Configurer AD FS

S’applique à : Windows Azure Pack

Comme première étape de l’activation des services de fédération Windows Azure Active Directory (AD FS) pour Windows Azure Pack pour Windows Server, vous devez configurer AD FS comme expliqué dans les étapes suivantes.

Pour configurer AD FS

1. Si vous utilisez un AD FS existant, procédez comme suit :

   1. Dans AD FS, utilisez l’adresse suivante pour ajouter le portail de gestion pour les administrateurs et le portail de gestion pour les locataires en tant que parties de confiance :

      <URI> du portail/federationMetadata/2007-06/Federationmetadata.xml

      Remplacez <l’URI> du portail par les adresses du portail de gestion pour les administrateurs et le portail de gestion pour les locataires.

      Par exemple : https://www.contosotenant.com/federationMetadata/2007-06/Federationmetadata.xml

   2. Appliquez les règles de transformation suivantes au portail de gestion pour les locataires :

      • Transformer les groupes AD en revendications « Groupes »

      • Transformer l'adresse de messagerie en revendications UPN

   3. Ignorez les étapes restantes et accédez à Configurer les portails de gestion pour la confiance AD FS.

2. Si vous installez un nouvel AD FS, sur la machine que vous souhaitez utiliser pour AD FS, activez le rôle AD FS.

3. Ouvrez une session sur la machine en tant qu'administrateur de domaine. Vous avez deux options pour configurer AD FS : exécuter l’applet de commande Install-AdfsFarm ou exécuter un script.

   • Exécutez l’applet de commande Install-AdfsFarm pour configurer AD FS.

     Install-AdfsFarm –CertificateThumbprint <String> -FederationServiceName <String> -ServiceAccountCredential <PSCredential> -SQLConnectionString <String>
     

     Vous devez fournir les informations suivantes pour exécuter l’applet de commande Install-AdfsFarm.

     Paramètre d’applet de commande	Informations requises
     –CertificateThumbprint	Empreinte numérique du certificat SSL (Secure Socket Layer). Le certificat doit être installé dans le <local_machine>\Mon magasin.
     -FederationServiceName	Nom de domaine complet (FQDN) du service AD FS.
     -ServiceAccountCredential	Compte de service de domaine pour exécuter AD FS.
     -SQLConnectionString	Chaîne de connexion SQL à une instance d'un Microsoft SQL Server pour héberger les bases de données AD FS.

   • Ou bien, exécutez le script suivant pour configurer AD FS.

     Notes

     Vous devez installer makecert.exe avant d'exécuter ce script. Sinon, utilisez IIS pour créer un certificat auto-signé et passez l'empreinte numérique dans ce script.

     # Set these values:
     $domainName = 'contoso.com'
     $adfsPrefix = 'AzurePack-adfs'
     $username = 'username' 
     $password = 'password'
     $dnsName = ($adfsPrefix + "." + $domainName)
     
     # Generate Self Signed Certificate
     Import-Module -Name 'PKI','WebAdministration'
     # You must install makecert.exe before running this script. Alternatively use the IIS UI to create a self-signed certificate and pass the thumbprint in this script
     
     $item = Get-Item -Path 'IIS:\SslBindings\0.0.0.0!443' -ErrorAction SilentlyContinue
     if (!$item)
     {
     MakeCert.exe -n "CN=$dnsName" -r -pe -sky exchange -ss My -sr LocalMachine -eku 1.3.6.1.5.5.7.3.1
     cert = ,(Get-ChildItem 'Cert:\LocalMachine\My' | Where-Object { $_.Subject -eq "CN=$dnsName" })[0]
     }
     $thumbprint = $cert.Thumbprint
     $securePassword = ConvertTo-SecureString -String $password -Force -AsPlainText
     $adfsServiceCredential = New-Object -TypeName System.Management.Automation.PSCredential -ArgumentList ($domainname + '\' + $username), $securePassword
     
     # If you want to install AD FS with a database, provide this data. Otherwise it will install with the Windows Internal Database (which should be enabled 
     # prior to configuring AD fS)
     $dbServer = 'AzurePack-SQl'
     $dbUsername = 'sa'
     $dbPassword = '<SQL_password>'
     $adfsSqlConnectionString = [string]::Format('Data Source={0};Initial Catalog=master;User ID={1};Password={2}', $dbServer, $dbUsername, $dbPassword)
     
     # Configure AD FS
     Install-AdfsFarm `
         -CertificateThumbprint $thumbprint `
         -FederationServiceName $dnsName `
         -ServiceAccountCredential $adfsServiceCredential `
         -SQLConnectionString $adfsSqlConnectionString `
         -OverwriteConfiguration
     

   Conseil

   Si un message d'erreur relatif aux noms principaux de service (SPN) en double s'affiche, utilisez l'outil Setspn pour supprimer puis ajouter à nouveau le nom SPN, comme suit :

   1. À partir d'une invite de commandes sur une machine AD FS, exécutez l'outil Setspn pour supprimer le nom SPN en double :

      setspn -u -d http/$dnsname $username

   2. À partir d'une invite de commandes sur une machine AD FS, exécutez l'outil Setspn pour ajouter un nouveau nom SPN :

      setspn -u -s http/$dnsname $username

   Pour plus d'informations sur les noms SPN, visitez la page MSDN relative aux Noms principaux de service.

Étapes suivantes

• Configurer les portails de gestion pour la confiance AD FS