BYOD - Montage d'une plateforme de démo dans Azure - 3ème partie - Workplace Join


Cet article fait partie d'une série :

Dans la série “mieux vaut tard que jamais”, voici le troisième épisode de cette série sur le montage dans Azure d’une plateforme de démo des scénarios de type BYOD.

Dans les deux premiers articles nous avons vu comment préparer l'infrastructure dans Windows Azure IaaS et le domaine de démo. Nous avons également vu comment utiliser un nom de domaine public (que j'appelle mademo.fr dans ces articles, pour exemple), et comment se procurer un certificat multi-noms de domaines pour les différents besoins de certificats SSL de la démo.

Nous allons dans cet article nous intéresser à la fonctionnalité Workplace Join de Windows Server 2012 R2, et l'utliser depuis un client Windows 8.1. Pour en savoir plus sur cette fonctionnalité et consulter la source de la procédure de mise en oeuvre décrite ici, je vous invite à consulter les articles suivants :

Ces articles (principalement le second) suffisent à comprendre et mettre en place ce que nous voulons ici, à savoir le serveur ADFS et le service DRS pour le Workplace Join. Vous y trouverez les détails opérationnels. Voici toutefois le résumé des opérations telles que je les ai effectuées.

Avant d'installer ADFS

Avant d'installer le rôle ADFS, il y a quelques préparations à effectuer :

  • Créer quelques utilisateurs et groupes de test
  • Créer un compte de service GMSA pour ADFS
  • Installer le certificat SSL sur le serveur ADFS

Pour les utilisateurs de test, j'utilise le script que j'ai documenté ici :

Créer des utilisateurs de test dans AD avec un mini script PowerShell

Pour créer le compte de service (GMSA - Group Managed Service Account), sur le DC, exécuter les deux commandes suivantes dans une console PowerShell avec les privilèges d'administrateur :

Add-KdsRootKey -EffectiveTime (Get-Date).AddHours(-10)

New-ADServiceAccount adfsgmsa -DNSHostName adfs.mademo.fr -ServicePrincipalNames http/adfs.mademo.fr

Dans cet exemple, adfsgmsa est le nom du compte de service, et adfs.mademo.fr le nom du serveur ADFS.

Il faut ensuite installer le certificat SSL (multi-noms) pour les noms adfs.mademo.fr et enterpriseregistration.mademo.fr sur le serveur ADFS. Voir la dernière partie de cet article pour un exemple de procédure. Il est important d’installer le certificat SSL approprié avant d’installer le service ADFS sur le serveur. En effet, changer le certificat SSL sur un service ADFS installé est pour le moins délicat..

Installation d’ADFS

La première étape consiste à installer le rôle Active Directory Federation Service sur le serveur adfs. Une fois le rôle installé, il faut passer dans l’assistant de configuration  d’ADFS afin de configurer le service. Dans cet assistant, entrez successivement les informations suivantes :

  • Un compte du domaine ayant les droits d’administrateur du domaine. Cela est nécessaire le temps de la configuration du service.
  • Le certificat SSL récupéré précédemment. S’il n’a pas été déjà importé dans le store, il est possible d’importer le .pfx à cette étape.
  • Le nom du service de fédération (Federation Service Display Name), qui peut être le nom de l’entreprise de démo.
  • Le compte de service (le compte GMSA créé précédemment.)
  • Créer une base de données locale avec Windows Internal Database.

Une fois la configuration effectuée, il ne reste qu’à ouvrir la console d’administration AD FS pour vérifier que tout est opérationnel.

Configuration du service DRS

Pour Workplace Join, le service “Device Registration Service” (DRS) doit être installé. Pour ce faire, dans une console PowerShell :

Initialize-ADDeviceRegistration

Lorsque le compte de service est demandé, entrer le compte de service GMSA : mademo\adfsgmsa$.

Exécuter ensuite la commande :

Enable-AdfsDeviceRegistration

Activer l’authentification des périphériques :

  • Dans la console d’administration AD FS, aller dans AD FS – Authentication Policies
  • Cliquer sur “Edit Global Primary Authentication…”
  • Cocher la case “Enable Device Authentication”

image

Configuration de DNS

Pour ADFS et le service DRS, deux noms doivent être résolus correctement depuis le réseau interne et depuis l’Internet :

  • adfs.mademo.fr
  • enterpriseregistration.mademo.fr

Pour ce faire, dans le DNS interne sur le contrôleur de domaine dc.mademo.fr, ajouter un CNAME pour enterpriseregistration, avec comme cible : adfs.mademo.fr.

Dans la zone du domaine public mademo.fr, ajouter deux CNAME (comme indiqué dans la dernière partie du premier article de cette série) dont la cible est le cloud service utilisé pour la démo dans Azure :

Nom Type Valeur TTL
adfs CNAME mademo-svc.cloudapp.net. 3h
enterpriseregistration CNAME mademo-svc.cloudapp.net. 3h

Installation du proxy

Cette partie de la procédure est également documentée dans cet article de Technnet :

Overview: Connect to Applications and Services from Anywhere with Web Application Proxy

Comme indiqué dans le premier article, il est nécessaire d’avoir dans Azure un endpoint TCP sur le port public 443 vers le port privé 443 sur la machine proxy. Dans notre démo, toutes les connexions vers la plateforme passeront par cette machine proxy, sur le port 443, et en utilisant divers noms DNS qui sont tous des CNAME vers notre cloud service.

Puisque le serveur proxy sera proxy SSL, il faut installer sur celui-ci notre certificat SSL multi-noms, de la même façon que sur le serveur adfs, grâce à son fichier .pfx.

Il faut ensuite installer le web application proxy sur le serveur proxy : via l’interface graphique (rôle “Remote Access”, puis service ”Web Application Proxy”) ou par la commande PowerShell :

Install-WindowsFeature Web-Application-Proxy -IncludeManagementTools

Le service Web Application Proxy doit être configuré. Pour ce faire, il existe une commande PowerShell Install-WebApplicationProxy documentée ici : http://technet.microsoft.com/library/dn283414.aspx. Pour faire cette configuration avec l’interface graphique, lancer la console Remote Access Management, sélectionner Web Application Proxy et lancer l’assistant de configuration (ou lancer l’assistant depuis le Server Manager), puis entrer les informations nécessaires :

  • Federation Service Name : adfs.mademo.fr
  • Un compte administrateur du serveur ADFS (un compte du domaine, administrateur du serveur adfs.)
  • Le certificat SSL multi-noms.

Test ADFS et proxy

Une fois le service Web Application Proxy configuré, ADFS doit être accessible depuis l’extérieur. Pour tester le service, depuis n’importe quelle machine connectée à Internet, ouvrir l’URL suivante dans un navigateur :

https://adfs.mademo.fr/adfs/ls/IdpInitiatedSignOn.aspx

(en remplaçant, bien sûr, mademo.fr par votre domaine public)

Dans une de mes plateformes de démo, cela donne ceci :

image

En cliquant sur <Connexion> et en entrant le nom (user@mademo.fr ou mademo\user) et le mot de passe d’un utilisateur du domaine, la page doit afficher “Vous êtes connecté”.

Test de Workplace Join

Le premier test consiste à ouvrir cette URL dans un navigateur :

https://enterpriseregistration.mademo.fr/EnrollmentServer/contract?api-version=1.0

Le résultat doit ressembler à ceci :

image

Ce qui est plus lisible en consultant le source de la réponse, qui ressemble à ceci :

image

Afin de tester réellement Workplace Join, nous allons publier un service dont l’accès nécessite une machine enregistrée : la page permettant à un utilisateur de changer lui-même son mot de passe dans le domaine.

image

  • Sur le serveur adfs, dans la console d’administration, aller dans AD FS – Service – Endpoints. Parcourir la liste des endpoints jusqu’en bas, et sélectionner /adfs/portal/updatepassword. Cliquer à droite sur cette ligne et choisir Enable.
  • Sur l’avertissement concernant le redémarrage du service AD FS, cliquer sur <OK>.
  • cliquer à nouveau à droite sur cette même ligne et choisir Enable on proxy.
  • Sur l’avertissement concernant le redémarrage du service AD FS, cliquer sur <OK>.
  • Redémarrer le service AD FS, par exemple en PowerShell : Restart-Service adfssrv -Force

A ce stade le test devrait se faire sur un poste Windows 8.1 hors domaine, connecté à Internet. Sur ce poste :

Dans Internet Explorer, ouvrir la page :

https://adfs.mademo.fr/adfs/portal/updatepassword/

Ce message d’erreur devrait s’afficher :

image

Cette page indique clairement que, afin d’accéder au service de changement de mot de passe, il faut que le poste soit enregistré. Pour ce faire :

Taper <Windows>+I, puis cliquer sur Modifier les paramètres du PC.

Cliquer sur Réseau, puis Lieu de travail.

image

Entrer l’UPN (user@mademo.fr) d’un utilisateur du domaine, et cliquer sur Rejoindre.

image

Entrer le mot de passe et cliquer sur Connexion.

image

Une fois le “lieu de travail” rejoint, revenir sur le bureau et ouvrir à nouveau la page :

https://adfs.mademo.fr/adfs/portal/updatepassword/

Cette fois, la page est accessible car le poste est enregistré :

image

Au final, nous avons donc mis en oeuvre dans cette démo : un domaine AD, le service ADFS et Workplace Join. Dans la suite de cette série nous verrons la mise en oeuvre des Work Folders.

Comments (3)

  1. Anonymous says:

    Présentation [mise à jour importante le 13/12/2013 - voir ci-dessous dans la section Planification ]

  2. Anonymous says:

    Cet article fait partie d'une série : BYOD - Montage d'une plateforme de démo dans Azure - 1ère

Skip to main content