Les services ADFS (Active Directory Federation Services) requièrent les configurations matérielle et logicielle suivantes.
Configuration matérielle requise
-
Vitesse du processeur : 133 mégahertz (MHz) pour les ordinateurs x86
-
Mémoire RAM minimale recommandée : 256 mégaoctets (Mo)
-
Espace disque libre pour l’installation : 10 Mo
Configuration logicielle requise
Les services AD FS (Active Directory Federation Services) reposent sur la fonctionnalité de serveur intégrée à Windows Server 2003 R2, Windows Server 2008 et Windows Server 2008 R2. Les services de rôle Service de fédération, Proxy du service de fédération et Agent Web AD FS ne peuvent pas s’exécuter sur des systèmes d’exploitation plus anciens. Cette section décrit la configuration logicielle requise pour chaque service de rôle AD FS. Elle indique également les configurations logicielles générales qui sont requises pour les services ADFS (Active Directory Federation Services) dans votre environnement de réseau.
 | Remarques |
|
Les services de rôle Service de fédération et Proxy du service de fédération ne peuvent pas cohabiter sur le même ordinateur. |
Service de fédération
Les ordinateurs exécutant le service de fédération doivent disposer des logiciels suivants :
-
Windows Server 2003 R2, Enterprise Edition ; Windows Server 2003 R2, Datacenter Edition ; Windows Server 2008, Enterprise Edition ; Windows Server 2008, Datacenter Edition ; Windows Server 2008 R2 Standard ; Windows Server 2008 R2 Entreprise ou Windows Server 2008 R2 Datacenter
-
Services Internet (IIS)
-
Microsoft ASP.NET 2.0
-
Microsoft .NET Framework 2.0
| Remarques |
|
Une fois l’installation de service de fédération terminée, vous devez configurer un site Web par défaut dans IIS avec TLS/SSL (Transport Layer Security/Secure Sockets Layer). |
Configuration requise pour les magasins de comptes AD DS et AD LDS
Les services ADFS (Active Directory Federation Services) nécessitent la présence de comptes d’utilisateurs dans les services de domaine Active Directory (AD DS) ou Active Directory Lightweight Directory Services (AD LDS) pour le service de fédération de comptes. Les contrôleurs de domaine AD DS ou les ordinateurs qui hébergent les magasins de comptes doivent disposer des systèmes d’exploitation suivants :
-
Windows Server 2008 R2
-
Windows Server 2008
-
Windows Server 2003 R2
-
Windows Server 2003
-
Windows 2000, Service Pack 4 (SP4) avec les mises à jour critiques
Les services ADFS (Active Directory Federation Services) ne nécessitent pas l’apport de modifications de schéma ou de fonctionnalités aux services de domaine Active Directory. Pour garantir le bon fonctionnement des services AD LDS avec les services ADFS (Active Directory Federation Services), installez la version des services AD LDS fournie avec Windows Server 2008.
Proxy du service de fédération
Les ordinateurs exécutant le proxy du service de fédération doivent disposer des logiciels suivants :
-
Windows Server 2003 R2, Enterprise Edition ; Windows Server 2003 R2, Datacenter Edition ; Windows Server 2008, Enterprise Edition ; Windows Server 2008, Datacenter Edition ; Windows Server 2008 R2 Standard ; Windows Server 2008 R2 Entreprise ou Windows Server 2008 R2 Datacenter
-
IIS
-
ASP.NET 2.0
-
Microsoft .NET Framework 2.0
| Remarques |
|
Une fois l’installation du proxy du service de fédération terminée, vous devez configurer un site Web par défaut dans IIS avec TLS/SSL. |
Agent Web AD FS
Les ordinateurs exécutant l’agent Web AD FS (soit l’agent prenant en charge les revendications, soit l’agent basé sur les jetons Windows) doivent disposer des logiciels suivants :
-
Windows Server 2003 R2, Standard Edition ; Windows Server 2003 R2, Enterprise Edition ; Windows Server 2003 R2, Datacenter Edition ; Windows Server 2008, Standard Edition ; Windows Server 2008, Enterprise Edition ; Windows Server 2008, Datacenter Edition ; Windows Server 2008 R2 Standard ; Windows Server 2008 R2 Entreprise ou Windows Server 2008 R2 Datacenter
-
Services Inernet (IIS)
-
ASP.NET 2.0
-
Microsoft .NET Framework 2.0
| Remarques |
|
Lorsque l’installation de l’agent Web AD FS est terminée, vous devez configurer au moins un site Web dans IIS avec TLS/SSL, de façon à ce que les utilisateurs fédérés puissent accéder aux applications Web qui sont hébergées sur le serveur Web prenant en charge AD FS. |
Autorités de certification approuvées
Comme TLS/SSL et la signature des jetons reposent sur les certificats numériques, les autorités de certification constituent une partie importante des services ADFS (Active Directory Federation Services). Les autorités de certification publiques, telles que VeriSign, Inc., représentent un organisme tiers mutuellement approuvé qui permet d’identifier l’identité du support d’un certificat. Vous pouvez recourir à des autorités de certification d’entreprise, comme les services de certificats Microsoft, pour fournir la signature de jetons et d’autres services de certificats internes.
Si un client se voit proposer un certificat d’authentification d’un serveur, il s’assure que l’autorité de certification qui l’a émise se trouve dans sa liste d’autorités de certification approuvées et que l’autorité de certification n’a pas révoqué le certificat. Cette vérification garantit que le client a bien atteint le serveur souhaité. Lorsqu’il utilise un certificat pour vérifier des jetons signés, le client s’assure que le jeton a bien été émis par le bon serveur de fédération et que ce jeton n’a pas été falsifié.
Connectivité de réseau TCP/IP
Pour que les services ADFS (Active Directory Federation Services) fonctionnent, une connectivité de réseau TCP/IP doit exister entre le client, un contrôleur de domaine et les ordinateurs qui hébergent le service de fédération, le proxy du service de fédération (s’il est utilisé) et l’agent Web AD FS.
DNS
Pour ce qui concerne l’authentification des utilisateurs d’un intranet, les serveurs DNS (Domain Name System) internes de la forêt de l’intranet doivent être configurés pour retourner le nom complet (CNAME) du serveur interne qui exécute le service de fédération. Pour obtenir les meilleurs résultats, n’utilisez pas de fichiers d’hôtes avec le système DNS.
Navigateur Web
Bien que n’importe quel navigateur Web actuel compatible JScript puisse faire office de client AD FS, seuls Internet Explorer 8, Internet Explorer 7, Internet Explorer 6, Internet Explorer 5 ou 5.5, Mozilla Firefox et Safari sur Apple Macintosh ont été testés par Microsoft. Pour des raisons de performance, il est fortement recommandé d’activer JScript. Les cookies doivent être acceptés, ou du moins approuvés, pour les serveurs de fédération et les applications Web auxquels on accède.