Préparation d'ADFS (Active Directory Federation Services)

Si votre IdP est Microsoft Active Directory Federation Services (ADFS), suivez ces étapes pour préparer l'utilisation d'ADFS avec Domino. Veillez à respecter les exigences suivantes avant de configurer SAML dans Domino®.

Pourquoi et quand exécuter cette tâche

Ces étapes sont basées sur ADFS 4.0 et peuvent varier si vous utilisez une version plus récente.

Procédure

  1. Vérifiez que vous respectez les exigences suivantes :
    • L'une des versions suivantes d'ADFS est installée et configurée.
      • 2.0 (fournie avec Windows Server 2008 R2)
      • 3.0 (fournie avec Windows Server 2012 R2)
      • 4.0 (fournie avec Windows Server 2016)
    • Un certificat SSL (Secure Sockets Layer) sur le serveur ADFS est signé par une autorité de certification (AC). Le certificat racine de l'autorité de certification doit être déployé par une politique de domaine sur les clients, une meilleure pratique d'ADFS.
    • Les composants suivants doivent se trouver dans le même domaine Active Directory, sauf si des relations d'accréditation Active Directory sont mises en place :
      • Serveur ADFS
      • Enregistrements utilisateur
      • Les ordinateurs client depuis lesquels les utilisateurs se connectent. (Authentification Windows intégrée uniquement)
  2. Vérifiez que votre serveur ADFS est opérationnel. Pour connaître les étapes à suivre, reportez-vous à l'article Microsoft Vérifier qu'un serveur de fédération est opérationnel.
  3. Rendez-vous sur https://<ADFS server hostname>/adfs/ls/IdpInitiatedSignon.aspx et vérifiez qu'un utilisateur peut se connecter.
    • Si vous voyez le message d'erreur Impossible d'afficher cette page, activez la connexion de l'IdP sur la page :
      1. Exécutez la commande suivante dans un Windows PowerShell sur le serveur ADFS : 
        Get-AdfsProperties
      2. Vérifiez si la ligne EnableIdpInitiatedSignonPage dans la sortie est False : 
        EnableIdpInitiatedSignonPage    :False
      3. Si la valeur est False, exécutez la commande suivante pour la définir sur True :
        set-ADfsProperties -EnableIdPInitiatedSignonPage $true
      4. Exécutez la commande suivante pour confirmer la modification : 
        Get-AdfsProperties
      5. Redémarrez le service ADFS.
    • Si vous n'êtes pas en mesure de vous connecter avec Internet Explorer, vérifiez que l'authentification Windows intégrée est activée sur le navigateur :
      1. Dans Options Internet > Avancées, vérifiez que le paramètre de sécurité Activer l'authentification Windows intégrée est coché.

      2. Dans Options Internet > Sécurité, cliquez sur Sites, puis sur Avancées. Ajoutez l'URL du serveur ADFS (https://<ADFS server>) à la liste des sites Web.
  4. Vérifiez que le contenu des deux champs suivants correspond pour chaque utilisateur :
    • Le champ Adresse Internet dans le document Personne de l'annuaire Domino.
    • Le champ E-mail dans la boîte de propriétés ADFS de l'utilisateur.
    Remarque : Le nom de connexion des utilisateurs est différent de leur adresse e-mail, même s'ils peuvent sembler identiques.