, la configuration DNS existante permet aux clients de navigateur web reliés à votre réseau d'entreprise d'accéder à Internet. L’accès à Internet et la résolution de noms étant indispensables pour AD FS, cette infrastructure est supposée être en place en vue de votre déploiement AD FS.
Vous envisagez d'ajouter un serveur fédéré à votre réseau d'entreprise. Pour l'authentification des utilisateurs sur le réseau d'entreprise, les serveurs DNS internes dans la forêt du réseau d'entreprise doivent être configurés de manière à retourner le nom CNAME du serveur interne qui exécute le service de fédération. Pour plus d'informations, consultez Configuration de la résolution de noms pour les serveurs de fédération.
Vous envisagez d'ajouter un serveur proxy fédéré à votre réseau de périmètre. Quand vous souhaitez authentifier des comptes d’utilisateur situés dans le réseau d’entreprise de votre organisation partenaire d’identité, les serveurs DNS internes dans la forêt du réseau d’entreprise doivent être configurés pour retourner le nom CNAME du serveur proxy de fédération interne. Pour plus d’informations sur la façon de configurer DNS pour permettre l’ajout de serveurs proxys de fédération, consultez Configuration de la résolution de noms pour les serveurs proxys de fédération.
Vous configurez DNS pour un environnement lab de test. Si vous envisagez d’utiliser AD FS dans un environnement de laboratoire de test où aucun serveur DNS racine ne fait autorité, vous devrez probablement configurer des redirecteurs DNS pour que les requêtes de noms entre plusieurs forêts soient correctement redirigées. Pour plus d’informations sur la façon de configurer un environnement de laboratoire de test pour AD FS, consultez Guides de procédures étape par étape pour AD FS.
Configuration requise pour les magasins d'attributs
AD FS nécessite qu’au moins un magasin d’attributs soit utilisé pour l’authentification des utilisateurs et l’extraction des revendications de sécurité pour ces utilisateurs. Pour obtenir la liste des magasins d'attributs pris en charge par AD FS, consultez Rôle des magasins d'attributs dans le Guide de conception AD FS.
Remarque
Par défaut, AD FS crée automatiquement un magasin d'attributs Active Directory.
La configuration requise pour les magasins d'attributs varie selon que votre organisation fait office de partenaire de compte (hébergeant les utilisateurs fédérés) ou de partenaire de ressource (hébergeant l'application fédérée).
AD DS
Pour qu’AD FS fonctionne correctement, des contrôleurs de domaine dans l’organisation partenaire du compte ou dans l’organisation partenaire de ressource doivent exécuter Windows Server 2003 SP1, Windows Server 2003 R2, Windows Server 2008 ou Windows Server 2012.
Quand AD FS est installé et configuré sur un ordinateur appartenant à un domaine, le magasin de comptes d'utilisateur Active Directory pour ce domaine peut être sélectionné en guise de magasin d'attributs.
Important
Comme AD FS nécessite l’installation d’Internet Information Services (IIS), nous vous déconseillons d’installer le logiciel AD FS sur un contrôleur de domaine dans un environnement de production pour des raisons de sécurité. Toutefois, cette configuration est prise en charge par le service clientèle de Microsoft.
Configuration requise pour le schéma
AD FS n’impose aucune modification de schéma ou du niveau fonctionnel dans les services AD DS.
Configuration requise pour le niveau fonctionnel
La plupart des fonctionnalités d'AD FS ne nécessitent aucune modification du niveau fonctionnel dans AD DS. Toutefois, le niveau fonctionnel de domaine Windows Server 2008 ou supérieur est nécessaire au bon fonctionnement de l'authentification de certificat client si le certificat est mappé explicitement sur le compte d'un utilisateur dans AD DS.
Configuration requise pour les comptes de service
Si vous créez une batterie de serveurs de fédération, vous devez d'abord créer dans AD DS un compte de service de domaine dédié utilisable par le service de fédération. Ensuite, vous configurez chaque serveur de fédération au sein de la batterie de manière à utiliser ce compte. Pour plus d'informations sur la façon d'effectuer cette opération, consultez Configurer manuellement un compte de service pour une batterie de serveurs de fédération dans le Guide de déploiement d'AD FS.
LDAP
Quand vous utilisez d'autres magasins d'attributs LDAP (Lightweight Directory Access Protocol), vous devez vous connecter à un serveur LDAP qui prend en charge l'authentification intégrée de Windows. En outre, la chaîne de connexion LDAP doit être écrite sous la forme d'une URL LDAP, comme indiqué dans le document RFC 2255.
SQL Server
Pour qu’AD FS fonctionne correctement, les ordinateurs qui hébergent le magasin d’attributs SQL (Structured Query Language) Server doivent exécuter Microsoft SQL Server 2005 ou SQL Server 2008. Quand vous utilisez des magasins d'attributs SQL, vous devez également configurer une chaîne de connexion.
Magasins d'attributs personnalisés
Vous pouvez développer des magasins d'attributs personnalisés dans le cadre de scénarios avancés. Le langage de stratégie intégré à AD FS peut référencer des magasins d'attributs personnalisés de manière à perfectionner les scénarios suivants :
Créer des revendications pour un utilisateur authentifié localement
Compléter les revendications pour un utilisateur authentifié de manière externe
Autoriser un utilisateur à obtenir un jeton
Autoriser un service à obtenir un jeton au nom d'un utilisateur
Quand vous utilisez un magasin d'attributs personnalisé, vous pouvez également être amené à configurer une chaîne de connexion. Dans cette situation, vous pouvez entrer n'importe quel code personnalisé permettant d'établir une connexion à votre magasin d'attributs personnalisé. La chaîne de connexion ainsi créée est un ensemble de paires nom/valeur interprétées comme étant implémentées par le développeur du magasin d'attributs personnalisé.
Pour plus d’informations sur le développement et sur l’utilisation des magasins d’attributs personnalisés, consultez Vue d’ensemble des magasins d’attributs.
Exigences des applications
Les serveurs de fédération peuvent communiquer avec les applications de fédération, telles que les applications prenant en charge les revendications, et protéger ces applications.
Exigences relatives à l’authentification
AD FS s’intègre naturellement à l’authentification Windows existante, par exemple l’authentification Kerberos, NTLM, cartes à puce et certificats côté client X.509 v3. Les serveurs de fédération utilisent l'authentification Kerberos standard pour authentifier un utilisateur par rapport à un domaine. Les clients peuvent s'authentifier à l'aide de l'authentification basée sur les formulaires, de l'authentification par carte à puce et de l'authentification intégrée de Windows, suivant la façon dont vous configurez l'authentification.
Grâce au rôle de serveur proxy de fédération AD FS, l'utilisateur peut s'authentifier de manière externe à l'aide de l'authentification de client SSL. Vous pouvez également configurer le rôle de serveur de fédération de manière à imposer l'authentification de client SSL, bien que la meilleure façon de rendre l'expérience utilisateur la plus transparente possible consiste généralement à configurer le serveur de fédération de comptes pour utiliser l'authentification intégrée de Windows. Dans cette situation, AD FS n'exerce aucun contrôle sur les informations d'identification dont se sert l'utilisateur pour ouvrir une session de bureau Windows.
Ouverture de session par carte à puce
Bien que les services AD FS puissent appliquer le type d’informations d’identification qu’ils utilisent pour l’authentification (mots de passe, authentification de client SSL ou authentification Windows intégrée), ils n’appliquent pas directement l’authentification avec des cartes à puce. Ainsi, AD FS ne propose pas d’interface utilisateur côté client permettant d’obtenir des informations d’identification de code confidentiel sur carte à puce. En effet, les clients basés sur Windows ne sont pas conçus pour fournir des détails sur les informations d’identification des utilisateurs à chaque serveur de fédération ou serveur web.
Authentification par carte à puce
L’authentification par carte à puce utilise le protocole Kerberos et s’effectue auprès d’un serveur de fédération de compte. AD FS ne peut pas être étendu pour ajouter de nouvelles méthodes d’authentification. Le certificat dans la carte à puce n'est pas obligé d'être lié à une source digne de confiance sur l'ordinateur client. Un certificat sur carte à puce ne peut être utilisé avec AD FS que dans les conditions suivantes :
Le lecteur et le fournisseur de services de chiffrement pour la carte à puce doivent fonctionner sur l'ordinateur où se trouve le navigateur.
Le certificat sur carte à puce doit être lié à une source digne de confiance sur le serveur de fédération de compte et sur le serveur proxy de fédération de compte.
Le certificat doit être mappé au compte d'utilisateur dans AD DS à l'aide de l'une des méthodes suivantes :
Le nom du sujet du certificat correspond au nom unique LDAP d'un compte d'utilisateur dans AD DS.
L'extension de l'autre nom de l'objet du certificat possède le nom d'utilisateur principal d'un compte d'utilisateur dans AD DS.
Si la procédure d'authentification le nécessite, vous pouvez également configurer AD FS de manière à créer une revendication qui indique la façon dont l'utilisateur a été authentifié. Une partie de confiance peut ensuite utiliser cette revendication pour prendre une décision d'autorisation.