AD FS avec Office 365

Guide d'installation etape par etape

Dans ce guide étape par étape, nous allons vous guider à travers la configuration d'Active Directory Federation
Services (ADFS) pour une utilisation avec Office 365. Dans ce premier document, nous allons juste installer un
serveur unique. Plus tard, vous pourrez étudier comment mettre en place un serveur de Proxy AD FS et la
redondance.

Ajouter votre nom de domaine à votre compte de Office 365

Étant donné que nous commençons par le début, la première chose que vous devez faire est de vous connecter
à votre compte Office 365 et d’aller sur Domaines. Cliquez sur le lien Ajouter un domaine.

Entrez le domaine que vous souhaitez fédérer et cliquez sur le bouton Vérifier domaine.
On vous demandera alors de confirmer les détails du domaine. Si tout est correct, cliquez sur Suivant.

Enfin, on vous donne des instructions sur la façon de créer un enregistrement TXT dans votre DNS Internet.
L'enregistrement TXT est le moyen pour Microsoft de vérifier que vous êtes propriétaire du domaine et de
créer cet enregistrement n'a aucune incidence sur les services existants. Après avoir créé l'enregistrement TXT
dans le DNS, vous devez revenir sur le site d’administration Office 365 et vérifier le domaine en cliquant sur le
bouton Vérifier.
Installer les services AD FS

Maintenant que votre domaine a été ajouté et vérifié, nous pouvons passer à l'installation des services AD FS
dans votre annuaire Active Directory local. Les grandes exigences pour cette étape sont :

 Vous devez avoir un Windows Server 2008 ou Windows Server 2008 R2 pour y installer les services AD
FS.

Vous devez d'abord télécharger AD FS 2.0 depuis :

http://www.microsoft.com/fr-fr/download/details.aspx?id=10909

Lancez le programme d'installation, cliquez sur Suivant.

Acceptez la licence et cliquez sur Suivant.

Sur l'écran du rôle de serveur, sélectionnez Serveur de Fédération et cliquez sur Suivant.
L'assistant installe automatiquement les préalables requis. Cliquez sur Suivant pour commencer l'installation.

Lorsque l'installation est terminée, décochez la case « Démarrer l'AD FS 2.0... » et cliquez sur le bouton
Terminer. La raison est que IIS a été installé dans le cadre des conditions préalables et nous devons maintenant
utiliser IIS pour demander un certificat.
Obtenir un certificat pour une utilisation avec les services AD FS
Dans cet exemple, nous allons demander un certificat auprès d'une autorité de certification publique. Sauf si
vous avez déjà déployée une infrastructure de certificats, il est probablement préférable d'acheter un certificat
au lieu de générer votre propre certificat. Faites-nous confiance, dépenser de l'argent sur un certificat vous
permettra d'économiser beaucoup de temps.

Sur le serveur où vous venez d'installer AD FS, ouvrez le Gestionnaire IIS et cliquez sur Certificats de serveur.
Puis cliquez sur Créer la demande de certificat

Dans cet exemple, nous allons demander un certificat générique. Un certificat à caractère générique n'est pas
nécessaire, mais nous avons l'intention d'utiliser ce certificat aussi pour Exchange. Le champ important est le
champ Nom (Common name). Dans l'image ci-dessous, vous pouvez voir que c’est *.domain.com. Dans la
plupart des cas (lorsque vous souhaitez que les utilisateurs externes sur Internet soient en mesure de
s'authentifier), Domain.com doit être votre nom de domaine externe. Si vous ne demandez pas un certificat
générique le nom sera quelque chose comme fs.domain.com ou adfs.domain.com.

Sur l'écran suivant, assurez-vous que la longueur en bits est d'au moins 2048 et cliquez sur Suivant.
Enfin, spécifiez un nom de fichier pour la demande de certificat et cliquez sur Terminer.

Vous devez maintenant transmettre la demande à une autorité de certification publique comme GoDaddy,
Verisign, Chambersign ou BNP-Paribas. Lorsque la demande a été traitée, vous recevez un certificat.

Importation du certificat
Une fois reçu le certificat, vous devez l’importer. Pour ce faire par le biais de IIS, vous devez revenir sur
Certificats de serveur et cliquer sur Demande de certificat complet :
Naviguez jusqu'au fichier de certificat et entrez le nom convivial. Dans cet exemple, un certificat générique a
été utilisé, donc le nom convivial sera *.domain.com. Si vous avez utilisé un nom différent, par exemple
fs.domain.com ou adfs.domain.com, entrer ce nom de la même façon.

Après que le certificat a été importé, vous aurez envie de vérifier en revenant à Certificats de serveur dans IIS.

Ensuite, vous devez ajouter le certificat au Site Web par défaut. Sélectionnez le Site Web par défaut, cliquez sur
Liaisons.
Cliquez sur Ajouter

Choisir : Type https, adresse IP Tous non-assignés / All Unassigned et Port 443. Sélectionnez le certificat
nouvellement importé, puis cliquez sur Ok.

Les liaisons de site devraient maintenant ressembler à :

Configuration des services AD FS

Maintenant que le certificat est installé, nous pouvons reprendre la configuration AD FS. Pour lancer l'Assistant
de configuration des services AD FS, il suffit d'aller dans outils d'administration et cliquez sur AD FS 2.0 gestion.
Lorsque la Console de gestion AD FS s'ouvre, cliquez sur le lien Assistant de Configuration du serveur de
Fédération AD FS 2.0.

Sélectionnez l'option Créer un nouveau Service de Fédération

Sur l'écran suivant, sélectionnez nouvelle batterie de serveurs de Fédération. Choisissez cette option sauf si
vous êtes absolument sûr que vous n’aurez jamais à installer un second serveur AD FS. Il ne fait pas de mal
d'avoir une ferme (batterie) avec un seul serveur, mais ça peut vous donner plus d'options en cours de route si
vous voulez ajouter de la redondance.
Dans le nom du Service de Fédération, choisissez le certificat à utiliser. Dans cet exemple, un certificat
générique a été utilisé, donc le nom doit être spécifié, fs.domain.com. C'est le nom auquel les clients se
connecteront, donc il doit pouvoir être résolu via DNS interne et externe à la fois.

Vous devez ensuite spécifier un compte de Service dans Active Directory qui sera utilisé par ADFS.
Sur l'écran Résumé examiner les modifications qui seront apportées et cliquez sur Suivant pour commencer la
configuration.

Lorsque l'installation est terminée, cliquez sur Fermer.

Installer et configurer le Module PowerShell Office 365

La prochaine étape est de télécharger le module PowerShell et configurer l'approbation avec Office 365.

Le module PowerShell est disponible en 2 versions. 32 Bit / 64 Bit

Une fois que l'outil a été téléchargé, exécutez l'assistant d'installation.

Installer l'Assistant de connexion

L'Assistant de connexion doit être installé à côté. Il est disponible en versions 32 et 64 bits..

Télécharger la version 32 bits

Télécharger la version 64 bits

Lancez l'installation de l’assistant de connexion (Sign-In Assistant) et cliquez sur le bouton Installer.
Lorsque l'installation est terminée, cliquez sur Terminer.

Mettre en place l’approbation avec Office 365

Nous devons maintenant ouvrir PowerShell pour convertir le domaine que nous avons ajouté précédemment à
Office 365 en un domaine fédéré. Vous aurez besoin d'exécuter Microsoft PowerShell en ligne tant
qu'administrateur.
Tapez $cred = Get-Credential et appuyez sur ENTREE. Cette applet de commande vous demande des
informations d'identification. Tapez votre identifiant de compte d'administration Office 365.

Tapez la commande suivante et appuyez sur entrée :

Connect-MsolService –Credential $cred

Tapez ce qui suit, où domain est le nom de votre domaine et appuyez sur entrée :

Convert-MsolDomainToFederated –DomainName domain.com

En cas de succès, vous devriez voir le message :

Domaine « Domaine.com » mis à jour avec succès.

Activer la synchronisation d'annuaire

Maintenant que le serveur AD FS est mis en place, nous sommes prêts à activer la synchronisation d'annuaire.
Avant de commencer, vous devez vous assurer que les conditions suivantes soient remplies.

 Vous avez un Windows Server 2008 ou + pour installer Dir Sync dessus.
 Le serveur peut ne pas être un contrôleur de domaine, mais doit être un membre du domaine.
 Vous devez avoir un compte qui dispose des droits d'administrateur d'entreprise dans l'Active Directory
local.
 .NET 3.5 ou une version ultérieure et PowerShell

Vous aurez besoin de démarrer la configuration de la synchronisation d’annuaire Dir Sync : dans le portail,
cliquez sur Utilisateurs (sous Gestion dans la colonne de gauche). Une fois là, cliquez sur Configurer la
synchronisation Active Directory

Suivez la liste de contrôle, et à l'étape 3, cliquez sur Activer , puis à l'étape 4, Télécharger le client.
Exécutez DirSync.exe et cliquez sur le bouton Suivant dans l'écran d'accueil.

Accepter les termes de la licence et cliquez sur Suivant.

Choisissez le dossier d'installation et cliquez sur Suivant pour commencer l'installation.

Lorsque l'installation est terminée, cliquez sur Suivant. Vérifiez que la boîte «Démarrer l’Assistant de
Configuration de démarrage maintenant» est cochée et cliquez sur Terminer.

Lorsque l'Assistant de configuration s'affiche, cliquez sur Suivant dans l'écran d'accueil.

Entrez vos informations d'identification administrateur de Office 365 et cliquez sur Suivant.
Entrez le nom d'utilisateur et le mot de passe de l’administrateur de l'entreprise Active Directory local et
cliquez sur Suivant.

Si vous prévoyez d'utiliser la Coexistence riche (Exchange), cochez Activer la coexistence riche. Dans cet
exemple l'option n'est pas disponible car il n’y a pas de serveur Exchange 2010. Cliquez sur Suivant pour
commencer la configuration.
Lorsque vous avez terminé, cliquez sur le bouton Terminer pour commencer la synchronisation initiale.

Lorsque la synchronisation d'annuaire est en marche, vérifiez les événements dans le journal des événements
d’applications pour voir le statut en cours.

Test des services AD FS

À ce stade, nous devrions être prêts à faire des essais de base d'AD FS. La première chose que vous aurez
probablement besoin de faire est de créer un compte dans votre annuaire Active Directory local (sans boîte aux
lettres si vous avez Exchange). Vous aurez besoin pour vous assurer que le suffixe UPN du compte est
@domain.com. Si votre espace de noms Active Directory interne est quelque chose comme domain.local, ou
autre chose que domain.com, vous devrez probablement ajouter un suffixe DNS additionnel au domaine, donc
vous pouvez l'attribuer aux utilisateurs. Consultez l'article suivant pour plus de détails :

http://support.Microsoft.com/kb/243629

Une fois le compte créé, nous allons le répliquer dans Office 365 et ensuite lui attribuer une licence.

Avant de pouvoir vous connecter il y a deux choses qui doivent être faites sur le poste de travail d’où vous allez
tester.
Tout d'abord, l'Assistant de connexion doit être installé. Il est disponible en versions 32 et 64 bits.

Télécharger la version 32 bit

Télécharger la version 64 bit
Téléchargez et installez la version appropriée.

Deuxièmement, vous aurez probablement besoin de modifier vos paramètres Internet Explorer pour pouvoir
automatiquement vous authentifier avec le serveur ADFS. Avec les paramètres par défaut dans Internet
Explorer, il semble que la connexion automatique se produise uniquement dans la Zone Intranet.

Donc pour faire au plus simple, nous avons juste besoin de mettre notre serveur AD FS dans la Zone Intranet.
Cela permettra à Internet Explorer de transmettre automatiquement les informations d'identification de
l'utilisateur au serveur ADFS.
Enfin, ouvrez une session sur le poste de travail en tant que compte de test et accédez à
https://portal.microsoftonline.com lorsque vous êtes invité à entrer le nom d'utilisateur user@domain.com, ou
dans cet exemple testuser2@office365demo.com.

Lorsque vous entrez le nom d'utilisateur, vous remarquerez que la zone de mot de passe est grisée et que ous
devez cliquer sur le lien pour se connecter.

Lorsque vous cliquez sur le lien, prêtez attention à la barre d'adresse de votre navigateur, ce que vous devriez
voir, c'est votre client qui se connecte à votre serveur AD FS, par exemple fs.domain.com. Si vous êtes invité à
entrer les informations d'identification, vous devriez vérifier vos paramètres d'Internet Explorer ; si vous
obtenez Une page ne peut pas être affichée, vérifiez votre serveur DNS pour vous assurer que le client peut
résoudre le nom du serveur ADFS.

Si tout va bien vous serez automatiquement connecté au portail.

À ce stade, vous devriez avoir une installation complète très basique d’AD FS.