Les services AD LDS (Active Directory Lightweight Directory Services) fournissent un lieu de stockage et de récupération des données pour les applications d’annuaire, sans les dépendances que requièrent les services de domaine Active Directory (AD DS). Les services AD LDS se rapprochent beaucoup des services de domaine Active Directory (AD DS) en termes de fonctionnalités, sans pour autant nécessiter le déploiement de domaines ou de contrôleurs de domaine. De manière similaire à l’utilisation des informations de magasin de comptes des services de domaine Active Directory (AD DS) par les services ADFS (Active Directory Federation Services), les services ADFS (Active Directory Federation Services) extraient également les attributs utilisateur des services AD LDS et authentifient les utilisateurs avec les services AD LDS si vous configurez les services ADFS (Active Directory Federation Services) de façon à utiliser les services AD LDS en tant que magasin de comptes.
Pour mener à bien cette procédure, il est nécessaire d’appartenir au minimum au groupe Administrateurs local ou à un groupe équivalent. Consultez les informations détaillées sur l'utilisation des comptes et des appartenances au groupe appropriés sur le site Web suivant :
Vous pouvez utiliser la procédure suivante pour ajouter un magasin de comptes AD LDS à votre configuration AD FS.
Pour ajouter un magasin de comptes AD LDS |
Cliquez sur Démarrer, pointez sur Outils d’administration, puis cliquez sur Services ADFS (Active Directory Federation Services).
Dans l’arborescence de la console, double-cliquez sur Service de fédération, sur Stratégie d’approbation, puis sur Mon organisation.
Cliquez avec le bouton droit sur Magasins de comptes, pointez sur Nouveau, puis cliquez sur Magasin de comptes.
Dans la page Assistant Ajouter un magasin de comptes, cliquez sur Suivant.
Dans la page Type de magasin de comptes, cliquez sur Services AD LDS (Active Directory Lightweight Directory Services), puis sur Suivant.
Dans la page Détails du magasin AD LDS, procédez comme suit, puis cliquez sur Suivant :
-
Dans la zone Nom complet du magasin de comptes, tapez le nom convivial du magasin de comptes.
-
Dans URI du magasin de comptes, tapez l’URI (Uniform Resource Identifier) du magasin de comptes AD LDS.
-
Dans la zone Nom complet du magasin de comptes, tapez le nom convivial du magasin de comptes.
Dans la page Paramètres du serveur AD LDS, procédez comme suit, puis cliquez sur Suivant :
-
Dans Nom ou adresse IP du serveur AD LDS, tapez le nom ou l’adresse IP du serveur AD LDS.
-
Dans Numéro du port, tapez le numéro du port TCP/IP pour le service de compte.
-
Dans Nom unique de la base de recherche LDAP, tapez le nom unique, par exemple DC=adatum,DC=com.
-
Dans Attribut LDAP du nom d’utilisateur, tapez le nom de l’attribut du nom d’utilisateur, par exemple, NomPrincipalUtilisateur.
-
Dans Nom ou adresse IP du serveur AD LDS, tapez le nom ou l’adresse IP du serveur AD LDS.
Dans la page Revendications d’identité, sélectionnez une ou plusieurs revendications d’identité que le magasin de comptes doit fournir, puis cliquez sur Suivant :
-
Si le magasin de comptes fournit des revendications d’identité de nom UPN, activez la case à cocher Nom d’utilisateur principal (UPN), puis tapez le nom d’attribut LDAP (Lightweight Directory Access Protocol).
-
Si le magasin de comptes fournit des revendications d’identité (courrier électronique), activez la case à cocher Courrier électronique, puis tapez le nom d’attribut LDAP.
-
Si le magasin de comptes fournit des revendications d’identité de nom commun, activez la case à cocher Nom commun, puis tapez le nom d’attribut LDAP.
-
Si le magasin de comptes fournit des revendications d’identité de nom UPN, activez la case à cocher Nom d’utilisateur principal (UPN), puis tapez le nom d’attribut LDAP (Lightweight Directory Access Protocol).
Si vous ne voulez pas activer ce magasin de comptes maintenant, dans la page Activer ce magasin de comptes, désactivez la case à cocher Activer ce magasin de comptes, puis cliquez sur Suivant.
Pour ajouter le nouveau magasin de comptes et fermer l’Assistant, cliquez sur Terminer.
Remarques | |
Les services ADFS (Active Directory Federation Services) ne peuvent authentifier les comptes AD LDS utilisant des parenthèses dans le nom de compte. Les comptes disposant de parenthèses ouvertes dans le nom d’utilisateur font échouer la recherche LDAP, car le nom d’utilisateur forme un filtre LDAP non valide. |