AD FS avec Office 365 Guide d'installation e tape par e tape Dans ce guide étape par étape, nous allons vous guider à travers la configuration d'active Directory Federation Services (ADFS) pour une utilisation avec Office 365. Dans ce premier document, nous allons juste installer un serveur unique. Plus tard, vous pourrez étudier comment mettre en place un serveur de Proxy AD FS et la redondance. Ajouter votre nom de domaine à votre compte de Office 365 Étant donné que nous commençons par le début, la première chose que vous devez faire est de vous connecter à votre compte Office 365 et d aller sur Domaines. Cliquez sur le lien Ajouter un domaine. Entrez le domaine que vous souhaitez fédérer et cliquez sur le bouton Vérifier domaine.
On vous demandera alors de confirmer les détails du domaine. Si tout est correct, cliquez sur Suivant. Enfin, on vous donne des instructions sur la façon de créer un enregistrement TXT dans votre DNS Internet. L'enregistrement TXT est le moyen pour Microsoft de vérifier que vous êtes propriétaire du domaine et de créer cet enregistrement n'a aucune incidence sur les services existants. Après avoir créé l'enregistrement TXT dans le DNS, vous devez revenir sur le site d administration Office 365 et vérifier le domaine en cliquant sur le bouton Vérifier.
Installer les services AD FS Maintenant que votre domaine a été ajouté et vérifié, nous pouvons passer à l'installation des services AD FS dans votre annuaire Active Directory local. Les grandes exigences pour cette étape sont : Vous devez avoir un Windows Server 2008 ou Windows Server 2008 R2 pour y installer les services AD FS. Vous devez d'abord télécharger AD FS 2.0 depuis : http://www.microsoft.com/fr-fr/download/details.aspx?id=10909 Lancez le programme d'installation, cliquez sur Suivant. Acceptez la licence et cliquez sur Suivant. Sur l'écran du rôle de serveur, sélectionnez Serveur de Fédération et cliquez sur Suivant.
L'assistant installe automatiquement les préalables requis. Cliquez sur Suivant pour commencer l'installation. Lorsque l'installation est terminée, décochez la case «Démarrer l'ad FS 2.0...» et cliquez sur le bouton Terminer. La raison est que IIS a été installé dans le cadre des conditions préalables et nous devons maintenant utiliser IIS pour demander un certificat.
Obtenir un certificat pour une utilisation avec les services AD FS Dans cet exemple, nous allons demander un certificat auprès d'une autorité de certification publique. Sauf si vous avez déjà déployée une infrastructure de certificats, il est probablement préférable d'acheter un certificat au lieu de générer votre propre certificat. Faites-nous confiance, dépenser de l'argent sur un certificat vous permettra d'économiser beaucoup de temps. Sur le serveur où vous venez d'installer AD FS, ouvrez le Gestionnaire IIS et cliquez sur Certificats de serveur.
Puis cliquez sur Créer la demande de certificat Dans cet exemple, nous allons demander un certificat générique. Un certificat à caractère générique n'est pas nécessaire, mais nous avons l'intention d'utiliser ce certificat aussi pour Exchange. Le champ important est le champ Nom (Common name). Dans l'image ci-dessous, vous pouvez voir que c est *.domain.com. Dans la plupart des cas (lorsque vous souhaitez que les utilisateurs externes sur Internet soient en mesure de s'authentifier), Domain.com doit être votre nom de domaine externe. Si vous ne demandez pas un certificat générique le nom sera quelque chose comme fs.domain.com ou adfs.domain.com. Sur l'écran suivant, assurez-vous que la longueur en bits est d'au moins 2048 et cliquez sur Suivant.
Enfin, spécifiez un nom de fichier pour la demande de certificat et cliquez sur Terminer. Vous devez maintenant transmettre la demande à une autorité de certification publique comme GoDaddy, Verisign, Chambersign ou BNP-Paribas. Lorsque la demande a été traitée, vous recevez un certificat. Importation du certificat Une fois reçu le certificat, vous devez l importer. Pour ce faire par le biais de IIS, vous devez revenir sur Certificats de serveur et cliquer sur Demande de certificat complet :
Naviguez jusqu'au fichier de certificat et entrez le nom convivial. Dans cet exemple, un certificat générique a été utilisé, donc le nom convivial sera *.domain.com. Si vous avez utilisé un nom différent, par exemple fs.domain.com ou adfs.domain.com, entrer ce nom de la même façon. Après que le certificat a été importé, vous aurez envie de vérifier en revenant à Certificats de serveur dans IIS. Ensuite, vous devez ajouter le certificat au Site Web par défaut. Sélectionnez le Site Web par défaut, cliquez sur Liaisons.
Cliquez sur Ajouter Choisir : Type https, adresse IP Tous non-assignés / All Unassigned et Port 443. Sélectionnez le certificat nouvellement importé, puis cliquez sur Ok. Les liaisons de site devraient maintenant ressembler à : Configuration des services AD FS Maintenant que le certificat est installé, nous pouvons reprendre la configuration AD FS. Pour lancer l'assistant de configuration des services AD FS, il suffit d'aller dans outils d'administration et cliquez sur AD FS 2.0 gestion.
Lorsque la Console de gestion AD FS s'ouvre, cliquez sur le lien Assistant de Configuration du serveur de Fédération AD FS 2.0. Sélectionnez l'option Créer un nouveau Service de Fédération Sur l'écran suivant, sélectionnez nouvelle batterie de serveurs de Fédération. Choisissez cette option sauf si vous êtes absolument sûr que vous n aurez jamais à installer un second serveur AD FS. Il ne fait pas de mal d'avoir une ferme (batterie) avec un seul serveur, mais ça peut vous donner plus d'options en cours de route si vous voulez ajouter de la redondance.
Dans le nom du Service de Fédération, choisissez le certificat à utiliser. Dans cet exemple, un certificat générique a été utilisé, donc le nom doit être spécifié, fs.domain.com. C'est le nom auquel les clients se connecteront, donc il doit pouvoir être résolu via DNS interne et externe à la fois. Vous devez ensuite spécifier un compte de Service dans Active Directory qui sera utilisé par ADFS.
Sur l'écran Résumé examiner les modifications qui seront apportées et cliquez sur Suivant pour commencer la configuration. Lorsque l'installation est terminée, cliquez sur Fermer.
Installer et configurer le Module PowerShell Office 365 La prochaine étape est de télécharger le module PowerShell et configurer l'approbation avec Office 365. Le module PowerShell est disponible en 2 versions. 32 Bit / 64 Bit Une fois que l'outil a été téléchargé, exécutez l'assistant d'installation. Installer l'assistant de connexion L'Assistant de connexion doit être installé à côté. Il est disponible en versions 32 et 64 bits.. Télécharger la version 32 bits Télécharger la version 64 bits Lancez l'installation de l assistant de connexion (Sign-In Assistant) et cliquez sur le bouton Installer.
Lorsque l'installation est terminée, cliquez sur Terminer. Mettre en place l approbation avec Office 365 Nous devons maintenant ouvrir PowerShell pour convertir le domaine que nous avons ajouté précédemment à Office 365 en un domaine fédéré. Vous aurez besoin d'exécuter Microsoft PowerShell en ligne tant qu'administrateur.
Tapez $cred = Get-Credential et appuyez sur ENTREE. Cette applet de commande vous demande des informations d'identification. Tapez votre identifiant de compte d'administration Office 365. Tapez la commande suivante et appuyez sur entrée : Connect-MsolService Credential $cred Tapez ce qui suit, où domain est le nom de votre domaine et appuyez sur entrée : Convert-MsolDomainToFederated DomainName domain.com En cas de succès, vous devriez voir le message : Domaine «Domaine.com» mis à jour avec succès. Activer la synchronisation d'annuaire Maintenant que le serveur AD FS est mis en place, nous sommes prêts à activer la synchronisation d'annuaire. Avant de commencer, vous devez vous assurer que les conditions suivantes soient remplies. Vous avez un Windows Server 2008 ou + pour installer Dir Sync dessus. Le serveur peut ne pas être un contrôleur de domaine, mais doit être un membre du domaine. Vous devez avoir un compte qui dispose des droits d'administrateur d'entreprise dans l'active Directory local..net 3.5 ou une version ultérieure et PowerShell Vous aurez besoin de démarrer la configuration de la synchronisation d annuaire Dir Sync : dans le portail, cliquez sur Utilisateurs (sous Gestion dans la colonne de gauche). Une fois là, cliquez sur Configurer la synchronisation Active Directory Suivez la liste de contrôle, et à l'étape 3, cliquez sur Activer, puis à l'étape 4, Télécharger le client.
Exécutez DirSync.exe et cliquez sur le bouton Suivant dans l'écran d'accueil. Accepter les termes de la licence et cliquez sur Suivant. Choisissez le dossier d'installation et cliquez sur Suivant pour commencer l'installation.
Lorsque l'installation est terminée, cliquez sur Suivant. Vérifiez que la boîte «Démarrer l Assistant de Configuration de démarrage maintenant» est cochée et cliquez sur Terminer. Lorsque l'assistant de configuration s'affiche, cliquez sur Suivant dans l'écran d'accueil. Entrez vos informations d'identification administrateur de Office 365 et cliquez sur Suivant.
Entrez le nom d'utilisateur et le mot de passe de l administrateur de l'entreprise Active Directory local et cliquez sur Suivant. Si vous prévoyez d'utiliser la Coexistence riche (Exchange), cochez Activer la coexistence riche. Dans cet exemple l'option n'est pas disponible car il n y a pas de serveur Exchange 2010. Cliquez sur Suivant pour commencer la configuration.
Lorsque vous avez terminé, cliquez sur le bouton Terminer pour commencer la synchronisation initiale. Lorsque la synchronisation d'annuaire est en marche, vérifiez les événements dans le journal des événements d applications pour voir le statut en cours. Test des services AD FS À ce stade, nous devrions être prêts à faire des essais de base d'ad FS. La première chose que vous aurez probablement besoin de faire est de créer un compte dans votre annuaire Active Directory local (sans boîte aux lettres si vous avez Exchange). Vous aurez besoin pour vous assurer que le suffixe UPN du compte est @domain.com. Si votre espace de noms Active Directory interne est quelque chose comme domain.local, ou autre chose que domain.com, vous devrez probablement ajouter un suffixe DNS additionnel au domaine, donc vous pouvez l'attribuer aux utilisateurs. Consultez l'article suivant pour plus de détails : http://support.microsoft.com/kb/243629 Une fois le compte créé, nous allons le répliquer dans Office 365 et ensuite lui attribuer une licence. Avant de pouvoir vous connecter il y a deux choses qui doivent être faites sur le poste de travail d où vous allez tester.
Tout d'abord, l'assistant de connexion doit être installé. Il est disponible en versions 32 et 64 bits. Télécharger la version 32 bit Télécharger la version 64 bit Téléchargez et installez la version appropriée. Deuxièmement, vous aurez probablement besoin de modifier vos paramètres Internet Explorer pour pouvoir automatiquement vous authentifier avec le serveur ADFS. Avec les paramètres par défaut dans Internet Explorer, il semble que la connexion automatique se produise uniquement dans la Zone Intranet. Donc pour faire au plus simple, nous avons juste besoin de mettre notre serveur AD FS dans la Zone Intranet. Cela permettra à Internet Explorer de transmettre automatiquement les informations d'identification de l'utilisateur au serveur ADFS.
Enfin, ouvrez une session sur le poste de travail en tant que compte de test et accédez à https://portal.microsoftonline.com lorsque vous êtes invité à entrer le nom d'utilisateur user@domain.com, ou dans cet exemple testuser2@office365demo.com. Lorsque vous entrez le nom d'utilisateur, vous remarquerez que la zone de mot de passe est grisée et que ous devez cliquer sur le lien pour se connecter. Lorsque vous cliquez sur le lien, prêtez attention à la barre d'adresse de votre navigateur, ce que vous devriez voir, c'est votre client qui se connecte à votre serveur AD FS, par exemple fs.domain.com. Si vous êtes invité à entrer les informations d'identification, vous devriez vérifier vos paramètres d'internet Explorer ; si vous obtenez Une page ne peut pas être affichée, vérifiez votre serveur DNS pour vous assurer que le client peut résoudre le nom du serveur ADFS. Si tout va bien vous serez automatiquement connecté au portail. À ce stade, vous devriez avoir une installation complète très basique d AD FS.