Traduction

frendeitptes

Recherche glossaire

Rechercher dans les définitions (terme ou expression)
Commence par Contient Terme exactSe prononce comme

« Si les faits ne correspondent pas à la théorie, changez les faits.  »

Configurer Exchange 2016 avec ADFS

Etoiles inactivesEtoiles inactivesEtoiles inactivesEtoiles inactivesEtoiles inactives
 

Configurer Exchange 2016 avec ADFS

Ajout de la partie de confiance exchange

Ajout de la partie de confiance exchange

Loguez-vous sur le serveur ADFS.

Création de la partie de confiance

Dans le noeud "Approbation de partie de confiance", dans le volet "Action", cliquez sur "Ajouter une approbation de partie de confiance".

image1

Sélectionnez "Prise en charge des revendications", puis cliquez sur "Suivant"

image2

Sélectionnez "Entrez manuellement...", puis cliquez sur "Suivant"

image3

Renseignez un nom explicite, ici "OWA", puis cliquez sur "Suivant"

image4

Cliquez sur "Suivant"

image5

Sélectionnez la case à cocher "Activer la prise en charge du protocole WS-Federation passif", puis cliquez sur "Suivant"

image6

Configurer la partie de confiance

Sélectionnez la partie de confiance précédement créée et dans le volet "Actions", sélectionnez "Editez la stratégie d'émission de revendications".

image8

Dans la liste déroulante "Modèle de règle de revendication", sélectionnez "Envoyer les revendications en utilisant une règle personnalisée", puis cliquez sur "Suivant"

image10

L'image suivante contient déjà les deux règles à créer. N'en tener pas compte.

Cliquez sur "Ajouter une règle"

image9

Nommez clairement la règle en fonction de son contenu. Comme ici, je créé une revendication basée sur le SID, je la nomme "User SID".

Dans la zone "règle personnalisée", collez la revendication suivante:

c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid"), query = ";objectSID;{0}", param = c.Value);

Puis cliquez sur "Terminer"

image12

Ajouter une deuxième règle en la nommant "UPN" et coller la revendication suivante:

c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"), query = ";userPrincipalName;{0}", param = c.Value);

IMPORTANT!!!

Créez à présent une deuxième fois sur sur "Ajouter une approbation de partie de confiance" et recréez à l'identique de la précédent une approbation de partie de confiance nommée "ECP".

Vous avez à présent créeé les deux approbations de confiance nécessitant une authentification.

Publiez les URLs

Loguez-vous sur le serveur WAP (Proxy d'Applications Web)

La liste des URLs à publier est la suivante:

 

Service Chemin Type d'authentification
Outlook Web App /OWA/ AD FS
Exchange Control Panel /ECP/ AD FS
Exchange Web Services /EWS/ Pass thru
Auto Discover /Autodiscover/ Pass thru
ActiveSync /Microsoft-Server-ActiveSync Pass thru
Offline Address Book /OAB/ Pass thru
Outlook Anywhere /rpc/ Pass thru
MAPI HTTP /mapi/ Pass thru

Vous allez répéter ces tâches à deux reprises pour les deux URLs nécessitant une authentification:

Dans le volet "Actions", cliquez sur "Publier"

image13

Puis cliquez sur Suivant.

image14

Dans la page "Pré-authentification, sélectionnez "Services de fédération Active Diretory (AD FS), puis cliquez sur "Suivant"".

image15

Sélectionnez pour commencer La revendication précédement créée dans ADFS nommée "OWA", puis cliquez sur "Suivant"".

Sélectionnez "MSOFBA et web", puis cliquez sur "Suivant"".

image16

Nommez clairement cette publication, par exemple "Exchange OWA", renseignez l'URL de votre serveur Exchange et sélectionnez le certificat de votre serveur de messagerie, ou éventuellement le certificat générique (ce dernier contenant les noms acceptés), puis cliquez sur "Suivant".

image19

Puis cliquez sur "Publier".

image20

Refaites à l'identique une deuxième publication pour pour l'ECP d'exchange.

Pour les autres URLs ne nécessitant pas d'authentification, créez une publication pour chacune des autres URLs mentionné dans le tableau précédent, mais en sélectionnant le mode "Passtrough", puis cliquez sur "Suivant".

image22

Renseignez un nom explicite ainsi que les URLs correspondantes, puis cliquez sur "Suivant".

image23

Puis cliquez sur "Suivant".

image24

Mise en place de la relation de confiance

Mise en place de la relation de confiance

Exportation du certificat de signature de jetons

Loguez-vous sur le serveur ADFS et ouvrez la console ADFS. Dans le noeud "Service", développez "Certificats", puis faites un clic droit sur le certificat de signature de jeton, puis "Afficher le certificat", afin de l'exporter.

image25

Cliquez sur l'onglet "Détail", puis sur le bouton "Copier dans un fichier".

image26

L'assistant d'exportation de certificat se lance

image27

Puis cliquez sur "Suivant".

image28

Rensignez le chemin d'exportation, puis cliquez sur "Suivant".

image29

Puis cliquez sur "Suivant".

Loguez- vous à présent sur le serveur Exchange. Recherchez l'emplacement du certificat et double-cliquez dessus afin de l'importer, puis cliquez sur "Installer le certificat".

image30

Sélectionnez "ordinnateur local", puis cliquez sur "Suivant".

image31

Sélectionnez le noeud "Autorités de certification racine de confiance", puis cliquez sur "Suivant".

image32

Et installez-le.

En tan qu'administrateur, lancez une fenêtre Powershell et lancez la commande suivante:

Set-Location Cert:\LocalMachine\Root; Get-ChildItem | Sort-Object Subject

Repérez le certificat dont le nom commence par "CN=ADFS Signing". Copiez l'empreinte du certificat.

image33

Vous pouvez également récupérer l'empreinte à distance sur le serveur ADFS nommé "SRV1"en executant la commande powershell suivante:

invoke-command -ComputerName srv1 -ScriptBlock {Get-AdfsCertificate -CertificateType Token-Signing}

Lancez la commande suivante en prenant soin d'indiquer :

  • votre URL de votre serveur ADFS
  • votre URL de votre serveur OWA
  • votre URL de votre serveur ECP
  • remplacer "" par votre empreinte

Set-OrganizationConfig -AdfsIssuer https:///adfs/ls/ -AdfsAudienceUris "","" -AdfsSignCertificateThumbprint ""

image34

Configuration de l'authentification Exchange

Tapez la commande suivante dans Powershell afin de paramétrer l'authentification pour OWA:

Get-EcpVirtualDirectory | Set-EcpVirtualDirectory -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -OAuthAuthentication $false -WindowsAuthentication $false

Tapez la commande suivante dans Powershell afin de paramétrer l'authentification pour ECP:

Get-OwaVirtualDirectory | Set-OwaVirtualDirectory -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -OAuthAuthentication $false -WindowsAuthentication $false

Redémarrez IIS avec la commande:

iisreset /noforce

Testez votre accès!!

Vous devez être authentifié pour pouvoir laisser des commentaires...