Formation Libérez tout le potentiel de Microsoft ADFS
L'installation d'un proxy WAP (Web Application Proxy) pour l'ADFS permets concrètement de consolider la sécurité du réseau et du système d'informations car on ne souhaite pas exposer notre serveur ADFS sur Internet. Dans les bonnes pratiques en sécurité, il est nécessaire de dédier une machine non membre du réseau Active Directory de l'entreprise.
Plus précisément, cette machine sera placée dans le réseau DMZ de l'entreprise et cette dernière sera donc accessible depuis Internet, afin de permets aux utilisateurs externes de s'authentifier sur les différentes applications tel que le portail Web Exchange OWA, par exemple.
Afin de "palier" ce problème, nous allons dédier une machine sous Windows Server qui aura pour rôle d'être un serveur proxy situé dans un réseau DMZ afin de permettre l'authentification d'utilisateurs depuis Internet. Ainsi, le serveur proxy ADFS (WAP) communiquera avec le serveur ADFS interne.
Il est à noter que la machine proxy ADFS, qui aura le rôle WAP, doit être positionnée dans un réseau destinés aux machines accessibles depuis Internet ET que la machine ne doit pas être membre du domaine : c'est à dire que la machine doit faire partie du groupe de travail local par défaut qui est WORKGROUP. Au mieux, la machine ne doit pas avoir accès à Internet (comme les autre serveurs internes d'ailleurs) ou alors uniquement des accès réglementés à travers des règles de filtrage firewall (Windows Update, MAJ de softwares particuliers).
Dans le cadre d'une authentification externe (sur Internet), il est nécessaire d'ajouter un serveur supplémentaire, dédié pour le rôle ADFS WAP (Web Application Proxy), afin de suivre les bonnes pratiques de sécurité.
Si jamais votre serveur ADFS est placé en DMZ et qu'il soit compromis, c'est tout le réseau avec les contrôleurs de domaine qui est en danger ! Nous savons bien que les contrôleurs de domaines Active Directory sont des points très critiques dans une entreprise et qu'ils doivent être placés dans un réseau dédié avec des contrôles d'accès avec un pare-feu + un VLAN.
Les serveurs proxies ADFS (Proxy ADFS) seront positionnés dans la DMZ publique (zone des machines accessibles depuis Internet).
Il s'agit en effet du même processus mais cette fois ci notre infrastructure est un peu plus complexe et est organisée différemment avec une DMZ publique et privée et des pares-feux afin de séparer chaque zone :
Le principe de fonctionnement pour une authentification externe respecte l'organisation suivante :
Dans cette partie de la formation, nous allons voir ensemble le cadre de l'installation et de la configuration de ce rôle qui est le proxy ADFS (Web Application Proxy).