ADFS est une nouvelle fonctionnalité du système d'exploitation Windows Server 2008. Elle fournit une solution d'accès unifiée pour l'accès basé sur un navigateur pour les utilisateurs internes et externes. Cette nouvelle fonctionnalité peut même permettre la communication entre comptes et applications entre deux réseaux ou organisations complètement différents.
Pour comprendre le fonctionnement d'ADFS, vous pouvez d'abord considérer le fonctionnement d'Active Directory. Lorsqu'un utilisateur s'authentifie via Active Directory, le contrôleur de domaine vérifie le certificat de l'utilisateur. Après avoir prouvé qu'il est un utilisateur légitime, l'utilisateur peut accéder librement à toutes les ressources autorisées sur le réseau Windows sans avoir à se réauthentifier à chaque fois qu'il accède à un serveur différent. ADFS applique le même concept à Internet. Nous savons tous que lorsqu'une application Web doit accéder à des données back-end situées dans une base de données ou d'autres types de ressources back-end, les problèmes d'authentification de sécurité pour les ressources back-end sont souvent compliqués. Il existe aujourd’hui de nombreuses méthodes d’authentification différentes pour fournir une telle authentification. Par exemple, l'utilisateur peut implémenter un mécanisme d'authentification de propriété via un serveur RADIUS (Remote Authentication Dial-in User Service) ou via une partie du code de l'application. Ces mécanismes d'authentification peuvent tous mettre en œuvre des fonctions d'authentification, mais ils présentent également certaines lacunes. Un inconvénient est la gestion des comptes. La gestion des comptes n'est pas un gros problème lorsque les applications ne sont accessibles qu'aux propres employés de l'entreprise. Cependant, si les fournisseurs et les clients de l'entreprise utilisent tous l'application, les utilisateurs se rendront soudainement compte qu'ils doivent créer de nouveaux comptes d'utilisateurs pour les employés d'autres entreprises. Le deuxième défaut est la maintenance. Lorsque des employés d'autres entreprises quittent l'entreprise et que de nouveaux employés sont embauchés, les utilisateurs doivent également supprimer les anciens comptes et en créer de nouveaux.
Que peut faire ADFS pour vous ?
Que se passerait-il si les utilisateurs confiaient les tâches de gestion des comptes à leurs clients, fournisseurs ou autres personnes utilisant l'application Web ? Imaginez que l'application Web fournisse des services à d'autres entreprises et que les utilisateurs n'aient plus besoin de créer des utilisateurs pour ces employés ou de réinitialiser leur compte. votre mot de passe. Comme si cela ne suffisait pas, les utilisateurs n’ont plus besoin de se connecter à l’application pour l’utiliser. Ce serait une chose tellement excitante.
De quoi ADFS a-t-il besoin ?
Bien entendu, les services de fédération Active Directory nécessitent également l'utilisation d'autres configurations et les utilisateurs ont besoin de certains serveurs pour exécuter ces fonctions. Le plus basique est le serveur de fédération, qui exécute le composant de service de fédération d'ADFS. Le rôle principal du serveur de fédération est d'envoyer les requêtes des différents utilisateurs externes. Il est également chargé d'émettre des tokens aux utilisateurs authentifiés.
De plus, dans la plupart des cas, un agent conjoint est requis. Imaginez, si le réseau externe doit pouvoir établir un protocole de fédération avec le réseau interne de l'utilisateur, cela signifie que le serveur de fédération de l'utilisateur doit être accessible via Internet. Mais la fédération Active Directory ne s'appuie pas beaucoup sur Active Directory, donc exposer directement le serveur de fédération à Internet entraînera de grands risques. De ce fait, le serveur de fédération ne peut pas être connecté directement à Internet, mais est accessible via le proxy de fédération. Le proxy de fédération transmet les demandes de fédération de l'extérieur au serveur de fédération, afin que le serveur de fédération ne soit pas directement exposé au monde extérieur.
Un autre composant majeur d'ADFS est l'agent Web ADFS. Les applications Web doivent disposer d'un mécanisme d'authentification des utilisateurs externes. Ces mécanismes sont le proxy Web ADFS. Le proxy Web ADFS gère les jetons de sécurité et les cookies d'authentification émis vers les serveurs Web.
Dans l'article suivant, nous vous guiderons à travers un environnement de test simulé pour découvrir la nouvelle expérience que le service ADFS apporte aux entreprises. Sans plus tarder, commençons le test de configuration ADFS.
Étape 1 : Tâches de pré-installation
Pour réaliser l’expérience suivante, les utilisateurs doivent préparer au moins quatre ordinateurs avant d’installer ADFS.
1) Configurer le système d'exploitation et l'environnement réseau de l'ordinateur
Utilisez le tableau suivant pour configurer votre système informatique et votre environnement réseau pour le test.
2) Installer AD DS
Les utilisateurs utilisent l'outil Dcpromo pour créer une nouvelle forêt Active Directory pour chaque serveur de fédération (FS). Pour le nom spécifique, veuillez vous référer au tableau de configuration ci-dessous.
3) Créer des comptes d'utilisateurs et des comptes de ressources
Après avoir configuré les deux forêts, les utilisateurs peuvent utiliser l'outil « Comptes d'utilisateurs et ordinateurs » (Utilisateurs et ordinateurs Active Directory) pour créer des comptes en vue des expériences suivantes. La liste suivante donne quelques exemples pour référence utilisateur :
4) Rejoignez l'ordinateur de test au domaine approprié
Suivez le tableau ci-dessous pour ajouter les ordinateurs correspondants au domaine approprié. Il convient de noter qu'avant d'ajouter ces ordinateurs au domaine, les utilisateurs doivent désactiver le pare-feu sur le contrôleur de domaine correspondant.
Étape 2 : Installer le service de rôle AD FS et configurer le certificat
Maintenant que nous avons configuré les ordinateurs et les avons ajoutés au domaine, nous avons également installé les composants ADFS sur chaque serveur.
1) Installer le service Alliance
Installez le service Alliance sur deux ordinateurs. Une fois l'installation terminée, les deux ordinateurs deviennent des serveurs Alliance. Les étapes suivantes nous guideront dans la création d'un nouveau fichier de stratégie de confiance, ainsi que d'un SSL et d'un certificat :
Cliquez sur Démarrer, sélectionnez Outils d'administration, puis cliquez sur Gestionnaire de serveur. Cliquez avec le bouton droit sur Gérer les rôles et sélectionnez Ajouter des rôles pour démarrer l'assistant d'ajout de rôle. Cliquez sur Suivant sur la page Avant de commencer. Sur la page Sélectionner les rôles de serveur, sélectionnez Services de fédération Active Directory et cliquez sur Suivant. Cochez la case Service de fédération dans Sélectionner les services de rôle. Si le système invite l'utilisateur à installer les services de rôle du serveur Web (IIS) ou du service d'activation Windows (WAS), cliquez sur Ajouter les services de rôle requis pour les ajouter, puis cliquez sur Suivant lorsque vous avez terminé. Sur la page Choisir un certificat pour le cryptage SSL, cliquez sur Créer un certificat auto-signé pour le cryptage SSL, cliquez sur Suivant pour continuer, sur la page Choisir un certificat de signature de jeton, cliquez sur Créer un certificat de signature de jeton auto-signé, cliquez sur Suivant. Sélectionnez la stratégie de confiance Sur la page, sélectionnez Créer une nouvelle stratégie de confiance. Ensuite, accédez à la page Sélectionner les services de rôle et cliquez sur Suivant pour confirmer la valeur par défaut. Après avoir vérifié les informations dans Confirmer les options d'installation, vous pouvez cliquer sur Installer pour démarrer l'installation.
[Page coupée]
2) Attribuez le compte système local à l'identité ADFSAppPool
Cliquez sur Démarrer, dans le Gestionnaire des services Internet (IIS) dans Outils d'administration, double-cliquez sur ADFSRESOURCE ou ADFSACCOUNT, sélectionnez Pools d'applications, cliquez avec le bouton droit sur ADFSAppPool dans le panneau central, sélectionnez Définir les valeurs par défaut du pool d'applications dans Type d'identité, cliquez sur LocalSystem, puis. sélectionnez OK .
3) Installez l'agent Web AD FS
Dans Gestionnaire de serveur dans Outils d'administration, cliquez avec le bouton droit sur Gérer les rôles, sélectionnez Ajouter des rôles, sélectionnez Services de fédération Active Directory sur la page Sélectionner les rôles de serveur selon l'assistant, cliquez sur Suivant et cochez la case Agent prenant en charge les revendications dans la fenêtre Sélectionner les services de rôle. . Si l'assistant invite l'utilisateur à installer les services de rôle Serveur Web (IIS) ou Service d'activation Windows (WAS), cliquez sur Ajouter les services de rôle requis pour terminer l'installation. Une fois terminé, sur la page Sélectionner les services de rôle, cochez la case Authentification de mappage de certificat client (Pour réaliser cette étape, IIS doit créer une authentification de service auto-signée.) Après avoir vérifié les informations, vous pouvez démarrer l'installation.
Pour réussir la mise en place d’un serveur web et d’un serveur alliance, une autre étape importante est la création, l’importation et l’exportation des certificats. Nous avons précédemment utilisé l'assistant d'ajout de rôle pour créer des certificats d'autorisation de serveur entre les serveurs de l'alliance. Il ne reste plus qu'à créer les certificats d'autorisation correspondants pour l'ordinateur adfsweb. En raison de l'espace limité, je ne le présenterai pas en détail ici. Pour le contenu connexe, vous pouvez consulter les articles de la série relatifs aux certificats.
Étape 3 : configurer le serveur Web
Dans cette étape, nous souhaitons principalement savoir comment configurer une application prenant en charge les revendications sur un serveur Web (adfsweb).
Tout d'abord, nous configurons IIS. Tout ce que nous devons faire est d'activer les paramètres SSL du site Web par défaut d'adfsweb. Une fois terminé, nous double-cliquons sur Sites Web dans ADFSWEB d'IIS, cliquons avec le bouton droit sur Site Web par défaut, sélectionnons Ajouter une application et tapons claimsapp dans. l'alias de la boîte de dialogue Ajouter une application. Cliquez sur le bouton..., créez un nouveau dossier nommé Claimapp, puis confirmez. Il est à noter qu'il est préférable de ne pas utiliser de majuscules pour nommer un nouveau dossier, sinon vous devrez utiliser les majuscules correspondantes lors de son utilisation ultérieure.
Étape 4 : Configurer le serveur Alliance
Maintenant que nous avons installé le service ADFS et configuré le serveur Web pour accéder à l'application prenant en charge les revendications, configurons les services d'alliance des deux sociétés (Trey Research et A. Datum Corporation) dans l'environnement de test.
Commençons par configurer la stratégie de confiance. Cliquez sur Services de fédération Active Directory dans Outils d'administration, double-cliquez sur Service de fédération, cliquez avec le bouton droit et sélectionnez Stratégie de confiance, puis sélectionnez Propriétés. Tapez urn:federation:adatum dans l’option URI du service de fédération sous l’onglet Général. Vérifiez ensuite que l'URL suivante est correcte dans la zone de texte URL du point de terminaison du service de fédération https://adfsaccount.adatum.com/adfs/ls/ Enfin, tapez A. Datum dans le nom d'affichage de cette stratégie d'approbation dans l'onglet Nom d'affichage et sélectionnez OK Bien sûr. Une fois terminé, nous entrons à nouveau dans Services de fédération Active Directory. Double-cliquez sur Service de fédération, Stratégie de confiance, Mon organisation, cliquez avec le bouton droit sur Revendications d'organisation, cliquez sur Nouveau, puis cliquez sur Revendication d'organisation. Tapez Trey ClaimApp Claim dans le nom de la revendication dans Créer une. Boîte de dialogue Nouvelle revendication d'organisation. Assurez-vous que la revendication de groupe est sélectionnée et cliquez sur OK. La configuration d’une autre société est fondamentalement similaire à l’opération ci-dessus, je n’entrerai donc pas dans les détails.
Étape 5 : Accédez à l'application pilote via l'ordinateur client
Configurer les paramètres du navigateur pour le service de fédération adfsaccount
Connectez-vous à adfsclient en tant qu'utilisateur alansh, démarrez IE, cliquez sur Options Internet dans le menu Outils, cliquez sur Intranet local dans l'onglet Sécurité, puis cliquez sur Sites. Cliquez ensuite sur Avancé dans Ajouter ce site Web à la zone. .adatum.com, cliquez sur Ajouter. Tapez ensuite https://adfsweb.treyresearch.net/claimapp/ dans le navigateur IE. Mais lorsque vous êtes invité à indiquer le domaine d'origine, cliquez sur A. Datum, puis sur Soumettre. De cette façon, l’exemple d’application prenant en compte les revendications apparaît sur le navigateur et l’utilisateur peut voir les revendications sélectionnées de l’application dans SingleSignOnIdentity.SecurityPropertyCollection. S'il y a un problème lors de l'accès, l'utilisateur peut exécuter iisreset ou redémarrer l'ordinateur adfsweb, puis réessayer d'accéder.
À ce stade, un modèle de test ADFS de base a été construit. Bien entendu, ADFS reste une nouvelle technologie complète et complexe. Dans un environnement de production réel, nous aurons encore de nombreuses opérations et configurations à effectuer. Comme mentionné ci-dessus, ADFS élargira considérablement les capacités des applications Web et augmentera le niveau d'informatisation des activités externes de l'entreprise. Attendons de voir comment la technologie ADFS de Windows Server 2008 est utilisée dans des applications pratiques.
[Page coupée]2) Attribuez le compte système local à l'identité ADFSAppPool
Cliquez sur Démarrer, dans le Gestionnaire des services Internet (IIS) dans Outils d'administration, double-cliquez sur ADFSRESOURCE ou ADFSACCOUNT, sélectionnez Pools d'applications, cliquez avec le bouton droit sur ADFSAppPool dans le panneau central, sélectionnez Définir les valeurs par défaut du pool d'applications dans Type d'identité, cliquez sur LocalSystem, puis. sélectionnez OK .
3) Installez l'agent Web AD FS
Dans Gestionnaire de serveur dans Outils d'administration, cliquez avec le bouton droit sur Gérer les rôles, sélectionnez Ajouter des rôles, sélectionnez Services de fédération Active Directory sur la page Sélectionner les rôles de serveur selon l'assistant, cliquez sur Suivant et cochez la case Agent prenant en charge les revendications dans la fenêtre Sélectionner les services de rôle. . Si l'assistant invite l'utilisateur à installer les services de rôle Serveur Web (IIS) ou Service d'activation Windows (WAS), cliquez sur Ajouter les services de rôle requis pour terminer l'installation. Une fois terminé, sur la page Sélectionner les services de rôle, cochez la case Authentification de mappage de certificat client (Pour réaliser cette étape, IIS doit créer une authentification de service auto-signée.) Après avoir vérifié les informations, vous pouvez démarrer l'installation.
Pour réussir la mise en place d’un serveur web et d’un serveur alliance, une autre étape importante est la création, l’importation et l’exportation des certificats. Nous avons précédemment utilisé l'assistant d'ajout de rôle pour créer des certificats d'autorisation de serveur entre les serveurs de l'alliance. Il ne reste plus qu'à créer les certificats d'autorisation correspondants pour l'ordinateur adfsweb. En raison de l'espace limité, je ne le présenterai pas en détail ici. Pour le contenu connexe, vous pouvez consulter les articles de la série relatifs aux certificats.
Étape 3 : configurer le serveur Web
Dans cette étape, nous souhaitons principalement savoir comment configurer une application prenant en charge les revendications sur un serveur Web (adfsweb).
Tout d'abord, nous configurons IIS. Tout ce que nous devons faire est d'activer les paramètres SSL du site Web par défaut d'adfsweb. Une fois terminé, nous double-cliquons sur Sites Web dans ADFSWEB d'IIS, cliquons avec le bouton droit sur Site Web par défaut, sélectionnons Ajouter une application et tapons claimsapp dans. l'alias de la boîte de dialogue Ajouter une application. Cliquez sur le bouton..., créez un nouveau dossier nommé Claimapp, puis confirmez. Il est à noter qu'il est préférable de ne pas utiliser de majuscules pour nommer un nouveau dossier, sinon vous devrez utiliser les majuscules correspondantes lors de son utilisation ultérieure.
Étape 4 : Configurer le serveur Alliance
Maintenant que nous avons installé le service ADFS et configuré le serveur Web pour accéder à l'application prenant en charge les revendications, configurons les services d'alliance des deux sociétés (Trey Research et A. Datum Corporation) dans l'environnement de test.
Commençons par configurer la stratégie de confiance. Cliquez sur Services de fédération Active Directory dans Outils d'administration, double-cliquez sur Service de fédération, cliquez avec le bouton droit et sélectionnez Stratégie de confiance, puis sélectionnez Propriétés. Tapez urn:federation:adatum dans l’option URI du service de fédération sous l’onglet Général. Vérifiez ensuite que l'URL suivante est correcte dans la zone de texte URL du point de terminaison du service de fédération https://adfsaccount.adatum.com/adfs/ls/ Enfin, tapez A. Datum dans le nom d'affichage de cette stratégie d'approbation dans l'onglet Nom d'affichage et sélectionnez OK Bien sûr. Une fois terminé, nous entrons à nouveau dans Services de fédération Active Directory. Double-cliquez sur Service de fédération, Stratégie de confiance, Mon organisation, cliquez avec le bouton droit sur Revendications d'organisation, cliquez sur Nouveau, puis cliquez sur Revendication d'organisation. Tapez Trey ClaimApp Claim dans le nom de la revendication dans Créer une. Boîte de dialogue Nouvelle revendication d'organisation. Assurez-vous que la revendication de groupe est sélectionnée et cliquez sur OK. La configuration d’une autre société est fondamentalement similaire à l’opération ci-dessus, je n’entrerai donc pas dans les détails.
Étape 5 : Accédez à l'application pilote via l'ordinateur client
Configurer les paramètres du navigateur pour le service de fédération adfsaccount
Connectez-vous à adfsclient en tant qu'utilisateur alansh, démarrez IE, cliquez sur Options Internet dans le menu Outils, cliquez sur Intranet local dans l'onglet Sécurité, puis cliquez sur Sites. Cliquez ensuite sur Avancé dans Ajouter ce site Web à la zone. .adatum.com, cliquez sur Ajouter. Tapez ensuite https://adfsweb.treyresearch.net/claimapp/ dans le navigateur IE. Mais lorsque vous êtes invité à indiquer le domaine d'origine, cliquez sur A. Datum, puis sur Soumettre. De cette façon, l’exemple d’application prenant en compte les revendications apparaît sur le navigateur et l’utilisateur peut voir les revendications sélectionnées de l’application dans SingleSignOnIdentity.SecurityPropertyCollection. S'il y a un problème lors de l'accès, l'utilisateur peut exécuter iisreset ou redémarrer l'ordinateur adfsweb, puis réessayer d'accéder.
À ce stade, un modèle de test ADFS de base a été construit. Bien entendu, ADFS reste une nouvelle technologie complète et complexe. Dans un environnement de production réel, nous aurons encore de nombreuses opérations et configurations à effectuer. Comme mentionné ci-dessus, ADFS élargira considérablement les capacités des applications Web et augmentera le niveau d'informatisation des activités externes de l'entreprise. Attendons de voir comment la technologie ADFS de Windows Server 2008 est utilisée dans des applications pratiques.