Traduction

frendeitptes

Recherche glossaire

Rechercher dans les définitions (terme ou expression)
Commence par Contient Terme exactSe prononce comme

« Rendez les choses aussi simples que possible, mais pas plus simples.  »

Rôles 2016

Rôles 2016

Etoiles inactivesEtoiles inactivesEtoiles inactivesEtoiles inactivesEtoiles inactives

Tester ADFS

Vous pouvez tester votre service ADFS de l'extérieur de manière à valider sa bonne configurration. Pour cela accéder au site suivant:

 https://adfshelp.microsoft.com/ClaimsXray/TokenRequest

L'étape n°1 vous permet de copier quelques codes Powershell (ci-dessous) afin de les executer sur votre serveur ADFS.

$authzRules = "=>issue(Type = `"http://schemas.microsoft.com/authorization/claims/permit`", Value = `"true`"); "
$issuanceRules = "@RuleName = `"Issue all claims`"`nx:[]=>issue(claim = x); "
$redirectUrl = "https://adfshelp.microsoft.com/ClaimsXray/TokenResponse"
$samlEndpoint = New-AdfsSamlEndpoint -Binding POST -Protocol SAMLAssertionConsumer -Uri $redirectUrl

Add-ADFSRelyingPartyTrust -Name "ClaimsXray" -Identifier "urn:microsoft:adfs:claimsxray" -IssuanceAuthorizationRules $authzRules -IssuanceTransformRules $issuanceRules -WSFedEndpoint $redirectUrl -SamlEndpoint $samlEndpoint

 Cela aura pour impact d'ajouter un approbation de confiance nommée "ClaimsXray"

image2

Sur la page web, cliquez sur létape n°2 et renseignez votre serveur ADFS, puis cliquez sur le bouton "Test authentification".

Votre page devrait s'ouvrir.

Capture

Etoiles inactivesEtoiles inactivesEtoiles inactivesEtoiles inactivesEtoiles inactives

Configurer Exchange 2016 avec ADFS

Ajout de la partie de confiance exchange

Ajout de la partie de confiance exchange

Loguez-vous sur le serveur ADFS.

Création de la partie de confiance

Dans le noeud "Approbation de partie de confiance", dans le volet "Action", cliquez sur "Ajouter une approbation de partie de confiance".

image1

Sélectionnez "Prise en charge des revendications", puis cliquez sur "Suivant"

image2

Sélectionnez "Entrez manuellement...", puis cliquez sur "Suivant"

image3

Renseignez un nom explicite, ici "OWA", puis cliquez sur "Suivant"

image4

Cliquez sur "Suivant"

image5

Sélectionnez la case à cocher "Activer la prise en charge du protocole WS-Federation passif", puis cliquez sur "Suivant"

image6

Configurer la partie de confiance

Sélectionnez la partie de confiance précédement créée et dans le volet "Actions", sélectionnez "Editez la stratégie d'émission de revendications".

image8

Dans la liste déroulante "Modèle de règle de revendication", sélectionnez "Envoyer les revendications en utilisant une règle personnalisée", puis cliquez sur "Suivant"

image10

L'image suivante contient déjà les deux règles à créer. N'en tener pas compte.

Cliquez sur "Ajouter une règle"

image9

Nommez clairement la règle en fonction de son contenu. Comme ici, je créé une revendication basée sur le SID, je la nomme "User SID".

Dans la zone "règle personnalisée", collez la revendication suivante:

c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid"), query = ";objectSID;{0}", param = c.Value);

Puis cliquez sur "Terminer"

image12

Ajouter une deuxième règle en la nommant "UPN" et coller la revendication suivante:

c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"), query = ";userPrincipalName;{0}", param = c.Value);

IMPORTANT!!!

Créez à présent une deuxième fois sur sur "Ajouter une approbation de partie de confiance" et recréez à l'identique de la précédent une approbation de partie de confiance nommée "ECP".

Vous avez à présent créeé les deux approbations de confiance nécessitant une authentification.

Publiez les URLs

Loguez-vous sur le serveur WAP (Proxy d'Applications Web)

La liste des URLs à publier est la suivante:

 

Service Chemin Type d'authentification
Outlook Web App /OWA/ AD FS
Exchange Control Panel /ECP/ AD FS
Exchange Web Services /EWS/ Pass thru
Auto Discover /Autodiscover/ Pass thru
ActiveSync /Microsoft-Server-ActiveSync Pass thru
Offline Address Book /OAB/ Pass thru
Outlook Anywhere /rpc/ Pass thru
MAPI HTTP /mapi/ Pass thru

Vous allez répéter ces tâches à deux reprises pour les deux URLs nécessitant une authentification:

Dans le volet "Actions", cliquez sur "Publier"

image13

Puis cliquez sur Suivant.

image14

Dans la page "Pré-authentification, sélectionnez "Services de fédération Active Diretory (AD FS), puis cliquez sur "Suivant"".

image15

Sélectionnez pour commencer La revendication précédement créée dans ADFS nommée "OWA", puis cliquez sur "Suivant"".

Sélectionnez "MSOFBA et web", puis cliquez sur "Suivant"".

image16

Nommez clairement cette publication, par exemple "Exchange OWA", renseignez l'URL de votre serveur Exchange et sélectionnez le certificat de votre serveur de messagerie, ou éventuellement le certificat générique (ce dernier contenant les noms acceptés), puis cliquez sur "Suivant".

image19

Puis cliquez sur "Publier".

image20

Refaites à l'identique une deuxième publication pour pour l'ECP d'exchange.

Pour les autres URLs ne nécessitant pas d'authentification, créez une publication pour chacune des autres URLs mentionné dans le tableau précédent, mais en sélectionnant le mode "Passtrough", puis cliquez sur "Suivant".

image22

Renseignez un nom explicite ainsi que les URLs correspondantes, puis cliquez sur "Suivant".

image23

Puis cliquez sur "Suivant".

image24

Mise en place de la relation de confiance

Mise en place de la relation de confiance

Exportation du certificat de signature de jetons

Loguez-vous sur le serveur ADFS et ouvrez la console ADFS. Dans le noeud "Service", développez "Certificats", puis faites un clic droit sur le certificat de signature de jeton, puis "Afficher le certificat", afin de l'exporter.

image25

Cliquez sur l'onglet "Détail", puis sur le bouton "Copier dans un fichier".

image26

L'assistant d'exportation de certificat se lance

image27

Puis cliquez sur "Suivant".

image28

Rensignez le chemin d'exportation, puis cliquez sur "Suivant".

image29

Puis cliquez sur "Suivant".

Loguez- vous à présent sur le serveur Exchange. Recherchez l'emplacement du certificat et double-cliquez dessus afin de l'importer, puis cliquez sur "Installer le certificat".

image30

Sélectionnez "ordinnateur local", puis cliquez sur "Suivant".

image31

Sélectionnez le noeud "Autorités de certification racine de confiance", puis cliquez sur "Suivant".

image32

Et installez-le.

En tan qu'administrateur, lancez une fenêtre Powershell et lancez la commande suivante:

Set-Location Cert:\LocalMachine\Root; Get-ChildItem | Sort-Object Subject

Repérez le certificat dont le nom commence par "CN=ADFS Signing". Copiez l'empreinte du certificat.

image33

Vous pouvez également récupérer l'empreinte à distance sur le serveur ADFS nommé "SRV1"en executant la commande powershell suivante:

invoke-command -ComputerName srv1 -ScriptBlock {Get-AdfsCertificate -CertificateType Token-Signing}

Lancez la commande suivante en prenant soin d'indiquer :

  • votre URL de votre serveur ADFS
  • votre URL de votre serveur OWA
  • votre URL de votre serveur ECP
  • remplacer "" par votre empreinte

Set-OrganizationConfig -AdfsIssuer https:///adfs/ls/ -AdfsAudienceUris "","" -AdfsSignCertificateThumbprint ""

image34

Configuration de l'authentification Exchange

Tapez la commande suivante dans Powershell afin de paramétrer l'authentification pour OWA:

Get-EcpVirtualDirectory | Set-EcpVirtualDirectory -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -OAuthAuthentication $false -WindowsAuthentication $false

Tapez la commande suivante dans Powershell afin de paramétrer l'authentification pour ECP:

Get-OwaVirtualDirectory | Set-OwaVirtualDirectory -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -OAuthAuthentication $false -WindowsAuthentication $false

Redémarrez IIS avec la commande:

iisreset /noforce

Testez votre accès!!

Etoiles inactivesEtoiles inactivesEtoiles inactivesEtoiles inactivesEtoiles inactives

Mettre en place un Proxy d'Applications Web (WAP) en liaison avec Active Directory Federation Services (ADFS)

L'objectif de ce tuto est de mettre en place l'accès distant à différentes applications web comme un site web interne, un serveur TSWeb, un serveur Exchange.

L'infrastructure réseau est composé de:

  • DC1 (172.16.0.10) – un contrôleur de domaine Windows Server 2016 dans la forêt à domaine unique formation.local. Vous l’utiliserez pour héberger le rôle d’autorité de Certification d’entreprise.
  • ADFS (172.16.0.11) – un serveur membre de domaine Windows Server 2016. Ce serveur sera l’hôte du rôle de serveur Services de Fédération Active Directory.
  • WEBPROXY (172.16.0.12) – un serveur membre de domaine Windows Server 2016. Ce serveur sera l’hôte du service de rôle Proxy d’Application Web et fonctionne comme un point de distribution de liste de révocation de certificats (CRL) pour des clients externes.
  • SVRIIS (172.16.0.13) – un serveur de membre de domaine Windows Server 2016. Cela servira à héberger une application Web publiée via le Proxy d’Application Web.
  • CL1 (172.16.0.101) – un ordinateur membre du domaine Windows 10 Pro ou Enterprise

Tous les ordinateurs disposent d’une connectivité Internet.

 

Configuration du point de distribution

Configurer le serveur WEBPROXY à héberger un point de distribution de liste de révocation de certificat

Se connecter à la machine virtuelle WEBPROXY avec vos informations d’identification suivantes :

  • Nom d’utilisateur : FORMATION\Administrateur
    Mot de passe : Pa$$word

Lancez Windows PowerShell ISE en tant qu’Administrateur.
Dans la fenêtre Administrateur : Windows PowerShell ISE, créez un partage de fichier nommé « certdata » et accorder les autorisations « contrôle total » sur le dossier de certdata pour le compte d’ordinateur DC1:

image1


New-Item -Path c:\certdata –ItemType Directory
New-SMBShare –Name certdata –Path ‘c:\certdata’ –ChangeAccess ‘FORMATION\DC1$’
Grant-SmbShareAccess -Name certdata -AccessRight Change -AccountName 'Administrateurs' -Force
$acl = Get-Acl ‘c:\certdata’
$car = New-Object System.Security.AccessControl.FileSystemAccessRule("FORMATION\DC1$", "FullControl", "Allow")
$acl.SetAccessRule($car)
Set-Acl ‘c:\certdata’ $acl

image2
Cliquez sur Démarrer, puis cliquez sur Gestionnaire de serveur.
Cliquez sur gérer et, dans le menu déroulant, cliquez sur Ajouter des rôles et fonctionnalités.

image3
Si l’avant vous commencez page s’affiche, cochez la case ignorer cette page par défaut et puis cliquez sur suivant.
Sur la page type d’installation choisir, vérifiez que l’option d’installation basée sur les rôles ou axée sur la fonctionnalité est activée, puis cliquez sur suivant.
Sur la page serveur de destination, assurez-vous que WEBPROXY est sélectionné et cliquez sur suivant.
Sur la page de rôles de serveurs, développez l’entrée de Serveur Web (IIS), puis cliquez sur la case à cocher Serveur Web (IIS) . Lorsque vous y êtes invité, s’il convient d’ajouter les fonctionnalités requises pour le serveur Web (IIS), cliquez sur Ajouter des composants et puis cliquez sur suivant.
Dans la page sélection de fonctionnalités, cliquez sur suivant.
Sur la page du rôle de serveur Web (IIS), cliquez sur suivant.
Sur la page services de rôle Select, acceptez les paramètres par défaut et cliquez sur suivant.
Sur la page Confirmer les sélections pour l’installation, cochez la case redémarrer le serveur de destination automatiquement si nécessaire, lorsque vous êtes invité à confirmer, cliquez sur Oui, puis cliquez sur installer.
Attendez que l’installation se terminer et, sur la page de progression d’Installation, cliquez sur Fermer.
Dans WEBPROXY cliquez sur Démarrer, dans le menu Démarrer, cliquez sur Outils d’administration Windows , puis cliquez sur Gestionnaire des Services Internet (IIS).
Dans la console Gestionnaire des Services Internet (IIS), développez le dossier Sites, faites un clic droit sur Site Web par défaut et, dans le menu contextuel, cliquez sur Ajouter un répertoire virtuel.

image4
Dans la boîte de dialogue Ajouter un répertoire virtuel, dans le champ Alias, renseignez certdata et le chemin d’accès physique à C:\certdata, puis cliquez sur OK.

image5

Configurer le service DNS sur DC1

Configurer le service DNS sur DC1

Se connecter à la machine virtuelle de DC1 avec vos informations d’identification suivantes :

  • Nom d’utilisateur : FORMATION\Administrateur
  • Mot de passe : Pa$$word

Cliquez sur Démarrer, puis cliquez sur Gestionnaire de serveur.
Dans le gestionnaire de serveur, cliquez sur Outils et puis cliquez sur DNS.
Dans la console Gestionnaire DNS, accédez à la zone de Formation.local .
Cliquez Formation.local , puis, dans le menu contextuel, cliquez sur Nouvel hôte (A ou AAAA).

image6
Dans la boîte de dialogue Nouvel hôte, tapez la commande suivante, puis cliquez sur OK:

  • Nom : cdp
  • Adresse IP : 172.16.0.12

image7

Dans la boîte de dialogue Nouvel hôte, tapez la commande suivante, puis cliquez sur OK:

  • Nom : adfs
  • Adresse IP : 172.16.0.11

Dans la boîte de dialogue DNS, cliquez sur OK.
Dans la boîte de dialogue DNS, cliquez sur OK.
Dans la boîte de dialogue Nouvel hôte, tapez la commande suivante, puis cliquez sur OK :

  • Nom : webapp
  • Adresse IP : 172.16.0.13

Dans la boîte de dialogue DNS, cliquez sur OK.
Dans la boîte de dialogue Nouvel hôte, cliquez sur terminé.

image8
 

Configurer votre CA

Installer et configurer une autorité de certification d’entreprise sur DC1

Dans la machine virtuelle DC1, dans le gestionnaire de serveur, dans le menu gérer, cliquez sur Ajouter des rôles et fonctionnalités.
Sur la page type d’installation choisir, vérifiez que l’option d’installation basée sur les rôles ou axée sur la fonctionnalité est activée, puis cliquez sur suivant.
Sur la page serveur de destination, assurez-vous que DC1 est sélectionné et cliquez sur suivant.
Sur la page de rôles de serveurs, sélectionnez la case à cocher Services de certificats Active Directory. Lorsque vous êtes invité s’il convient d’ajouter les fonctionnalités requises pour les Services de certificats Active Directory, cliquez sur Ajouter des fonctionnalités et puis cliquez sur suivant.
image9
Dans la page Sélectionner des fonctionnalités, cliquez sur suivant.
Dans la page Services de certificats Active Directory, cliquez sur suivant.
Sur la page services de rôle de sélection, assurez-vous que la case à cocher Autorité de Certification est sélectionnée et puis cliquez sur suivant.
image10
Sur la page Confirmer les sélections d'installation, cliquez sur installer.
Une fois l’installation terminée, cliquez sur Configurer les services de certificats Active Directory sur le serveur de destination.
image11
Sur la page Informations d’identification, cliquez sur suivant.
image12
Sur la page « sélectionnez les Services de rôle à configurer », sélectionnez la case à cocher Autorité de Certification, puis cliquez sur suivant.
image13
Spécifier le type de CA, faire en sorte qu’Autorité de certification racine soit sélectionné et puis cliquez sur suivant.
image14
Sur la page « spécifier le type de la clé privé », faire en sorte que l’option créer une nouvelle clé privée est sélectionné et puis cliquez sur suivant.
Sur la page « spécifier les options de chiffrement », la longueur de la clé la valeur 4096, acceptez les paramètres restants avec leurs valeurs par défaut et cliquez sur suivant.
image16
La spécifier le nom de la page CA, spécifiez les paramètres suivants, puis cliquez sur suivant :

  • Nom commun de cette autorité de certification : Formation-racine-CA
  • Suffixe de nom unique : DC = formation, DC = com
  • Aperçu du nom unique : CN = formation-racine-CA, DC = formation, DC = com

image17

Sur la page « période de validité », accepter la période de validité par défaut et cliquez sur suivant.

image18

Sur la page « emplacements de base de données, acceptez l’emplacement par défaut de la base de données de certificat et de son journal, puis cliquez sur suivant.

image19

Sur la page de Confirmation, cliquez sur configurer.
image20
Attendre jusqu'à la fin de la configuration, cliquez sur Fermer.
Retour sur la progression de l’Installation de l’Assistant de fonctionnalités et d’ajouter des rôles, cliquez sur Fermer.
image21
Dans le gestionnaire de serveur, dans le menu Outils, démarrez la console Autorité de Certification.
image22
Dans la console autorité de Certification, cliquez sur le nœud Racine-formation-CA et, dans le menu clic-droit, cliquez sur Propriétés.
image23
Dans la boîte de dialogue Propriétés, affichez l’onglet Extensions, assurez-vous que l’entrée de Point de Distribution CRL (CDP) apparaît dans la liste déroulante Sélectionnez l’extension et cliquez sur Ajouter.
image24
Dans la boîte de dialogue Ajouter un emplacement, dans la zone de texte emplacement, spécifiez le suivant http://cdp.formation.local/certdata/.crl et cliquez sur OK.
image25
Retour sur l’onglet "Extensions", avec l’entrée CDP nouvellement ajoutée sélectionnée, sélectionnez inclure dans les extensions CDP des certificats émis et Inclure dans les listes de révocation de certificats afin de pouvoir rechercher les listes de révocation des certificats delta.
image26
Assurez-vous que l’entrée de Point de Distribution CRL (CDP) apparaît dans la liste déroulante Sélectionnez l’extension et cliquez sur Ajouter.
Dans la boîte de dialogue Ajouter un emplacement, dans la zone de texte emplacement, spécifiez les options suivantes : file://cdp.formation.local/certdata/.crl , puis cliquez sur OK.
image27
Retour sur l’onglet "Extensions", avec l’entrée CDP nouvellement ajoutée sélectionnée, cochez les cases Publient des listes de révocation à cet endroit et Publier la CRL Delta à cet endroit.
image28
Dans la sélectionner l’extension, liste déroulante, cliquez sur l’entrée d’Accès informations l’autorité (AIA) et cliquez sur Ajouter
image29
Dans la boîte de dialogue Ajouter un emplacement, dans la zone de texte emplacement, spécifiez http://cdp.formation.local/certdata/DNS>.crt et cliquez sur OK.
image30
Retour sur l’onglet "Extensions", avec l’entrée CDP nouvellement ajoutée sélectionnée, cochez la case inclure dans les extensions AIA des certificats émis, puis cliquez sur OK.
image31
Lorsque vous êtes invité à redémarrer les Services de certificats Active Directory, cliquez sur Oui.
image32
Retour dans la console autorité de Certification, développez le nœud Racine-formation-CA, cliquez droit sur le dossier Certificats révoqués, cliquez sur Toutes les tâches et cliquez sur publier.
image33
Dans la boîte de dialogue publier CRL, cliquez sur OK.
image34

Sur le serveur WebProxy doit apparaître dans le répertoire c:\certdata 2 fichiers:
image35

Création du modèle de certificat

Vous allez créer un modèle de certificat que vous utiliserez ultérieurement sur lequel vous installez l’application web.
Dans la console autorité de Certification, développez le nœud Racine-formation-CA, cliquez sur Modèles de certificats et, dans le menu contextuel, cliquez sur gérer. Ceci ouvrira la console modèles de certificats.
image36
Dans la console modèles de certificats, cliquez sur le modèle de Serveur Web, puis sélectionnez Modèle dupliqué.
image37
Dans la fenêtre de propriétés du nouveau modèle, sous l’onglet compatibilité, dans la section paramètres de compatibilité, à l’autorité de Certification liste déroulante, cliquez sur Windows Server 2016. Lorsque vous y êtes invité, dans la boîte de dialogue modifications résultant, cliquez sur OK.
Dans la fenêtre de propriétés du nouveau modèle, sous l’onglet compatibilité, dans la section paramètres de compatibilité, dans la liste déroulante destinataire du certificat, cliquez sur 10 Windows / Windows serveur 2016. Lorsque vous y êtes invité, dans la boîte de dialogue modifications résultant, cliquez sur OK.
image38
image39
Basculez vers l’onglet sécurité, cliquez sur Ajouter.
Dans la zone Entrez l’objet de noms pour sélectionner zone de texte, tapez Ordinateurs du domaine et cliquez sur OK.  
Les ordinateurs du domaine sélectionné, vérifiez les autorisations lecture, inscrire et inscription automatique.
image40
Sur l’onglet traitement de demande, cochez la case de l’autoriser à exporter la clé privée.
image41
Sous l’onglet général, remplacez le nom d’affichage modèle Formation Web Server.
image42
Cliquez sur OK pour enregistrer le nouveau modèle.
Revenir à la console Autorité de Certification, cliquez droit sur le dossier modèles de certificats, cliquez sur nouveau et puis cliquez sur Modèle de certificat à délivrer.
image43
Dans la boîte de dialogue Activer les modèles de certificat, cliquez sur Formation Web Server et cliquez sur OK.

image44

Inscription d'un certificat pour adfs

Inscription d'un certificat pour adfs

Connectez-vous à l’ordinateur Windows serveur 2016 ADFS avec les informations d’identification suivantes :
Nom d’utilisateur : FORMATION\Administrateur
Mot de passe : Pa$$word
Alors qu’il est connecté à ADFS comme FORMATION\Administrateur, cliquez sur Démarrer, cliquez droit sur Windows PowerShell, cliquez sur plus et puis cliquez sur exécuter en tant qu’Administrateur.
Dans la fenêtre Administrateur : Windows PowerShell, tapez la commande suivante et appuyez sur entrée :

gpupdate /force

image45


certlm

Ceci ouvrira la Console de gestion Microsoft (MMC) avec le snap-in certificats - ordinateur Local chargé.
Développez le nœud de niveau supérieur de certificats-ordinateur Local, cliquez droit sur le dossier personnel, cliquez sur Toutes les tâches et cliquez sur Demander un nouveau certificat. Cela démarre l’Assistant Inscription de certificat.
 image46
Sur la page Avant de commencer, cliquez sur suivant.
image47
Dans la page Sélectionnez stratégie d’inscription certificat, vérifiez que la Stratégie d’inscription Active Directory est sélectionnée, puis cliquez sur suivant.
image48
Dans la page Demander des certificats, sélectionnez la case en regard de l’attestation de Formation Web Server, cliquez sur Détails pour afficher les propriétés du certificat et cliquez sur Propriétés.
image49
Dans la fenêtre Propriétés du certificat, sous l’onglet général, dans la zone de texte de l’article de nom convivial, tapez Formation AD FS SSL.
Dans la fenêtre Propriétés du certificat, cliquez sur l’onglet objet. Dans l’onglet objet, dans la section nom de sujet, dans la liste déroulante Type, cliquez sur nom commun, dans la zone de texte valeur, type *. formation.local, puis cliquez sur Ajouter.
Dans la section nom alternatif, dans la liste déroulante Type, cliquez sur DNS et, ajoutez les noms suivants en tapant dans la zone de texte valeur et en cliquant sur Ajouter chaque fois :

  • *.formation.local
  • adfs.formation.local
  • webapp.formation.local
  • webproxy.formation.local

image50

Cliquez sur l'onglet Général

image51

Cliquez sur l’onglet de la Clé privée.
Sous options de clé, assurez-vous que l’option rendre clé privée exportable est cochée, puis cliquez sur OK.
image52

Dans la page résultats de l’Installation certificat, cliquez Inscription puis sur Terminer.

 

image53

image54
Retour dans les certificats de la console, développez le dossier Autorités de Certification racines de confiance, puis cliquez sur certificats.

Faites un clic droit entrée Formation-racine-CA, dans le menu contextuel, cliquez sur Toutes les tâches et puis cliquez sur Exporter. Cela va démarrer l’Assistant exportation de certificat.

image55
 
Dans la page Bienvenue dans l’Assistant exportation de certificat, cliquez sur suivant.

image56
 
Dans la page format de fichier exporter, cliquez sur suivant.
image57
Sur la page fichier à exporter, dans la zone de texte nom de fichier, tapez C:\cert\formation-root-CA.cer, puis cliquez sur suivant.

image58
 
Fin l’Assistant exportation de certificat page, cliquez sur Terminer.

image59
 
Dans la boîte de dialogue Assistant exportation de certificat, cliquez sur OK.

Installer le rôle ADFS

Installer le rôle ADFS sur le serveur ADFS

Loguez vous sur DC1, cliquez sur Démarrer, dans le menu Démarrer, cliquez droit sur Windows PowerShell, dans le menu contextuel, cliquez sur plus et cliquez sur exécuter en tant qu’Administrateur.
Dans la fenêtre Administrateur : Windows PowerShell, créez la clé Key Distribution Services KDS racine en exécutant ce qui suit :

ADD-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10)

image60

Cela vous permettra d’utiliser un compte de Service géré lors du déploiement des services AD FS.
Revenez à ADFS,
Cliquez sur Démarrer et puis cliquez Server Manager.
Dans le menu gérer dans le Gestionnaire de serveur, sélectionnez Ajouter des rôles et fonctionnalités. Ceci lancera Ajouter des rôles et fonctionnalités Assistant.
Sur la page avant de commencer, cliquez sur suivant
Sur la page Sélectionner le type d’installation, assurez-vous que l’installation basée sur les rôles ou à partir d’option est sélectionnée, puis cliquez sur prochain.
Sur la page Sélectionner le serveur de destination, vérifiez que le serveur local est sélectionné, puis cliquez sur prochain.
Sur la page Rôles du serveur, activez la case à cocher Active Directory Federation Services et cliquez sur suivant
image61
Dans la page Sélectionner des fonctionnalités, cliquez sur prochain.
Dans la page Services de fédération Active Directory, cliquez sur suivant
Sur la page Confirmer installation sélections, sélectionnez la case à cocher redémarrer le serveur de destination automatiquement si nécessaire, cliquez sur Oui lorsque vous êtes invité pour confirmation et cliquez sur installer. Attendre la fin de l’installation.
Une fois l’installation terminée, sur la page de progression d’Installation, cliquez sur configurer le service de Fédération sur ce serveur. Cela démarrera l’Assistant Configuration de Active Directory Federation Services.
image62
Sur la page d’Accueil, vérifiez que l’option créer le premier serveur de Fédération dans une batterie de serveurs de Fédération est sélectionnée et cliquez sur suivant.
image63
Sur la page de connexion aux services AD DS, acceptez les paramètres par défaut et cliquez sur suivant.
image64
Dans la page spécifier des propriétés de Service, dans le menu de certificat SSL déroulant, cliquez sur
*.formation.local. Dans la liste déroulante nom de Service de Fédération, sélectionnez adfs.formation.local. Dans le nom complet Service de Fédération, tapez Service de Fédération de la Formation et cliquez sur suivant.
image65
Dans la page Spécifier le compte de Service, cliquez sur l’option créer un compte de Service géré par groupe, dans la zone de texte Nom du compte, tapez « adfs-gmsvc » et puis cliquez sur suivant.
image66
Ceci est rendu possible grâce à la commande PowerShell ADD-KdsRootKey rentrée précédemment.
Dans la page Spécifier la base de données de Configuration, vérifiez que l’option créer une base de données sur ce serveur en utilisant la base de données interne Windows est sélectionnée et puis cliquez sur suivant.
image67
Dans la page Revoir les Options, cliquez sur suivant.
image68
Dans la page de Vérifications des conditions préalables, vérifiez que toutes les conditions préalables sont remplies et cliquez sur configurer.
image69
Attendre jusqu'à la fin de la configuration, dresser un bilan détaillé d’exploitation et cliquez sur Fermer.
Retour sur la progression de l’Installation de l’Assistant de fonctionnalités et d’ajouter des rôles, cliquez sur Fermer.
Redémarrez le serveur ADFS.

Installation d'une application web

Installation d'une application web de démonstration sur SVRIIS

Se connecter à la machine virtuelle de SVRIIS Windows 2016 avec les informations d’identification suivantes :

  • Nom d’utilisateur : FORMATION\Administrateur
  • Mot de passe : Pa$$word

Alors qu’il est connecté à SVRIIS comme FORMATION\Administrateur, cliquez sur Démarrer, dans le menu Démarrer, faites un clic droit Windows PowerShell, dans le menu contextuel, cliquez sur plus et cliquez sur exécuter en tant qu’Administrateur.
Dans la fenêtre Administrateur : Windows PowerShell, tapez la commande suivante et appuyez sur entrée :

gpupdate /force

certlm

Développez le nœud de niveau supérieur de certificats-ordinateur Local, cliquez droit sur le dossier personnel, cliquez sur Toutes les tâches et cliquez sur Demander un nouveau certificat. Cela démarre l’Assistant Inscription de certificat.
Sur la page Avant de commencer, cliquez sur suivant.
Dans la page Sélectionnez stratégie d’inscription certificat, vérifiez que la Stratégie d’inscription Active Directory est sélectionnée, puis cliquez sur suivant.
Dans la page Demander des certificats, sélectionnez la case en regard de l’attestation de Formation Web Server, cliquez sur Détails pour afficher les propriétés du certificat et cliquez sur Propriétés.
Dans la fenêtre Propriétés du certificat, sous l’onglet général, dans la zone de texte de l’article de nom convivial, tapez Application Web de Formation SSL.
image70
Dans la fenêtre de propriétés de certificat, sous l’onglet objet, dans la section nom de sujet, dans la liste déroulante Type, cliquez sur nom commun, dans la zone de texte valeur, tapez webapp.formation.local et cliquez sur Ajouter.
Dans la section nom alternatif, dans la liste déroulante Type, cliquez sur DNS et, ajoutez les noms suivants en tapant dans la zone de texte valeur et en cliquant sur Ajouter chaque fois :

  • webapp.formation.local
  • SVRIIS.formation.local 

image71
Cliquez sur l’onglet de la Clé privée.
Sous options de clé, assurez-vous que l’option rendre clé privée exportable est cochée, puis cliquez sur OK.
Retour sur la page de l’Assistant demande de certificats, assurez-vous que la case à cocher pour le modèle est cochée et cliquez sur inscription.
image72
Dans la page résultats de l’Installation certificat, cliquez sur Terminer.
Dans la fenêtre Administrateur : Windows PowerShell, tapez la commande suivante et appuyez sur entrée :

Install-WindowsFeature –Name Web-Server, Web-App-Dev, Web-Net-Ext45, Web-Asp-Net45, Web-Mgmt-Tools, Web-Mgmt-Console, NET-Framework-45-Features, NET-Framework-45-Core, NET-Framework-45-ASPNET, RSAT-AD-PowerShell -Restart

Ceci installe tous les services de rôle et fonctionnalités requises par l’exemple d’application et, si nécessaire, redémarrez le système d’exploitation.
image73
Si le serveur SVRIIS a redémarré, authentifiez-vous avec le compte d’utilisateur de FORMATION\Administrateur, démarrez Windows PowerShell comme Administrateur et Dans la fenêtre Administrateur : Windows PowerShell, exécutez ce qui suit :

New-ADUser -Name Svc_AppPool -AccountPassword (ConvertTo-SecureString -AsPlainText “Pa$$word” -Force) -Company Formation -Description “Compte App Pool” -DisplayName Svc_AppPool -Enabled $true -PasswordNeverExpires $true -SamAccountName Svc_AppPool -UserPrincipalName Svc_AppPool@formation.local

image74
Cette opération crée un nouvel utilisateur de domaine qui sera utilisé pour fournir le contexte de sécurité pour le AppPool dans lequel notre exemple d’application s’exécutera.
La fenêtre Administrateur : Windows PowerShell ISE, exécutez ce qui suit :

Add-LocalGroupMember –Group IIS_IUSRS –Member FORMATION\Svc_AppPool 

image75
Cela ajoute le nouvel utilisateur au groupe IIS_IUSRS sur le serveur local.
Démarrez Internet Explorer et télécharger l’exemple d’application de https://msdnshared.blob.core.windows.net/media/TNBlogsFS/prod.evol.blogs.technet.com/telligent.evolution.components.attachments/01/8598/00/00/03/64/54/88/SampApp%20and%20Rules.zip
Extraire le dossier SampleApp de l’archive téléchargée (SampApp et Rules.zip\SampApp et Rules\SampApp.zip\SampApp) et copier le dossier, y compris son contenu, dans le dossier C:\inetpub\wwwroot.
image76
Dans la fenêtre Administrateur : Windows PowerShell, exécutez ce qui suit :

Invoke-Command –ComputerName ADFS –ScriptBlock {Get-AdfsCertificate -CertificateType Token-Signing | Select-Object -ExpandProperty Thumbprint}

image77

Cette option affiche l’empreinte numérique du certificat de signature jeton ADFS.

Copier le résultat vers le presse-papiers.
Dans la fenêtre Administrateur : Windows PowerShell, exécutez ce qui suit :

Notepad C:\inetpub\wwwroot\SampApp\Web.config

Recherchez le mot thumbprint dans le bloc-notes. Il y aura trois résultats. Remplacez la valeur entre guillemets doubles immédiatement après thumbprint= avec le contenu du presse-papiers. (3 en tout)
Recherchez toutes les occurrences app1.contoso.com dans le bloc-notes (2 en tout) et les remplacer par webapp.formation.local
Recherchez toutes les occurrences de sts.contoso.com et les remplacer par adfs.formation.local (9 en tout).
Enregistrez vos modifications et fermez le bloc-notes.
Dans la fenêtre Administrateur : Windows PowerShell, exécutez ce qui suit :

Notepad C:\inetpub\wwwroot\SampApp\FederationMetadata\2007-06\FederationMetadata.Xml

Recherchez toutes les occurrences app1.contoso.com dans le bloc-notes et le remplacer par webapp.formation.local (il y aura quatre).
Enregistrez vos modifications et fermez le bloc-notes.
Démarrez la console Gestionnaire des Services Internet (IIS) .
Dans la console, cliquez sur le nœud Pools d’applications, ensuite, faites un clic droit DefaultAppPool et cliquez sur Paramètres avancés.
image78
Dans la boîte de dialogue Paramètres avancés, sélectionnez identité, cliquez sur le bouton de sélection (...) à droite de ApplicationPoolIdentity. Dans la boîte de dialogue ApplicationPoolIdentity , cliquez sur compte personnalisé , puis définir...
image79
Dans la boîte de dialogue Définir les informations d’identification, spécifiez les options suivantes et cliquez sur OK à deux reprises :

  • Nom d’utilisateur : FORMATION\Svc_AppPool
  • Mot de passe : Pa$$word
  • Confirmer mot de passe : Pa$$word

image80
Dans la boîte de dialogue Paramètres avancés, affectez la valeur True à Charger un profil utilisateur, puis cliquez sur OK.
image81
Retour dans la console, développez le dossier Sites, développez le nœud Site Web par défaut, cliquez-droit sur SampApp, cliquez sur Convertir en Application.
image82
Dans la boîte de dialogue Ajouter une Application, acceptez les paramètres par défaut et cliquez sur OK.

image83

Retour dans la console, sous connexions, cliquez sur Default Site Web et puis cliquez sur Modifier les liaisons dans le volet Actions.
Dans la boîte de dialogue Liaisons de Site, cliquez sur Ajouter...
Dans la boîte de dialogue Ajouter des liaisons de Site, la valeur Type https, définissez le nom d’hôte à webapp.formation.local, cliquez sur Sélectionner... à côté de la liste déroulante certificat SSL , sélectionnez le certificat de Formation exemple d’application Web , puis cliquez sur OK.
image84
Si l’invite de confirmation, cliquez sur Oui.
Dans la boîte de dialogue Liaisons de Site, cliquez sur Fermer.
Cliquez sur Site Web par défaut et puis cliquez sur redémarrer dans le volet Actions.

configuration de l'approbation de confiance

Configuration de l'approbation de partie de confiance

Loguez-vous à nouveau sur ADFS avec vos informations d’identification suivantes :

  • Nom d’utilisateur : FORMATION\Administrateur
  • Mot de passe : Pa$$word

Démarrez Internet Explorer et télécharger l’exemple d’application de https://msdnshared.blob.core.windows.net/media/TNBlogsFS/prod.evol.blogs.technet.com/telligent.evolution.components.attachments/01/8598/00/00/03/64/54/88/SampApp%20and%20Rules.zip
Extraire le sous-dossier SampleApp et règles de l’archive téléchargée, IssuanceAuthorizationRules.txt et IssuanceTransformRules.txt et copiez-le dans C:\ (Notez que vous pourriez avoir besoin d’extraire les SampAppRules.zip de SampApp et Rules.zip).
image85
Cliquez sur Démarrer, puis cliquez sur Windows PowerShell.
Dans la fenêtre Administrateur : Windows PowerShell, exécutez ce qui suit :

Add-AdfsRelyingPartyTrust -Name “Exemple de revendication pour l'Application Aware” -IssuanceAuthorizationRulesFile C:\IssuanceAuthorizationRules.txt -IssuanceTransformRulesFile C:\IssuanceTransformRules.txt -MetadataUrl https://webapp.formation.local/sampapp/federationmetadata/2007-06/federationmetadata.xml

 image86
Cela crée une partie utilisatrice qui représente notre exemple d’application.
image87
Cliquez sur Démarrer, puis cliquez sur Gestionnaire de serveur.
Dans la fenêtre Gestionnaire de serveur, cliquez sur Outils et, dans le menu déroulant, cliquez sur AD FS gestion.
Dans la console AD FS gestion, cliquez sur le dossier « Approbations de partie de confiance » et vérifier que la partie utilisatrice nommée Exemple de revendication pour l'Application Aware a été créée avec succès.

Installer le certificat ssl ADFS sur WEBPROXY

Installer le certificat ssl ADFS sur WEBPROXY

Tout d’abord, vous exporterez le certificat AD FS SSL du serveur AD FS (ADFS)
Connecté à ADFS comme FORMATION\Administrateur, cliquez sur Démarrer, cliquez droit sur Windows PowerShell, cliquez sur plus et puis cliquez sur exécuter en tant qu’Administrateur.
Dans la console Powershell en tant qu’administrateur, tapez la commande suivante et appuyez sur entrée :

certlm

Ceci ouvrira la Console de gestion Microsoft (MMC) avec le snap-in certificats - ordinateur Local chargé.
Dans la console, accédez au dossier Personnel\Certificats, cliquez avec le *. formation.local certificat, dans le menu contextuel, cliquez sur Toutes les tâches et puis cliquez sur Exporter. Cela démarre l’Assistant exportation de certificat.
image88
Dans la page Bienvenue dans l’Assistant exportation de certificat, cliquez sur suivant
image89
Dans la page Exportation de clé privée, cliquez sur l’option Oui, exporter la clé privée, puis cliquez sur suivant.
image90
Dans la page Format de fichier exporter, cliquez sur suivant.
Dans la page sécurité, cliquez sur la case de mot de passe et puis tapez dans Pa$$word dans les zones de texte mot de passe et Confirmer mot de passe.
image92
Dans la page fichier à exporter, tapez C:\cert\adfs.formation.local.pfx, puis cliquez sur suivant.
image93
Dans la page fin de l’Assistant exportation de certificat, cliquez sur Terminer.
image94
Dans la boîte de dialogue Assistant exportation de certificat, cliquez sur OK.  
Ensuite, vous allez importer le certificat AD FS sur le serveur WAP (WEBPROXY)
Passer à la machine virtuelle de WEBPROXY où vous êtes connecté tant que FORMATION\Administrateur.
Cliquez sur Démarrer et, dans le menu contextuel, cliquez sur invite de commandes (Admin)
Dans la console Powershell en tant qu’administrateur, exécutez ce qui suit :

Robocopy \\172.16.0.11\c$\cert c:\cert

image95
Dans la fenêtre invite de commandes (administrateur), exécutez ce qui suit :

certlm

Développez le nœud de niveau supérieur de certificats-ordinateur Local, cliquez-droit sur le dossier personnel, cliquez sur Toutes les tâches et cliquez sur Importer. Cela démarre l’Assistant importation de certificat.
image96
Dans la page Bienvenue dans l’Assistant importation de certificat, cliquez sur suivant
image97

image98
Dans la page fichier à importer, cliquez sur Parcourir...

image99
Dans la boîte de dialogue ouvrir, changer le filtre à l’Échange d’informations personnelles (*.pfx), accédez à la racine de C : cliquez sur adfs.formation.local.pfx et cliquez sur ouvrir.
Retour sur la page fichier à importer, cliquez sur suivant.

Sur la page de protection des clés privées, dans la zone de texte mot de passe, tapez Pa$$word, puis cliquez sur suivant.
image100
Dans la page Magasin de certificats, acceptez le paramètre par défaut et cliquez sur suivant.

image101
Dans la page fin de l’Assistant importation de certificat, cliquez sur Terminer.
Dans la boîte de dialogue Assistant importation de certificat, cliquez sur OK.

Installer le certificat WebApp

Installer le certificat WebApp

Dans un premier temps, vous exporterez le certificat Web App à partir du serveur Web App (SVRIIS)
Passer à la session de console pour SVRIIS Windows Server 2016 lab virtuel, où vous êtes connecté tant que FORMATION\Administrateur.
Loguez-vous sur SVRIIS, cliquez sur Démarrer, cliquez droit sur Windows PowerShell, cliquez sur plus et puis cliquez sur exécuter en tant qu’Administrateur.
Dans la console Powershell en tant qu’administrateur, tapez la commande suivante et appuyez sur entrée :

certlm

Ceci ouvrira la Console de gestion Microsoft (MMC) avec le snap-in certificats - ordinateur Local chargé.
Dans la console, accédez au dossier Personnel\Certificats, cliquez-droit sur le certificat de webapp.formation.local , dans le menu contextuel, cliquez sur Toutes les tâches et puis cliquez sur Exporter. Cela démarre l’Assistant exportation de certificat.
Dans la page Bienvenue dans l’Assistant exportation de certificat, cliquez sur suivant
Dans la page Exportation de clé privée, cliquez sur l’option Oui, exporter la clé privée, puis cliquez sur suivant.
Dans la page Format de fichier exporter, cliquez sur suivant.
Dans la page sécurité, cliquez sur la case de mot de passe et puis tapez dans Pa$$word dans les zones de texte mot de passe et Confirmer mot de passe.
Dans la page fichier à exporter, tapez C:\cert\webapp.formation.local.pfx, puis cliquez sur suivant.
Dans le page fin de l’Assistant exportation de certificat, cliquez sur Terminer.
Dans la boîte de dialogue Assistant exportation de certificat, cliquez sur OK.
Ensuite, vous allez importer le certificat de Web App SSL sur le serveur WAP (WEBPROXY)
Passer à la session de console sur WEBPROXY Windows serveur 2016 lab virtuel, où vous êtes connecté tant qu’Administrateur.
Dans la console Powershell en tant qu’administrateur, exécutez ce qui suit :

Robocopy \\172.16.0.13\c$\cert c:\cert\webapp.formation.local.pfx

Logué sur la machine virtuelle de WEBPROXY, passer sur la console certificats-ordinateur Local.
Développez le nœud de niveau supérieur de certificats-ordinateur Local, cliquez-droit sur le dossier personnel, cliquez sur Toutes les tâches et cliquez sur Importer. Cela démarre l’Assistant importation de certificat.
Dans la page Bienvenue dans l’Assistant importation de certificat, cliquez sur suivant
Dans la page fichier à importer, cliquez sur Parcourir...
Dans la boîte de dialogue ouvrir, changer le filtre à l’Échange d’informations personnelles (*.pfx), accédez à la racine de C:, cliquez sur webapp.formation.local.pfx et cliquez sur ouvrir.
Retour sur la page fichier à importer, cliquez sur suivant.
Sur la page de protection des clés privées, dans la zone de texte mot de passe, tapez Pa$$word , puis cliquez sur suivant.
Dans la page Magasin de certificats, acceptez le paramètre par défaut et cliquez sur suivant.
Dans la page fin de l’Assistant importation de certificat, cliquez sur Terminer.
Dans la boîte de dialogue Assistant importation de certificat, cliquez sur OK.

Installer le rôle WAP sur WebProxy

Installer le rôle WAP sur WebProxy

Sur WEBPROXY, cliquez sur Démarrer et puis cliquez sur Gestionnaire de serveur.
Cliquez sur gérer et, dans le menu déroulant, cliquez sur Ajouter des rôles et fonctionnalités.
Si l’avant vous commencez page s’affiche, cochez la case ignorer cette page par défaut et puis cliquez sur suivant
Sur la page type d’installation choisir, vérifiez que l’option d’installation basée sur les rôles ou axée sur la fonctionnalité est activée, puis cliquez sur suivant.
Serveur de destination sur le serveur page, assurez-vous que WEBPROXY est sélectionné et cliquez sur suivant.
Sur le sélectionnez des rôles de serveur de page, sélectionnez la case à cocher Accès distant et puis cliquez sur suivant.
image102
Dans la page Sélectionner des fonctionnalités, cliquez sur suivant.
Sur la page d’Accès à distance, cliquez sur suivant.
Dans la page Sélectionner les services de rôle, cliquez sur Proxy d’Application Web. Ceci affichera une boîte de dialogue supplémentaire vous invitant à ajouter les fonctionnalités requises pour le Proxy d’Application Web. Cliquez sur Ajouter des composants et puis cliquez sur suivant.
image103
Sur la page Confirmer les sélections pour installation, sélectionnez la case à cocher redémarrer le serveur de destination automatiquement si nécessaire, cliquez sur Oui lorsque vous êtes invité pour confirmation et cliquez sur installer. Attendre terminer l’installation.
Une fois l’installation terminée, sur la page de progression d’Installation, cliquez sur ouvrir l’Assistant Application de Proxy Web. Cela va démarrer l’Assistant de Configuration de Proxy Web Application.
image104
Dans la page Bienvenue, cliquez sur suivant.
Sur la page de Serveur de Fédération, spécifiez les paramètres suivants :

  • Nom de serveur de Fédération : adfs.formation.local
  • Nom d’utilisateur : FORMATION\Administrateur
  • Mot de passe : Pa$$word

image105
Dans la page Certificat de procuration AD FS , sélectionner un certificat qui servira dans la liste déroulante de ADFS proxy, cliquez sur *. formation.local et cliquez sur suivant.
image106
Sur la page de Confirmation, cliquez sur configurer.
image108
Attendre jusqu'à la fin de la configuration, dresser un bilan détaillé de fonctionnement et cliquez sur Fermer.
image109
Ceci ouvrira automatiquement la console de Gestion de l’accès distant.

Publier l’application Web

Publier l’application Web sur WEBPROXY

Dans WEBPROXY, dans la console de Gestion de l’accès distant cliquez sur publier dans le volet de tâches.
image110
Cela démarre l’Assistant Publication d’une nouvelle Application.
Dans la page Bienvenue, cliquez sur suivant
image111
Sur la page de la pré-authentification, changer pour Pass-through et cliquez sur suivant.
image112
Dans la page Paramètres de publication, définissez le nom « Exemple de revendication d’application »
URL externe pour https://webapp.formation.local/SampApp/, acceptez le paramètre par défaut pour l’URL du serveur back-end (correspondant à l’URL externe), dans le menu de liste déroulante certificat externe, sélectionnez le certificat de WebApp.formation.local , et cliquez sur suivant.
image113
Sur la page de Confirmation, cliquez sur publier
image114
Sur la page de résultats, cliquez sur Fermer.

image115

Validation du déploiement

Valider le déploiement des Proxy d’Application Web

Maintenant que vous avez déployé le service de rôle Proxy d’Application Web, vous devez vérifier que les utilisateurs externes peuvent accéder à l’application interne via le proxy. Les principales tâches de cet exercice sont les suivantes :
Accès aux applications de test d’un client interne
Tester l’accès de la demande d’un client interne
Connectez-vous à l’ordinateur virtuel de laboratoire CL1 Windows 10 en utilisant les informations d’identification suivantes :

Nom d’utilisateur : FORMATION\Administrateur

Mot de passe : Pa$$word

Alors qu’il est connecté à ADFS comme FORMATION\Administrateur, cliquez sur Démarrer, dans le menu Démarrer, développez le dossier de Windows PowerShell, cliquez-droit sur Windows PowerShell, cliquez sur plus et puis cliquez sur exécuter en tant qu’Administrateur.
Dans la console Powershell en tant qu’administrateur, tapez la commande suivante et appuyez sur entrée :

gpupdate /force

Dans la console Powershell en tant qu’administrateur, tapez la commande suivante et appuyez sur entrée :

certlm

Ceci ouvrira la Console de gestion Microsoft (MMC) avec le snap-in certificats - ordinateur Local chargé.
Développez le nœud de niveau supérieur de certificats-ordinateur Local , développez le dossier Autorités de Certification racines de confiance et cliquez sur son sous-dossier de certificats . Notez qu’il comprend le certificat auto-émis Formation-racine-CA .
Démarrez Internet Explorer.
Ensuite, accédez à https://webapp.formation.local/SampApp/ et lorsque vous êtes invité fournissez les informations d’identification Administrateur et Pa$$word .
image116
Vérifiez que la page affiche la liste des revendications de l’utilisateur actuel.
Accès aux applications de test d’un client externe
Pour pouvoir tester le client externe, vous allez devoir créer un serveur DNS simulant les serveur DNS de votre FAI.
Vous y créerez la zone formation.local avec les enregistrements hôtes suivants pointant sur l’adresse IP publique du routeur:

  • ADFS.formation.local
  • webapp.formation.local
  • webproxy.formation.local
  • cdp.formation.local

image117
Il sera nécessaire que soit importé sur le poste se connectant de l’extérieur le certificat de l’autorité de certification root dans le magasin des autorités de certifications de confiance.
Ceci fait, lancer votre navigateur et renseignez l’url https://webapp.formation.local/sampapp
Vous serez alors automatiquement redirigé vers la page d’authentification d’ADFS.

image118

Etoiles inactivesEtoiles inactivesEtoiles inactivesEtoiles inactivesEtoiles inactives

ADFS (Active Directory Federation Services)

ADFS est une solution permettant aux utilisateurs de s'autentifier auprès d'applications WEB se trouvant dans un réseau local et/ou dans une société partenaire. ADFS répondant au standard de l'industrie, il est compatible avec des fournisseurs d'autentifications tiers.

ADFS apporte les solutions suivantes:

  • Identification
  • Authentification
  • Autorisation
Etoiles inactivesEtoiles inactivesEtoiles inactivesEtoiles inactivesEtoiles inactives

Software Defined Networkink (SDN)

Le Software Defined Networkink vous permet de gérer de manière centralisée vos périphériques réseaux physiques et virtuels de votre Datacenter, tel que les switchs, les routeurs, les passerelles en automaitsant leurs paramétrage en fonctions des besoins des applications. Dans Windows Serveur 2016, cela inclus La virtualisation des réseaux Hyper-V (HNV), les services d'accès à distance (RAS).

Etoiles inactivesEtoiles inactivesEtoiles inactivesEtoiles inactivesEtoiles inactives

DNS

Une nouvelle fonctionnalité est actuellement présente dans le service DNS, les politiques DNS. Cette nouvelle fonctionnalité permet de renvoyer un résultat de requête DNS X si la demande émane d'un sous réseau X et un résultat de requête DNS Y si la demande émane d'un sous réseau Y.

Cela permet par exemple de renvoyer certaines réponses en fonction de la géo-localisation du client...