Mise en œuvre Microsoft Azure Active Directory avec fédération – partie 3 – le serveur Web Application Proxy (WAP)
Ceci est le troisième article d’une série de billets expliquant le montage d’une plateforme permettant de faire de la fédération d’identité entre le SI et les services de Cloud public Microsoft.
La première partie est visible ici : https://blogs.technet.com/b/stanislas/archive/2014/08/01/mise-en-uvre-microsoft-azure-active-directory-avec-f-233-d-233-ration-partie-1-introduction-et-pr-233-sentation-de-la-plateforme.aspx
La seconde concernant le serveur ADFS est ici : https://blogs.technet.com/b/stanislas/archive/2014/08/02/mise-en-uvre-microsoft-azure-active-directory-avec-f-233-d-233-ration-partie-2-le-serveur-adfs.aspx
Cette troisième partie concerne l’installation et le paramétrage du serveur WAP (USAWAP01.ADinAzure.net dans ma plateforme) en tant que proxy ADFS.
Prérequis [importants]
- Avoir un serveur Windows Server 2012 R2 installé
- Le nom sts.ADinAzure.info doit être résolu au niveau des DNS publiques et correspondre à l'adresse IP publique du serveur WAP (donc l'adresse IP publique de votre pare-feu/routeur sur lequel sera créée une règle de translation d'adresse). Bien penser à mettre à jour l’enregistrement STS de la zone DNS publique (ici, utilisant une machine sur Azure IaaS, j’ai utilisé un CNAME sur le nom du Cloud Service où est la machine)
- Le serveur WAP doit être accessible via Internet sur le port SSL standard TCP 443. Si votre serveur WAP est une VM exécutée sur Microsoft Azure (comme dans cette plateforme), pensez à configurer un End Point ouvrant le port TCP 443.
- Le serveur WAP sait résoudre usaadfs01.ADinAzure.net (nom interne du STS)
- Le serveur WAP sait résoudre sts.ADinAzure.info (nom public du serveur de fédération) avec l’adresse IP interne du serveur STS -> l'utilisation d'un fichier host sur le serveur WAP est probablement l'option la plus simple
- Le serveur WAP reconnait l’autorité de certification interne (dans mon cas : USADC01 CA)
- Dans ma plateforme le serveur WAP est pas membre du domaine ADinAzure.net mais vous pouvez le mettre en stand-alone si vous préférez
1– Achat d’un certificat SSL auprès d’une autorité de certification publique
Dans cette plateforme, j’ai acheté un certificat de type wildcard (pour des raisons de commodités pour la suite) auprès de Digicert. Néanmoins, si le seul service exposé et à utiliser est le STS, un simple certificat SSL standard suffit. Il est possible d’en acheter à partir de 18€ (chez Trustico par exemple) ce qui est parfait dans un premier temps ou pour une plateforme de tests.
Digicert propose un outil de gestion des demandes de certificats sous Windows (ce qui simplifie le processus de création de CSR…). Ce type d’outil existe également chez d’autres autorités de certification publique et il est également possible de trouver auprès de ces différentes autorités des guides pas à pas pour effectuer une demande de certificat.
Une fois le Certificate Signing Request envoyé, il faut terminer le processus d’achat auprès de l’autorité (dans mon cas, envoi de documents d’identité…).
Une fois la demande de certificat approuvée par l’autorité, celle-ci peut envoyer ou mettre à disposition le certificat.
2- Installation du certificat SSL
Importation du .pfx (certificat et clé privée) dans le magasin Computer.
Ouvrir une console MMC et ajouter le snap-in Certificate pour le magasin Computer. Se placer dans la branche Personal, bouton droit, task, import
Vérification de la bonne installation du certificat (présence de la clé privé et chaine de certification)
Vérification de la bonne installation du certificat via l’outil de Digicert :
3- Installation des composants WAP (Web Application Proxy)
Méthode 1 : installation des composants WAP via l’interface graphique du gestionnaire de serveur
Méthode 2 : installation des composants WAP en ligne de commande
PS:> Install-WindowsFeature Web-Application-Proxy –IncludeManagementTools
4- Configuration du serveur WAP
Ouvrir la console Remote Access Management
Cliquer sur “Run the Web Application Proxy Configuration Wizard”
Saisir le nom du service de Fédération (définie dans la seconde partie de cette série d’articles, lors de la configuration d’ADFS) : sts.ADinAzure.info
Sélectionner le certificat SSL public acheté et installé précédemment
Le serveur WAP est opérationnel.
Prochaine étape : l’installation et le paramétrage de l’outil de gestion de la fédération des identités de Windows Azure Active Directory sur le serveur STS
Vous êtes professionnel et légitimement vous vous posez des questions sur le Cloud, Windows Azure, Hyper-V, Windows Server, l’évolution du datacenter vers un cloud privé ou hybride alors pour en savoir plus, n’hésitez pas à suivre les sessions gratuites de formation de la Microsoft Virtual Academy : https://www.microsoftvirtualacademy.com/
Pour évaluez gratuitement Windows Azure : https://azure.microsoft.com/fr-fr/pricing/free-trial/