Configuration du proxy ADFS

Formation Libérez tout le potentiel de Microsoft ADFS

Précédemment, nous avons réalisé l'installation du rôle Accès à distance : Web Application Proxy afin de mettre en place un serveur proxy pour les authentifications ADFS. Nous allons ainsi passer à la configuration de ce service.

Sommaire

Prérequis

Afin de réaliser la configuration du proxy ADFS (WAP), quelques prérequis sont nécessaires :

Il est toute fois important de réaliser la configuration avec un compte local "Administrateur".
Vous devez disposer du certificat SSL (clé publique + privée => fichier .pfx)
La machine doit être positionnée dans une DMZ (réseau destinés aux machines accessibles depuis Internet).
La machine ne doit pas être membre du domaine.

Installer le certificat PFX sur la machine

Comme indiqué précédemment, il est nécessaire d'avoir le même certificat que le serveur ADFS. Nous allons devoir l'installer dans le magasin personnel du compte ordinateur. Sélectionnez "Ordinateur local", puis cliquez sur "Suivant" :

Sélectionnez le fichier PFX à importer :

Saisissez le mot de passe pour la clé de sécurité du certificat :

Sélectionner ensuite "Placer tous les certificats dans le magasin suivant", puis "Personnel". Cliquez enfin sur "OK", puis "Suivant" :

L'importation sera réalisée lorsque l'on clique sur le bouton "Terminer". Une fois cela, l'importation a bien été réalisée.

Configuration du Proxy d'Application Web (WAP)

Lors de la fin de l'installation du rôle, il est nécessaire de réaliser une configuration.

Dans le Gestionnaire de serveur, une configuration supplémentaire est requise pour le rôle "Accès à distante : WAP". En haut à droite du Gestionnaire de serveur, cliquez sur le drapeau, puis Configuration post-déploiement > "Ouvrir l'assistant Proxy d'application Web" ou directement en cliquant sur le lien situé dans la fenêtre de l'installation du rôle :

Lors du lancement de l'assistant, cliquez sur "Suivant" :

La page suivante requis le nom du service de fédération ADFS : vous devez respecter le même nom de service (dans notre cas : authwall.vemotech.fr) (voir la section : Configurer le service FS).

De même, utilisez le compte que vous avez utilisé pour le compte du service ADFS :

Si le certificat a bien été importé, il doit apparaitre dans la liste des certificats :

Ensuite, nous obtenons la confirmation de configuration du service. Cliquez sur "Configurer" afin de permettre cela.

La commande PowerShell a été clairement générée grâce aux actions réalisées lors de l'assistant de configuration :

Install-WebApplicationProxy 
          -FederationServiceTrustCredential System.Management.Automation.PSCredential   # Envoi les credentials
          -CertificateThumbprint 'C05B0B6BAD7E3C1899F29A0A84E710A604214B09'             # Empreinte du certificat sélectionné
          -FederationServiceName 'adfs.vemo.tech'                                       # Nom du service ADFS

La commande peut être utilisée lors de plusieurs déploiement simultané, si jamais vous avez une ferme de serveurs.

La configuration est en cours...

Nous voyons bien que l'association avec le proxy et le serveur ADFS a bien été réalisée.

La "Console de gestion de l'accès distant" s'ouvre automatiquement une fois l'assistant fermé. En cliquant sur "État des opérations", vous pouvez visualiser que la connexion entre le serveur WAP et le serveur ADFS communiquent entres eux. Le serveur WAP fonctionnement correctement.

Troubleshooting

Erreur lors de la tentative d'établissement d'une relation d'approbation avec le service de fédération

Si vous obtenez l'erreur "Une erreur s'est produite lors de la tentative d'établissement d'une relation d'approbation avec le service de fédération. Erreur : Impossible de se connecter au serveur distant", vérifiez vos règles de filtrages du pare-feu afin d'autoriser l'accès du serveur WAP vers le serveur ADFS sur le port 443.

Règle à configurer sur le pare-feu réseau (ici avec un Stormshield) :

De même si vous avez une erreur concernant qu'il est impossible d'établir une connexion SSL valide : vérifiez que tous les certificats sont "trustés" sur les postes afin d'avoir les certificats valides et qu'ils sont identiques de chaque côté.

Erreur : L'assistant de configuration WAP échoue avec une erreur de certificat d'approbation

Il arrive que lors du déroulé du processus de configuration du WAP échoue suite à une erreur de communication avec le serveur. Le message peut être le suivant :

Echec de la récupération des données de configuration du proxy à partir du serveur de fédération à l’aide d’un certificat d’approbation avec empreinte numérique <empreinte numérique> avec le code d’état 'InternalServerError'.

Pour une raison quelconque, le serveur WAP a des difficultés à contacter le serveur ADFS interne qui fonctionne également sous Windows 2022. La résolution de noms fonctionne bien et les informations d’identification de l’administrateur local étaient correctes.

L’une des nouvelles fonctionnalités de Windows 2022 est la prise en charge de TLS 1.3 et voici le coupable. Il semble qu’ADFS ne fonctionne pas correctement avec TLS 1.3.

Pour désactiver TLS 1.3 sur le serveur WAP, ajoutez les clés de Registre suivantes, dans un fichier .reg :

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.3]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.3\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.3\Server]

Lancez le fichier en double cliquant, puis valider l'enregistrement des clés dans le registre Windows :