How to install & configure ADFS for office 365

Introduction

Pour le besoin de mon Site Cloudazimut je vais mettre en place un raccordement Active Directory on-promise avec office 365 via une architecture AD FS.

Création de la plateforme Office 365

Pour se connecter à la plateforme aller sur

https://portal.office365.com/

Se loguer avec le compte admin configurer pour créer la plateforme

Validation des licences

Dans ce tuto j’utilise une version d’évaluation office 365 Business premium.

J’ai en ma possession 25 licence

Raccordement au nom de domaine

La première chose à faire après avoir créé la plateforme Office 365, c’est de raccorder votre nom de domaine à la plateforme.

Pour se faire, aller dans paramètre et domaine.

C:\Users\Guillaume Pinçon\Desktop\Capture.JPG

Pour vérifier que le nom de domaine Cloudazimut.fr m’apartient il faut que je créé un enregistrement de type TXT dans ma zone DNS publique (hébergé chez OVH dans mon cas).

Pour se faire, je vais sur mon hébergeur de nom de domaine et je rajoute cette enregistrement

Pour verifier la réplication des DNS je fait un test de validation des enregistrement en CMD

On voit que l’enregistrement MS est bien présente on peut tester l’enregistrement Offcie365

 

Je coche ignorer car je m’occuperai ultérieurement de la création des autres enregistrement DNS et redirection MX.

On voit que le nom de domaine Cloudazimut.fr est bien intégré à Office 365.Il reste en « problème de service… » car il reste quelques enregistrements DNS à créer.

Enregistrement DNS

Enregistrement pour Exchange

Installation d’Active Directory Fédération service ADFS

Architecture

http://www.maximerastello.com/wp-content/uploads/2014/01/WAP-design.png

Je possède un active directory on-promise cloudazimut.fr, qui est DNS, AD, PKI AD-CS interne.

Je vais installer en on-promise (LAN) mon serveur ADFS-O365 et en (DMZ) mon WAP ( web application proxy)

Génération du certificat pour ADFS

Je vais pour mon test générer un certificat interne (via AD-CS) pour obtenir un certificat de type wildcard.

Pour mon domaine en *. cloudazimut.fr

Dans un environnement de production un certificat de type SAN (issu d’une autorité de certification publique devra être acheté et importé).

Un csr a été généré

Puis maintenant je vais demander un certificat à mon autorité de certification interne

certreq -submit -attrib certificatetemplate:WebServer _cloudazimut_fr.txt _cloudazimut_fr.cer

Le certificat est bien créé

Je vais l’importer et le transformer en .pfx pour qu’il puisse être utilisé en tant que certificat pour le WAP & ADFS-o365.

Installation ADFS

Mon serveur ADFS-O365 est un serveur membre du domaine local cloudazimut.fr

Une fois l’installation du rôle effectuée il faut configurer le rôle ADFS pour sa première exécution.

http://ts4.mm.bing.net/th?id=I4755839467652463&pid=1.1 Dans un environnement de production un compte dédié de service devra être créé.

Importer votre certificat SAN acheter ou comme moi (vu précédemment) le certificat wildcard a déjà été importé

Donner un nom à la page du portail d’identification ADFS

Création d’un enregistrement DNS (A) pour fs.cloudazimut.fr qui pointe sur le serveur ADFS interne adfs-o365.cloudazimut.fr

Vous avez ensuite le choix entre utiliser un Group Managed Service Account (gMSA) ou un simple compte de domaine. L’avantage d’utiliser un gMSA est de ne pas avoir à se soucier du mot de passe du compte puisqu’il sera généré automatiquement. Pour plus d’informations, n’hésitez pas à consulter cette page.

Attention, si vous utilisez un gMSA, vous devrez créer une clé racine Key Distribution Services (KDS Root Key) avec la commande suivante. Cela permet de fixer une date d’utilisation antérieure (-10h) pour une utilisation immédiate :

Add-KdsRootKey –EffectiveTime ((get-date).addhours(-10))

Lorsque vous aurez renseigné un compte de service ou un compte du domaine, l’assistant se charge de créer l’enregistrement SPN automatiquement. Dans notre exemple, j’opte pour un GMSA en utilisant le compte adfs_sa.

L’assistant crée un enregistrement SPN de type HOST, qui peut également être créé manuellement avec la commande suivante :

setspn -s host/ADFS-O365.cloudazimut.fr cloudazimut\adfs_sa

Id :administrateur

Mdp :P@ssw0rd

Pour vérifier que l’installation du serveur ADFS s’est déroulée correctement, vous pouvez tenter d’ouvrir l’URL suivante depuis une machine interne au domaine :

https://fs.cloudazimut.fr/adfs/ls/IdpInitiatedSignon.aspx

L’affichage d’une page de connexion prouve que la plateforme est fonctionnelle.

Installation du rôle WAP

Pour publier le serveur ADFS sur Internet, il faut utiliser un proxy ADFS. Le rôle Proxy ADFS n’existe plus à proprement parlé dans Windows Server 2012 R2. Il a été intégré à une nouvelle fonctionnalité : Web Application Proxy.

Notre serveur WAP est installer en DMZ et est en Workgroups ( hors domaine) pour plus de sécurité.

Il possède 2 cartes réseaux.

  • 1 qui pointe vers le LAN Interne ( IP+MASK+DNS)
  • 1 qui pointe vers le WAN/DMZ (IP+MASK+PASSERELLE)

Bien vérifier les routes static pour le routage interne à la machine.

Route printe

L’installation de WAP se fait via le Server Manager, en choisissant le rôle accès à distance

Web Application Proxy a besoin du nom du service ADFS pour interagir avec. Renseignez simplement le nom choisi durant l’installation (ici fs.cloudazimut.fr) et saisissez les accès d’un compte ayant des permissions suffisantes pour s’y connecter.

En production, il est fortement recommandé de créer un compte de domaine dédié, et de le rajouter dans le groupe des administrateurs locaux de chaque serveur ADFS.

Puis copier le certificat et le root racine du CA pour moi sur le serveur WAP

Les installer

Choisir le certificat utilisé lors de l’installation ADFS. Ici mon certificat wildcard.

Terminez la configuration du rôle en validant les informations. Votre serveur ADFS est désormais accessible à l’adresse spécifiée. Depuis l’extérieur, tentez d’accéder à la même URL :

https://fs.cloudazimut.fr/adfs/ls/IdpInitiatedSignon.aspx

Parefeu

Ouvrir le port 443 et rediriger les flux d’internet vers la pâte Wan du WAP

DNS publique

Créer l’enregistrement fs.cloudazimut.fr vers ip publique qui pointe vers le WAP

AD-Connect

Sur l’interface office 365, dans utilisateurs actifs / autres / synchronisation d’annuaire

Puis répondez aux différentes questions.

Installation ad connect

Exécuté le .msi télécharger précédement.

Configuration

acti

Activation AD-FS Office 365

Pour configurer une fédération entre votre domaine Active Directory et Office 365, vous devez tout d’abord installer les outils nécessaires pour administrer la plateforme à distance. Les étapes détaillées se situent sur la page de gestion de l’authentification unique du portail : https://portal.microsoftonline.com/IdentityFederation/IdentityFederation.aspx.

Je vous recommande d’installer les outils suivants dans l’ordre indiqué, soit sur une machine dédiée à l’administration, soit directement sur le serveur AD Connect :

  1. Microsoft Online Services Sign-in Assistant
  2. Module Windows Azure Active Directory pour Windows PowerShell

Lancez ensuite la console PowerShell Windows Azure Active Directory en administrateur et tapez la commande suivante :

Connect-MsolService

Renseignez vos accès Office 365 puis tapez la commande suivante pour vérifier la liste des domaines acceptés :

Get-MsolDomain

Identifiez le domaine à fédérer ainsi que le serveur ADFS interne, ici cloudazimut.fr, et tapez la commande suivante :

Set-MsolADFSContext –computer adfs-o365.cloudazimut.fr
Convert-MsolDomainToFederated –domain cloudazimut.fr

Test

Votre fédération ADFS avec Office 365 est désormais prête. Pour tester son bon fonctionnement, connectez-vous simplement à Outlook.com en utilisant l’adresse https://outlook.com/votrenomdedomainefédéré, par exemple https://outlook.com/cloudazimut.fr

Si vous êtes sur un réseau externe, vous serez automatiquement redirigé vers l’adresse du proxy ADFS que vous avez publié.

Création d’une ferme ADFS

Ajout d’un nouveau serveur ADFS

Pour me permettre de sécurisé mon infrastructure ADFS je vais en ajouter un 2eme à ma ferme et ainsi créer un « cluster » de serveur ADFS

Pour se faire j’ai créer un 2eme serveur 2012R2 membre du domaine AD interne

Adfs-2-O365.cloudazimut.fr

Pour commencer installer le role ADFS

Copier le certificat wildcard utiliser lors de l’installation d’adfs

Vérification

Ajout enregistrement DNS ou Load balancer

Maintenant que nous avons 2 serveur ADFS il faut les load-balancer .

N’ayant de load balancer je vais utiliser en test le round robin DNS

Je crée donc un 2eme enregistrement FS.cloudazimut.fr

Création ferme WAP

Pour créer une ferme de serveur WAP (web application proxy), rejouer la procédure de l’installation initiale.

Avec l’importation du certificat (wildcard) dans le dossier personnel, et le serveur va se rajouter dans le cluster WAP.

Enfin pour permettre d’utiliser 2 serveurs WAP il nous faut les load-balancer avec un load-balancer de type kemp,netscaler…

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *