Comment configurer AD FS (version 2.0) dans SharePoint Server 2010

  • Article

 

S’applique à : SharePoint Foundation 2010, SharePoint Server 2010

Dernière rubrique modifiée : 2016-12-08

Les procédures décrites dans cet article expliquent comment configurer la version 2.0 des services AD FS (Active Directory Federation Services) dans Microsoft SharePoint Server 2010.

Vous pouvez utiliser AD FS 2.0 avec le système d’exploitation Windows Server 2008 pour élaborer une solution de gestion des identités fédérées qui étend et fait évoluer les services d’identification, d’authentification et d’autorisation distribués vers des applications Web au-delà des limites de l’organisation et de la plateforme. En déployant AD FS 2.0, vous pouvez étendre les fonctionnalités de gestion des identités existantes de votre organisation à Internet.

Dans cet article, AD FS 2.0 constitue notre fournisseur d’identité, également appelé IP-STS (service d’émission de jeton de sécurité). AD FS fournira une authentification basée sur les revendications. Pour commencer, vous devez configurer les services AD FS à l’aide d’informations concernant notre partie de confiance (SharePoint Server 2010 dans notre cas). Du simple point de vue des Produits Microsoft SharePoint 2010, AD FS doit être configuré afin d’approuver le fournisseur IP-STS duquel provient un mappage basé sur les revendications. Enfin, une application Web et une collection de sites doivent être créées pour utiliser le niveau d’authentification basée sur les revendications.

Notes

Vous devez installer et configurer un serveur exécutant les services Active Directory Federation Services (AD FS) 2.0 avant d’appliquer les procédures de cet article. Pour plus d’informations sur la configuration d’un serveur pour exécuter AD FS 2.0, voir le Guide de déploiement d’AD FS 2.0 (https://go.microsoft.com/fwlink/?linkid=191723&clcid=0x40C) (éventuellement en anglais).

La vidéo suivante illustre le processus pas à pas de la configuration d’Active Directory Federation Services version 2.0 (AD FS) dans Microsoft SharePoint Server 2010.

Configurer AD FS pour SharePoint Server 2010

Durée : 09:43

Lire la vidéo Regarder la vidéo « Configurer SharePoint Server 2010 avec des revendications approuvées AD FS » (éventuellement en anglais)

Télécharger la vidéo Pour une lecture optimale, téléchargez la vidéo « Configurer SharePoint Server 2010 avec des revendications approuvées AD FS » (éventuellement en anglais).

Cliquez avec le bouton droit sur le lien, puis cliquez sur Enregistrer la cible sous pour en télécharger une copie. Un clic sur le lien permet d’ouvrir un fichier .wmv dans la visionneuse vidéo par défaut pour un affichage pleine résolution.

Dans cet article :

  • Configurer une partie de confiance

  • Configurer la règle de revendication

  • Exporter le certificat de signature de jetons

  • Exporter plusieurs certificats parents

  • Importer un certificat de signature de jetons à l’aide de Windows PowerShell

  • Définir un identificateur unique pour le mappage des revendications à l’aide de Windows PowerShell

  • Créer un fournisseur d’authentification

  • Associer une application Web à un fournisseur d’identité approuvé

  • Créer une collection de sites

Notes

Vous devez réaliser les étapes énoncées dans cet article dans l’ordre consécutif.

Configurer une partie de confiance

Suivez la procédure de cette section pour configurer une partie de confiance. La partie de confiance définit la manière dont les services AD FS reconnaissent cette dernière et émettent des revendications à son sujet.

Pour configurer une partie de confiance

  1. Vérifiez que le compte de l’utilisateur chargé de réaliser cette procédure est membre du groupe Administrateurs sur l’ordinateur local. Pour plus d’informations sur les comptes et l’appartenance à des groupes, voir Local and Domain Default Groups

  2. Ouvrez la console de gestion des services AD FS (Active Directory Federation Services) 2.0.

  3. Dans le volet de gauche, développez Trust Relationships (Relations d’approbation), puis double-cliquez sur le dossier Relying Party Trusts (Approbations de partie de confiance).

  4. Dans le volet de droite, cliquez sur Add Relying Party Trust (Ajouter une approbation de partie de confiance). L’Assistant Ajout d’approbation de partie de confiance des services AD FS 2.0 apparaît.

  5. Dans la page Bienvenue de cet Assistant, cliquez sur Démarrer.

  6. Sélectionnez Enter data about the relying party manually (Entrer manuellement les données concernant la partie de confiance), puis cliquez sur Next (Suivant).

  7. Tapez le nom d’une partie de confiance et cliquez sur Next (Suivant).

  8. Assurez-vous que l’option Active Directory Federation Services (AD FS) 2.0 Profile (Profil AD FS 2.0) est sélectionnée et cliquez sur Next (Suivant).

  9. N’utilisez pas de certificat de chiffrement. Cliquez sur Next (Suivant).

  10. Activez la case à cocher Enable support for the WS-Federation Passive protocol (Activer la prise en charge du protocole WS-Federation Passive).

  11. Dans le champ WS-Federation Passive protocol URL (URL du protocole WS-Federation Passive), tapez le nom de l’URL d’application Web et ajoutez /_trust/ (par exemple, https://WebAppName/_trust/). Cliquez sur Next (Suivant).

    Notes

    Le nom de l’URL doit utiliser le protocole SSL (Secure Socket Layer).

  12. Tapez le nom de l’identificateur d’approbation de la partie de confiance (par exemple, urn:sharepoint:WebAppName) et cliquez sur Add (Ajouter). Cliquez ensuite sur Next (Suivant).

  13. Sélectionnez Permit all users to access this relying party (Autoriser tous les utilisateurs à accéder à cette partie de confiance). Cliquez sur Next (Suivant).

  14. Aucune action de votre part n’étant requise dans la page Ready to Add Trust (Prêt à ajouter l’approbation), cliquez sur Next (Suivant).

  15. Dans la page Finish (Terminer), cliquez sur Close (Fermer). La console de gestion de l’éditeur de règles s’ouvre. Servez-vous de cette console pour configurer le mappage des revendications depuis une application Web LDAP avec SharePoint Server 2010.

Configurer la règle de revendication

Appliquez la procédure de cette étape pour transmettre les valeurs d’un attribut LDAP (Lightweight Directory Access Protocol) sous la forme de revendications et préciser le mode de mappage de ces attributs avec le type de revendication sortant.

Pour configurer une règle de revendication

  1. Vérifiez que le compte de l’utilisateur chargé de réaliser cette procédure est membre du groupe Administrateurs sur l’ordinateur local. Pour plus d’informations sur les comptes et l’appartenance à des groupes, voir Local and Domain Default Groups

  2. Dans l’onglet Issuance Transform Rules (Règles de transformation d’émission), cliquez sur Add Rule (Ajouter une règle).

  3. Dans la page de sélection d’un modèle de règle, sélectionnez Send LDAP Attributes as Claims (Envoyer les attributs LDAP en tant que revendications), puis cliquez sur Next (Suivant).

  4. Dans la page de configuration de la règle, tapez le nom de la revendication dans le champ Claim rule name (Nom de la règle de revendication).

  5. Dans la liste déroulante Attribute Store (Magasin d’attributs), sélectionnez Active Directory.

  6. Dans la section Mapping of LDAP attributes to outgoing claim types (Mappage d’attributs LDAP aux types de revendications sortantes), sous LDAP Attribute (Attribut LDAP), sélectionnez E-Mail Addresses (Adresses de messagerie).

  7. Sous Type de revendication sortante, sélectionnez Adresse de messagerie.

  8. Sous Attribut LDAP (Attribut LDAP), sélectionnez Token Groups-Unqualified Names (Groupes de jetons - noms non qualifiés).

  9. Sous Outgoing Claim Type (Type de revendication sortante), sélectionnez Role (Rôle).

  10. Cliquez sur Finish (Terminer), puis sur OK.

Exporter le certificat de signature de jetons

Appliquez la procédure de la section qui suit pour exporter le certificat de signature de jetons du serveur AD FS avec lequel vous souhaitez établir une relation d’approbation, puis copiez le certificat à un emplacement auquel SharePoint Server 2010 peut accéder.

Pour exporter un certificat de signature de jetons

  1. Vérifiez que le compte de l’utilisateur chargé de réaliser cette procédure est membre du groupe Administrateurs sur l’ordinateur local. Pour plus d’informations sur les comptes et l’appartenance à des groupes, voir Local and Domain Default Groups

  2. Ouvrez la console de gestion des services AD FS (Active Directory Federation Services) 2.0.

  3. Dans le volet de gauche, développez Service, puis cliquez sur le dossier Certificates (Certificats).

  4. Sous Token signing (Signature de jetons), cliquez sur le certificat de signature de jetons principal indiqué dans la colonne Primary (Principal).

  5. Dans le volet de droite, cliquez sur le lien View Certificate (Afficher le certificat). Les propriétés du certificat s’affichent.

  6. Cliquez sur l’onglet Details (Détails).

  7. Cliquez sur Copy to File (Copier dans un fichier). L’Assistant Exportation de certificat démarre.

  8. Dans la page de bienvenue de l’Assistant Exportation de certificat, cliquez sur Suivant.

  9. Dans la page Exportation de la clé privée, cliquez sur Non, ne pas exporter la clé privée, puis sur Suivant.

  10. Dans la page Format de fichier d’exportation, sélectionnez Binaire codé DER X.509 (.cer), puis cliquez sur Suivant.

  11. Dans la page Fichier à exporter, tapez le nom et l’emplacement du fichier à exporter, puis cliquez sur Suivant. Par exemple, entrez C:\ADFS.cer.

  12. Dans la page Fin de l’Assistant Exportation de certificat, cliquez sur Terminer.

Exporter plusieurs certificats parents

Pour achever le processus de configuration du serveur AD FS, copiez le fichier .cer sur l’ordinateur exécutant AD FS.

Le certificat de signature de jetons peut disposer d’un ou de plusieurs certificats parents dans sa chaîne. Si tel est le cas, chaque certificat au sein de cette chaîne doit être ajouté à la liste SharePoint Server des autorités racine approuvées.

Pour déterminer si un ou plusieurs certificats parents existent, procédez comme suit.

Notes

Vous devez répéter les étapes jusqu’à ce que tous les certificats aient été exportés dans le certificat d’autorité racine.

Pour exporter plusieurs certificats parents

  1. Vérifiez que le compte de l’utilisateur chargé de réaliser cette procédure est membre du groupe Administrateurs sur l’ordinateur local. Pour plus d’informations sur les comptes et l’appartenance à des groupes, voir Local and Domain Default Groups

  2. Ouvrez la console de gestion des services AD FS (Active Directory Federation Services) 2.0.

  3. Dans le volet de gauche, développez Service, puis cliquez sur le dossier Certificates (Certificats).

  4. Sous Token signing (Signature de jetons), cliquez sur le certificat de signature de jetons principal indiqué dans la colonne Primary (Principal).

  5. Dans le volet de droite, cliquez sur le lien View Certificate (Afficher le certificat). Les propriétés du certificat s’affichent.

  6. Cliquez sur l’onglet Certification.

    Tous les autres certificats présents dans la chaîne s’affichent.

  7. Cliquez sur l’onglet Details (Détails).

  8. Cliquez sur Copy to File (Copier dans un fichier). L’Assistant Exportation de certificat démarre.

  9. Dans la page de bienvenue de l’Assistant Exportation de certificat, cliquez sur Suivant.

  10. Dans la page Exportation de la clé privée, cliquez sur Non, ne pas exporter la clé privée, puis sur Suivant.

  11. Dans la page Format de fichier d’exportation, sélectionnez Binaire codé DER X.509 (.cer), puis cliquez sur Suivant.

  12. Dans la page Fichier à exporter, tapez le nom et l’emplacement du fichier à exporter, puis cliquez sur Suivant. Par exemple, entrez C:\ADFS.cer.

  13. Dans la page Fin de l’Assistant Exportation de certificat, cliquez sur Terminer.

Importer un certificat de signature de jetons à l’aide de Windows PowerShell

Utilisez cette section pour importer les certificats de signature de jetons dans la liste des autorités racine approuvées stockée sur le serveur SharePoint. Vous devez répéter cette étape pour chaque certificat de signature de jetons de la chaîne jusqu’à ce que vous atteigniez l’autorité de certification racine.

Pour importer un certificat de signature de jetons à l’aide de Windows PowerShell

  1. Vérifiez que vous disposez de la configuration minimale requise suivante : Voir Add-SPShellAdmin.

  2. Dans le menu Démarrer, cliquez sur Tous les programmes.

  3. Cliquez sur Produits Microsoft SharePoint 2010.

  4. Cliquez sur SharePoint 2010 Management Shell.

  5. À partir de l’invite de commandes Windows PowerShell, importez le certificat parent du certificat de signature de jetons (c’est-à-dire le certificat d’autorité racine) comme le montre la syntaxe suivante :

    $root = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("C:\adfsParent.cer")

New-SPTrustedRootAuthority -Name "Token Signing Cert Parent" -Certificate $root

  6. À partir de l’invite de commandes Windows PowerShell, importez le certificat de signature de jetons que vous avez copié à partir du serveur AD FS comme le montre la syntaxe suivante :

    $cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("C:\adfs.cer ")

New-SPTrustedRootAuthority -Name "Token Signing Cert" -Certificate $cert

Pour plus d’informations sur la cmdlet New-SPTrustedRootAuthority, voir New-SPTrustedRootAuthority

Définir un identificateur unique pour le mappage des revendications à l’aide de Windows PowerShell

Suivez la procédure de cette section pour définir un identificateur unique pour le mappage des revendications. Généralement, ces informations apparaissent sous la forme d’une adresse de messagerie et l’administrateur du service d’émission de jeton de sécurité (STS) approuvé doit fournir ces informations parce que seul le propriétaire du service STS sait quel type de revendication sera toujours unique pour chaque serveur.

Pour définir un identificateur unique pour le mappage des revendications à l’aide de Windows PowerShell

  1. Vérifiez que vous disposez de la configuration minimale requise suivante : Voir Add-SPShellAdmin.

  2. Dans le menu Démarrer, cliquez sur Tous les programmes.

  3. Cliquez sur Produits Microsoft SharePoint 2010.

  4. Cliquez sur SharePoint 2010 Management Shell.

  5. À partir de l’invite de commandes Windows PowerShell, créez un mappage de revendications d’identité comme le montre la syntaxe suivante :

    $map = New-SPClaimTypeMapping -IncomingClaimType "https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming

  6. À partir de l’invite de commandes Windows PowerShell, créez le mappage de revendications de rôle comme le montre la syntaxe suivante :

    $map2 = New-SPClaimTypeMapping -IncomingClaimType "https://schemas.microsoft.com/ws/2008/06/identity/claims/role" -IncomingClaimTypeDisplayName "Role" -SameAsIncoming

Pour plus d’informations sur la cmdlet New-SPClaimTypeMapping, voir New-SPClaimTypeMapping

Créer un fournisseur d’authentification

Suivez la procédure de cette section pour créer un fournisseur d’authentification (SPTrustedIdentityTokenIssuer).

Pour créer un fournisseur d’authentification à l’aide de Windows PowerShell

  1. Vérifiez que vous disposez de la configuration minimale requise suivante : Voir Add-SPShellAdmin.

  2. Dans le menu Démarrer, cliquez sur Tous les programmes.

  3. Cliquez sur Produits Microsoft SharePoint 2010.

  4. Cliquez sur SharePoint 2010 Management Shell.

  5. À partir de l’invite de commandes Windows PowerShell, créez un fournisseur d’authentification comme le montre la syntaxe qui suit.

    Notes

    La variable $realm définit le service d’émission de jeton de sécurité (STS) approuvé qui identifie une batterie de serveurs SharePoint spécifique ; la variable $cert est celle que nous avons utilisée dans la section Importer un certificat de signature de jetons à l’aide de Windows PowerShell. Le paramètre SignInUrl s’adresse au serveur AD FS.

    $realm = "urn:sharepoint:WebAppName"

$ap = New-SPTrustedIdentityTokenIssuer -Name "SAML Provider" -Description "SharePoint secured by SAML" -realm $realm -ImportTrustCertificate $cert -ClaimsMappings $map,$map2 -SignInUrl "https://congen1.contoso.local/adfs/ls" -IdentifierClaim "https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"

Pour plus d’informations sur la cmdlet New-SPTrustedIdentityTokenIssuer, voir New-SPTrustedIdentityTokenIssuer

Associer une application Web à un fournisseur d’identité approuvé

Pour configurer une application Web existante pour le recours à la connexion SAML, vous devez modifier le fournisseur d’identité approuvé dans la section Types d’authentification basée sur les revendications.

Pour configurer une application Web existante et utiliser le fournisseur SAML

  1. Vérifiez que le compte de l’utilisateur chargé de réaliser cette procédure est membre du groupe Administrateurs de batterie de SharePoint.

  2. Dans la page d’accueil du site Administration centrale, cliquez sur Gestion des applications.

  3. Dans la section Applications Web de la page Gestion des applications, cliquez sur Gérer les applications Web.

  4. Cliquez pour choisir l’application Web appropriée.

  5. Dans le Ruban, cliquez sur Fournisseurs d’authentification.

  6. Sous Zone, cliquez sur le nom de la zone (par exemple, Par défaut).

  7. Dans la section Types d’authentification basée sur les revendications de la page Modifier l’authentification, cliquez pour activer la case à cocher du nom du nouveau fournisseur d’identité approuvé.

Si vous devez créer une application Web et la configurer pour la connexion SAML, voir Créer une application Web SharePoint et la configurer de façon à utiliser la connexion SAML.

Créer une collection de sites

Pour la dernière étape, vous devez créer une collection de sites SharePoint et lui attribuer un propriétaire. Gardez à l’esprit qu’au moment d’ajouter un administrateur de collection de sites, vous devez entrer le nom au format qu’utilise votre revendication d’identité. Par exemple, dans cet article, la revendication d’identité est une adresse de messagerie. Pour plus d’informations, voir Créer une collection de sites (SharePoint Server 2010).