Introduction
Dans cet article, je vous propose de découvrir les rôles AD FS (Active Directory Federation Services) et Proxy (WAP). Dans la cadre de la préparation à la certification 70-742, je me suis lancé dans le maquettage d’une infra.
C’est quoi ?
ADFS et le proxy qui l’accompagne permettent de mettre plusieurs choses en place :
- Un système de SSO (pour les applications compatibles à l’aide d’OpenID et SAML) qui permet l’authentification unique, en s’appuyant sur plusieurs standard comme SAML. L’utilisation de ADFS, permet de s’authentifier avec son compte AD sans avoir de faire de liaison directe entre l’application et l’annuaire AD. Cette solution est aussi pratique pour les applications de type cloud, cela permet d’utiliser les comptes local de l’Active Directory sans avoir besoin de liaison directe entre l’application et un contrôleur de domaine.
- Une sécurisation en gérant l’authentification avant l’application
- L’approbation entre plusieurs domaines par la communication de proxy ADFS (différents de l’approbation de domaine au sein de l’active directory).
Prérequis
Pour la réalisation de ce tutoriel voici les machines utilisées :
- LAB-AD1 : AD / DHCP / DNS / IIS
- LAB-ADFS : ADFS
- LAB-ADFS-PROXY : Proxy WAP(normalement à placer en DMZ)
- Un client
- Générer un certificat pour la liaison HTTPS avec les services ADFS (fs.lab.intra) et l’installer sur le serveur ADFS dans le magasin personnel.
- Générer un certificat pour la liaison HTTPS pour le site de test (*.lab.intra) et l’installer sur le serveur IIS dans le magasin personnel.
Pour éviter toute erreur SSL, installer le certificat en tant qu’autorité de certification racine de confiance sur les serveurs.
J’ai utilisé le serveur AD1 pour avoir une page web de test. Sur le client pour fonctionner l’url de fédération doit pointer sur le proxy.
Pour générer les certificats, j’ai utilisé itisscg. Je vous le mets à disposition car le site de l’éditeur n’est plus disponible.