Configuration d'AD FS 2.0 en tant que fournisseur d'identité

  • Article

Mise à jour : 19 juin 2015

S’applique à : Azure

S'applique à

  • Microsoft Azure Active Directory Access Control (également appelé Access Control Service ou ACS)

  • Services ADFS (Active Directory® Federation Services)

Résumé

Cette procédure explique comment configurer en tant que fournisseur d’identité. La configuration en tant que fournisseur d’identité pour votre application web ASP.NET permet à vos utilisateurs de s’authentifier auprès de votre application web ASP.NET en vous connectant à leur compte d’entreprise géré par Active Directory.

Contenu

  • Objectifs

  • Vue d’ensemble

  • Résumé des étapes

  • Étape 1 : ajouter AD FS 2.0 en tant que fournisseur d'identité dans le portail de gestion du service de contrôle d'accès (ACS)

  • Étape 2 : ajouter un certificat à ACS pour le déchiffrement des jetons reçus d'AD FS 2.0 dans le portail de gestion ACS (facultatif)

  • Étape 3 : ajouter votre espace de noms Access Control en tant que partie de confiance dans AD FS 2.0

  • Étape 4 : Ajouter des règles de revendication pour l’espace de noms Access Control dans AD FS 2.0

Objectifs

  • Configuration de l’approbation entre ACS et .

  • Améliorer la sécurité de l'échange de jetons et de métadonnées

Vue d’ensemble

La configuration en tant que fournisseur d’identité permet de réutiliser les comptes existants gérés par Active Directory d’entreprise pour l’authentification. Elle élimine la nécessité de créer des mécanismes complexes de synchronisation des comptes, ou de développer un code personnalisé qui exécute les tâches d'acceptation des informations d'identification des utilisateurs finaux, de validation de ces informations par rapport à la banque d'informations d'identification, et de gestion des identités. L’intégration d’ACS et s’effectue uniquement par configuration: aucun code personnalisé n’est nécessaire.

Résumé des étapes

  • Étape 1 : ajouter AD FS 2.0 en tant que fournisseur d'identité dans le portail de gestion du service de contrôle d'accès (ACS)

  • Étape 2 : ajouter un certificat à ACS pour le déchiffrement des jetons reçus d'AD FS 2.0 dans le portail de gestion ACS (facultatif)

  • Étape 3 : ajouter votre espace de noms Access Control en tant que partie de confiance dans AD FS 2.0

  • Étape 4 : Ajouter des règles de revendication pour l’espace de noms Access Control dans AD FS 2.0

Étape 1 : ajouter AD FS 2.0 en tant que fournisseur d'identité dans le portail de gestion du service de contrôle d'accès (ACS)

Cette étape s’ajoute en tant que fournisseur d’identité dans le portail de gestion ACS.

Pour ajouter AD FS 2.0 en tant que fournisseur d’identité dans l’espace de noms Access Control

  1. Dans la page principale du portail de gestion ACS, cliquez sur Fournisseurs d’identité.

  2. Cliquez sur Ajouter un fournisseur d'identité.

  3. En regard de Microsoft Active Directory Federation Services 2.0, cliquez sur Ajouter.

  4. Dans le champ Nom d'affichage, entrez un nom pour ce fournisseur d'identité. Notez que ce nom apparaît dans le portail de gestion ACS et, par défaut, sur les pages de connexion à vos applications.

  5. Dans le champ de métadonnées WS-Federation , entrez l’URL du document de métadonnées de votre instance ou utilisez l’option Fichier pour charger une copie locale du document de métadonnées. Lorsque vous utilisez une URL, le chemin d’URL du document de métadonnées se trouve dans la section Service\Endpoints de la console de gestion. Les deux étapes suivantes ont trait aux options de la page de connexion pour vos applications par partie de confiance. Elles sont facultatives et peuvent être ignorées.

  6. Si vous souhaitez éditer le texte affiché pour ce fournisseur d'identité dans les pages de connexion pour vos applications, entrez le texte souhaité dans le champ Texte du lien de connexion.

  7. Si vous souhaitez afficher une image de ce fournisseur d'identité dans les pages de connexion pour vos applications, entrez l'URL d'un fichier image dans le champ URL de l'Image. Dans l’idéal, ce fichier image doit être hébergé sur un site approuvé (en utilisant HTTPS, si possible, pour empêcher les avertissements de sécurité du navigateur), et vous devez disposer de l’autorisation de votre partenaire pour afficher cette image. Consultez l’aide sur les pages de connexion et la découverte du domaine d’accueil pour obtenir des conseils supplémentaires sur les paramètres de la page de connexion.

  8. Si vous souhaitez inviter des utilisateurs à se connecter à l'aide de leur adresse de messagerie plutôt qu'en cliquant sur un lien, entrez les suffixes de domaine de messagerie que vous voulez associer à ce fournisseur d'identité dans le champ Nom(s) de domaine de messagerie. Par exemple, si le fournisseur d’identité héberge des comptes d’utilisateur dont les adresses e-mail se terminent @contoso.compar , entrez contoso.com. Utilisez des points-virgules pour séparer la liste des suffixes (par exemple, contoso.com; fabrikam.com). Consultez l’aide sur les pages de connexion et la découverte du domaine d’accueil pour obtenir des conseils supplémentaires sur les paramètres de la page de connexion.

  9. Dans le champ Applications par partie de confiance, sélectionnez toutes les applications par partie de confiance existantes, que vous souhaitez associer à ce fournisseur d'identité. Cela a pour effet d'afficher le fournisseur d'identité dans la page de connexion pour ces applications, et de permettre la remise de revendications du fournisseur d'identité à l'application. Notez qu'il faut encore ajouter au groupe de règles de l'application, des règles qui définissent les revendications à remettre.

  10. Cliquez sur Enregistrer.

Étape 2 : ajouter un certificat à ACS pour le déchiffrement des jetons reçus d'AD FS 2.0 dans le portail de gestion ACS (facultatif)

Cette étape ajoute et configure un certificat pour le déchiffrement des jetons reçus d'. Il s'agit d'une étape facultative permettant de renforcer la sécurité. Elle permet en particulier de protéger le contenu du jeton contre l'affichage et la falsification.

Pour ajouter un certificat à l’espace de noms Access Control pour le déchiffrement des jetons reçus à partir d’AD FS 2.0 (facultatif)

  2. Si vous n’avez pas été authentifié à l’aide de Windows Live ID (compte Microsoft), vous devrez le faire.

  3. Une fois authentifié avec votre id live Windows (compte Microsoft), vous êtes redirigé vers la page Mes projets sur le portail Microsoft Azure.

  4. Dans la page Mes projets, cliquez sur le nom de projet souhaité.

  5. Dans la page Project:<<nom de votre projet>>, cliquez sur le lien Access Control en regard de l’espace de noms souhaité.

  6. Dans la Access Control Paramètres : <<page de votre espace de noms>>, cliquez sur le lien Gérer Access Control.

  7. Dans la page principale du portail de gestion ACS, cliquez sur Certificats et clés.

  8. Cliquez sur Ajouter un certificat de déchiffrement de jeton.

  9. Dans le champ Nom, entrez un nom d'affichage pour le certificat.

  10. Dans le champ Certificat, recherchez le certificat X.509 avec une clé privée (fichier .pfx) pour cet espace de noms Access Control, puis entrez le mot de passe du fichier .pfx dans le champ Mot de passe. Si vous n’avez pas de certificat, suivez les instructions à l’écran pour en générer un ou consultez l’aide sur les certificats et les clés pour obtenir des conseils supplémentaires sur l’obtention d’un certificat.

  11. Cliquez sur Enregistrer.

Étape 3 : ajouter votre espace de noms Access Control en tant que partie de confiance dans AD FS 2.0

Cette étape permet de configurer ACS en tant que partie de confiance dans .

Pour ajouter l’espace de noms Access Control en tant que partie de confiance dans AD FS 2.0

  1. Dans la console Gestion, cliquez sur AD FS 2.0, puis, dans le volet Actions , cliquez sur Ajouter une approbation de partie de confiance pour démarrer l’Assistant Ajout d’approbation de partie de confiance.

  2. Dans la page Bienvenue, cliquez sur Démarrer.

  3. Dans la page Sélectionner une source de données, cliquez sur Importer des données sur la partie de confiance publiée en ligne ou sur un réseau local, tapez le nom de votre espace de noms Access Control, puis cliquez sur Suivant.

  4. Dans la page Spécifier le nom d'affichage, entrez un nom d'affichage, puis cliquez sur Suivant.

  5. Dans la page Choisir les règles d'autorisation d'émission, cliquez sur Autoriser tous les utilisateurs à accéder à cette partie de confiance, puis sur Suivant.

  6. Dans la page Prêt pour ajouter l'approbation, passez en revue les paramètres d'approbation de la partie de confiance, puis cliquez sur Suivant pour enregistrer la configuration.

  7. Dans la page Terminer, cliquez sur Fermer pour quitter l'Assistant. Cela a pour effet d'ouvrir également la page de propriétés Modifier les règles de revendication pour l'exemple d'application WIF. Laissez cette boîte de dialogue ouverte, puis passez à la procédure suivante.

Étape 4 : Ajouter des règles de revendication pour l’espace de noms Access Control dans AD FS 2.0

Cette étape configure des règles de revendication dans . De cette façon, vous vous assurez que les revendications souhaitées sont passées d’ACS.

Pour ajouter des règles de revendication pour l’espace de noms Access Control dans AD FS 2.0

  1. Dans la page de propriétés Modifier les règles de revendication, sous l'onglet Règles de transformation d'émission, cliquez sur Ajouter une règle pour démarrer l'Assistant Ajout d'une règle de revendication de transformation.

  2. Dans la page Sélectionner un modèle de règle, sous l'onglet Modèle de règle de revendication, dans le menu, cliquez sur Transférer ou filtrer une revendication entrante, puis sur Suivant.

  3. Dans la page Configurer une règle, dans Nom de la règle de revendication, tapez un nom d'affichage pour la règle.

  4. Dans la liste déroulante Type de revendication entrante, sélectionnez le type de revendication d'identifié à transférer à l'application, puis cliquez sur Terminer.

  5. Cliquez sur OK pour fermer la page de propriétés et enregistrer les modifications apportées à l'approbation de la partie de confiance.

  6. Répétez les étapes 1 à 5 pour chaque revendication à émettre depuis votre espace de noms Access Control.

  7. Cliquez sur OK.