Active Directory Federation Services (AD FS) 2.0 prend en charge les solutions de déclaration d'identité qui impliquent la technologie de Windows Server et Active Directory. AD FS 2.0 prend en charge les protocoles WS-Trust, WS-Federation et SAML (Security Assertion Markup Language).

Cette section décrit comment configurer les AD FS 2.0 sous la forme d’un serveur SAML afin qu’il fonctionne avec Hosted Email Security. Vérifiez que vous avez installé AD FS 2.0 avec succès.

  1. Accédez à Démarrer > Tous les programmes > Outils d’administration > AD FS 2.0 Management (Gestion AD FS 2.0).
  2. Dans la console de gestion AD FS, accédez à AD FS 2.0 > Trust Relationships (relations de confiance), cliquez avec le bouton droit sur Relying Party Trusts (Approbation de tiers de confiance), puis choisissez Add Relying Party Trust (Ajouter une approbation de tiers de confiance).
  3. Définissez les paramètres pour chaque écran dans l’Assistant Add Relying Party Trust (Ajouter une approbation de tiers de confiance).
    1. Sur l'écran Welcome (Bienvenue), cliquez sur Start (Démarrer).
    2. Sur l'écran Select Data Source (Sélectionner la Source de données), sélectionnez Enter data about the relying party manually (Saisir manuellement les données sur le tiers de confiance), puis cliquez sur Next (Suivant).
    3. Sur l'écran Specify Display Name (Spécifier le nom d'affichage), spécifiez un nom d’affichage, par exemple test, puis cliquez sur Next (Suivant).
    4. Sur l'écran Choose Profile (Choisir un profil), sélectionnez AD FS 2.0, puis cliquez sur Next (Suivant).
    5. Sur l'écran Configure Certificate (Configurer un certificat), cliquez sur Next (Suivant).
      Remarque :

      Aucun certificat de chiffrement n’est requis et HTTPS sera utilisé pour la communication entre Hosted Email Security et les serveurs de fédération.

    6. Sur l'écran configurer l’URL , sélectionnez Enable support for the SAML 2.0 WebSSO protocol (Activer la prise en charge du protocole SAML 2.0 WebSSO), saisissez l’URL du service SSO SAML 2.0 du tiers de confiance, puis cliquez sur Next (Suivant).
      Remarque :

      Spécifiez l’URL du service SSO SAML 2.0 correspondant à votre zone géographique comme suit :

      • Europe, Moyen-Orient, Afrique : https://euq.hes.trendmicro.eu/uiserver/euq/ssoAssert

      • Autres régions : https://euq.hes.trendmicro.com/uiserver/euq/ssoAssert

    7. Sur l'écran Configure Identifiers (Configurer les identificateurs), saisissez l’identifiant de l’approbation de tiers de confiance, cliquez sur Add (Ajouter), puis cliquez sur Next (Suivant).
      Remarque :

      Spécifiez l’identificateur de l’approbation de tiers de confiance de votre région comme suit :

      • Europe, Moyen-Orient, Afrique : https://euq.hes.trendmicro.eu/uiserver/euq/ssoLogin

      • Autres régions : https://euq.hes.trendmicro.com/uiserver/euq/ssoLogin

    8. Continuez à cliquer sur Next (Suivant) dans l’Assistant, puis cliquez sur Close (Fermer).
  4. Dans la boîte de dialogue Edit Claim Rules for Test (Modifier les règles de déclaration pour Test), cliquez sur Add Rule (Ajouter une règle) dans l'onglet Issuance Transform Rules (Règles de transformation d’émission).
  5. Définissez les paramètres pour chaque écran dans l’Assistant Add Transform Claim Rule (Ajouter une règle de transformation de déclaration).
    1. Sur l'écran Select Rule Template (Sélectionner un modèle de règle), sélectionnez Send LDAP Attributes as Claims (Envoyer les attributs LDAP en tant que déclaration) pour Claim rule template (modèle de règle de déclaration), puis cliquez sur Suivant .
    2. Spécifiez un nom de règle de déclaration, sélectionnez Active Directory pour Attribute store (Banque d’attributs).
    3. Sélectionner les attributs LDAP et spécifier un type de déclaration sortante pour chaque attribut, par exemple, sélectionnez E-Mail-Addresses (Adresses de messagerie) et spécifiez e-mail.
      Remarque :

      Lors de la configuration des paramètres de serveur de fédération sur Hosted Email Security, vérifiez que vous utilisez les mêmes types de déclaration que ceux spécifiés dans la colonne Outgoing Claim Type (Type de déclaration sortante).

    4. Cliquez sur Terminer.
    5. Cliquez sur OK pour fermer l’Assistant.
  6. Dans AD FS 2.0 > Trust Relationships (Relations d’approbation) > Relying Party Trust (Approbation de tiers de confiance), double-cliquez sur le fichier de tiers de confiance créé plus tôt.
    1. Dans la boîte de dialogue Test Properties (Propriétés Test), cliquez sur l'onglet Avancées .
    2. Sélectionnez SHA1 dans la liste déroulante Secure hash algorithm (Algorithme de hachage sécurisé) et cliquez sur Finish (Terminer).
  7. Vérifiez vos configurations.
    1. Démarrez un navigateur web (de préférence Internet Explorer), saisissez https://AD_FS_host_name/adfs/ls/IdpInitiatedSignon.aspx dans la barre d’adresse et appuyez sur Entrée.
      Remarque :

      Lorsque vous saisissez l’URL, remplacez ADFS_host_name par le nom d’hôte ou l’adresse IP du serveur sur lequel vous avez configuré AD FS.

    2. Sur l'écran Sign-In Page (Page de connexion), cliquez sur Sign in to this site (Se connecter à ce site), puis cliquez sur Continue to Sign In (Continuer sur la page connexion).

      Si vous voyez le message « You are signed in. » (Vous êtes connecté.), les configurations sont correctes, et vous êtes redirigé vers le serveur AD FS.

      Si vous ne parvenez pas à vous connecter, vérifiez vos précédentes configurations.

  8. Collectez l’URL d’authentification unique et un certificat pour la validation de signature depuis AD FS.
    1. Dans la console d’administration AD FS, accédez à AD FS 2.0 > Service > Endpoints (Endpoints du service AD FS 2.0).
    2. Recherchez le type SAML 2.0/WS-Federation endpoint et collectez l’URL dans ses propriétés.
    3. Accédez à AD FS 2.0 > Service > Certificates (Certificats de service AD FS 2.0).
    4. Recherchez le certificat Token-signing (Signature de jeton), faites un clic-droit, puis sélectionnez View Certificate (Afficher le certificat).
    5. Cliquez sur l'onglet Details (Détails) puis sur Copy to File (Copier dans un fichier).
    6. À l’aide de l’Assistant d'exportation de certificat, sélectionnez Base-64 Encoded X.509 (.Cer).
    7. Attribuez un nom au fichier pour terminer l’exportation du certificat dans un fichier.
Sujet parent : À propos des méthodes de connexion