Search This Blog

vendredi 25 mai 2018

Azure AD - La fédération d'identité avec ADFS - Partie 4

Bonjour à tous,

Nous allons continuer notre série d'articles autour d'Azure AD / Office365 et l’extension d'un annuaire Active Directory vers Azure AD.

Nous avons vu dans une première partie la présentation d'Azure AD, ensuite dans la deuxième partie, l'étude qui prépare à l’extension de son AD vers Azure AD et en troisième partie la présentation et l'installation d'ADFS.

Voici les trois premières parties :


Introduction

Lors de la partie 3 nous avons vu l'installation d'ADFS, nous allons voici ici l'installation du WAP (Web application Proxy) afin de permettre aux utilisateurs qui sont à l’extérieur du réseau de l'entreprise de se connecter au services Office 365 avec leur compte AD de manière sécurisée ( qui est bien entendu synchronisé avec sut Azure AD).

Présentation du design

Le design que je vous propose contient les éléments suivants:

  • Un serveur ADFS 
  • 3 contrôleurs de domaine Active directory
  • Un Serveur WAP Proxy (placé en DMZ)


Nous allons donc installer le composant WAP afin de compléter notre architecture ADFS et la préparer pour fédérer notre domaine interne. Ceci est pour s’authentifier auprès d'office 365 avec ADFS en utilisant bien entendu notre identité synchronisée dans Azure AD Avec AAD connect.

Avant de commencer, il faut savoir que le WAP est un serveur à part qui se place dans une DMZ et en aucun cas dans le LAN avec l'ADFS interne, de plus ce serveur doit être en Workgroup et non joint au domaine.

Une fois placé en DMZ, il suffit d'ouvrir le flux HTTPs - 443 avec les protocoles de transport TCP/UDP entre ce WAP et le serveur ADFS interne.

Sur le Firewall externe qui gère la DMZ, il faut ouvrir le port HTTPs - 443 avec les protocoles de transport TCP/UDP et rediriger votre 'ip public vers le serveur WAP en 443.

Si vous avez des doutes sur les flux à ouvrir dans une architecture ADFS, merci de consulter la partie 3, dans cette partie j'aborde la partie flux firewall. ==> https://seyfallah-it.blogspot.fr/2018/03/azure-ad-la-federation-didentite-avec.html

Mon infrastructure est sur Azure, afin de pouvoir gérer les flux firewall et placer mes serveurs sur plusieurs Zones (DMZ et LAN) j'ai eu recours aux NSG (Network Security Group) et aux subnets via mon virtual Network dans Azure.

LAN : 192.168.1.0 /24
DMZ: 192.168.2.0/24

Voici la règle FW au niveau du NSG entre le WAP (DMZ)  et l'ADFS Interne (LAN), au niveau de la première ligne avec la priorty 100, celle ci autorise le flux 443 en entré depuis la zone DMZ.



et voici la règle au niveau de la DMZ, qui autorise le flux 443 sur le serveur WAP :


Une fois ces prérequis finalisé, il est recommandé de tester les flux avec un portqry ou telnet afin de s'assurer que tous les flux sont ouvert.


Ps : oubliez pas d'installer le certificat SSL sur le serveur WAP comme effectuée sur le serveur ADFS interne lors de la précédente étape.

Installation du WAP :

Nous allons commencer l'installation du Web Application Proxy.

Commencez donc par ouvrir le server manager et allez dans Manage et allez ensuite dans Add role and Features.

Cliquez ensuite sur suivant,:



Cliquez ensuite sur suivant:



Ensuite choisir son serveur WAP et cliquer sur Suivant.

Ici, il suffit de cocher le rôle "Remote Access" comme ceci : 



Rien à installer au niveau des fonctionnalité, cliquez sur suivant :


Introduction au rôle Access à distance, cliquez sur suivant :




Cliquez ensuite sur Add Features afin d'ajouter la feature qui nous intéresse dans ce cas :


Ici, il faut choisir pour notre besoin le Web application Proxy: 





Cliquez sur Install:



 L'installation commence :





Configuration du WAP :

Une fois que le rôle Remote Access est installé avec la fonctionnalité WAP, nous allons procéder à la configuration de ce dernier.

Après le reboot du serveur, allez sur le sevrer manager et cliquez sur le beau triangle jaune ! cliquez ensuite sur "Open The Web Application Proxy Wizard "


L’assistant de configuration du WAP s’ouvre comme ceci , cliquez ensuite sur suivant :




Veuillez ajouter le nom du service ADFS comme ceci : adfs.nom de domain publique et entrer des informations d’authentification afin que le WAP puisse se connecter au serveur ADFS en interne ( Racine) 

il faut également saisir un compte de service qui doit être membre du groupe administrateur local du serveur ADFS Racine , une fois ces informations saisies, vous pouvez cliquer sur suivant :



Ici il faudra saisir le certificat SSL, nous allons utiliser le même certificat SSL que sur le serveur ADFS interne ( Racine) , cliquez sur suivant :



Voici une confirmation de vos actions, un script PowerShell est généré de manière automatique qui vous aidera à automatiser vos déploiements WAP dans le future.

Cliquer sur Configure afin de commencer la configuration :


Si tous ce passe bien, vous devez voir ceci : cliquer ensuite sur Close.




Publication du service ADFS 

Une fois le WAP configuré, nous pouvons publier le service Web en tant qu’application sur l’extérieur de manière sécurisée vu que ce dernier est dans une DMZ.




Il faut ouvrir la console de management de l’accès distant et cliquer sur Publier comme ceci :



L’assistant de publication d’application s’ouvre, cliquez sur suivant :


Choisir la méthode d’authentification ( Pass-Through) comme ceci :



Au niveau des paramètres de publication, il faut renseigner l’URL de votre service ADFS comme ceci ( externe et interne sont les mêmes URLs) choisir le certificat SSL et cliquez sur suivant:


 Confirmation de vos actions, avec également un script PowerShell qui pourra être réutilisé plus tard , cliquez ensuite sur Publish:


Si tout se passe bien, vous devrez avoir ceci , cliquez sur Close:



Vérification de la web application publiée (ADFS) comme ceci :




Test du WAP Server 

Afin de tester votre WAP, tout d’abord depuis ce dernier, ouvrez un internet explorer et allez sur l’URL suivant :

-        https://adfs.domain.com/adfs/ls/idpinitiatedsignon

 Cette fenêtre, prouve le bon fonctionnement du service WAP:



Il est possible de tester de se connecter avec un utilisateur du domaine, une fois connecté vous devez avoir ceci :



Ä ce stade le WAP est opérationnel. Et le service ADFS est publié de manière sécurisée.

Ce test peut être fait depuis l’extérieur afin de valider la redirection du flux 443 de votre ip publique vers l’ip interne du Wap proxy.

Conclusion

Nous arrivons à la fin de cet article, nous avons installé et configuré le WAP et nous avons publié notre ADFS comme une application de manière sécurisée sur le Net. 

Nous allons voir la prochaine étape (Partie 5) qui va consister à synchroniser les utilisateurs de notre Ad local vers Azure Ad tout en utilisant la méthode de Sign In " ADFS " en créant un trus Office 365 dans notre ADFS.

Je vous dis à la prochaine :) stay Connected !

Cdt,
ST
Microsoft MVP
< >