Préparation d'ADFS (Active Directory Federation Services)
Si votre IdP est Microsoft™ Active Directory Federation Services (ADFS), suivez ces étapes pour préparer l'utilisation d'ADFS avec Domino. Veillez à respecter les exigences suivantes avant de configurer SAML dans Domino®.
Pourquoi et quand exécuter cette tâche
Procédure
-
Vérifiez que vous respectez les exigences suivantes :
- L'une des versions suivantes d'ADFS est installée et configurée.
- 2.0 (fournie avec Windows Server 2008 R2)
- 3.0 (fournie avec Windows Server 2012 R2)
- 4.0 (fournie avec Windows Server 2016)
- Un certificat SSL (Secure Sockets Layer) sur le serveur ADFS est signé par une autorité de certification (AC). Le certificat racine de l'autorité de certification doit être déployé par une politique de domaine sur les clients, une meilleure pratique d'ADFS.
- Les composants suivants doivent se trouver dans le même domaine Active Directory, sauf si des relations d'accréditation Active Directory sont mises en place :
- Serveur ADFS
- Enregistrements utilisateur
- Les ordinateurs client depuis lesquels les utilisateurs se connectent. (Authentification Windows™ intégrée uniquement)
- L'une des versions suivantes d'ADFS est installée et configurée.
- Vérifiez que votre serveur ADFS est opérationnel. Pour connaître les étapes à suivre, reportez-vous à l'article Microsoft Vérifier qu'un serveur de fédération est opérationnel.
-
Rendez-vous sur https://<ADFS server hostname>/adfs/ls/IdpInitiatedSignon.aspx et vérifiez qu'un utilisateur peut se connecter.
- Si vous voyez le message d'erreur Impossible d'afficher cette page, activez la connexion de l'IdP sur la page :
- Exécutez la commande suivante dans un Windows PowerShell sur le serveur ADFS :
Get-AdfsProperties
- Vérifiez si la ligne
EnableIdpInitiatedSignonPage
dans la sortie estFalse
:EnableIdpInitiatedSignonPage :False
- Si la valeur est
False
, exécutez la commande suivante pour la définir surTrue
:set-ADfsProperties -EnableIdPInitiatedSignonPage $true
- Exécutez la commande suivante pour confirmer la modification :
Get-AdfsProperties
- Redémarrez le service ADFS.
- Exécutez la commande suivante dans un Windows PowerShell sur le serveur ADFS :
- Si vous n'êtes pas en mesure de vous connecter avec Internet Explorer, vérifiez que l'authentification Windows intégrée est activée sur le navigateur :
- Dans Activer l'authentification Windows intégrée est coché.
- Dans Sites, puis sur Avancées. Ajoutez l'URL du serveur ADFS (https://<ADFS server>) à la liste des sites Web. , cliquez sur
- Dans Activer l'authentification Windows intégrée est coché.
- Si vous voyez le message d'erreur Impossible d'afficher cette page, activez la connexion de l'IdP sur la page :
-
Vérifiez que le contenu des deux champs suivants correspond pour chaque utilisateur :
- Le champ Adresse Internet dans le document Personne de l'annuaire Domino.
- Le champ E-mail dans la boîte de propriétés ADFS de l'utilisateur.
Remarque : Le nom de connexion des utilisateurs est différent de leur adresse e-mail, même s'ils peuvent sembler identiques.