Création de noms principaux de service ADFS
Pour activer l'authentification Windows intégrée (IWA) sur ADFS, créez des noms principaux de service pour associer ADFS à un compte de connexion. Les noms principaux de service permettent aux clients de demander l'authentification sans disposer de noms de compte de connexion.
Pourquoi et quand exécuter cette tâche
S'il y a déjà des noms principaux de service pour ADFS, car IWA est déjà activé, ignorez cette procédure.
Cette procédure suppose que vous utilisez un serveur ADFS unique. Si vous utilisez plusieurs serveurs ADFS dans une batterie de serveurs de fédération, consultez le document Microsoft Configurer manuellement un compte de service pour une batterie de serveurs de fédération.
Procédure
- Sur le contrôleur de domaine Active Directory, connectez-vous au domaine Windows en tant qu'administrateur Windows.
-
Exécutez les commandes suivantes pour créer deux noms principaux de service, un nom qualifié complet et un nom abrégé :
oùsetspn -s HTTP/<dns_name> <account_name> setspn -s HTTP/<adfs_server_name> <account_name>
<dns_name>
est le nom de domaine qualifié complet du serveur ADFS.<adfs_server_name>
est le nom d'hôte de la machine ADFS.<account_name>
est le compte de service local.Remarque : La portionHTTP/
du nom principal de service est correcte, même si HTTPS est utilisé pour accéder au service. -
Exécutez la commande suivante pour vérifier que les noms principaux de service sont correctement créés :
setspn -L <server>$
Exemple
Par exemple, si le nom de domaine est us.renovations.com
, si le nom d'hôte de la machine ADFS est adfs01
, et si le nom de compte est admin
, les commandes suivantes créent les noms principaux de service requis :
setspn -s HTTP/adfs01.us.renovations.com admin
setspn -s HTTP/adfs01 admin
ADFS01
. Le nom de compte de l'ordinateur est ADFS01$
et l'enregistrement de compte affiche les nouveaux noms principaux de service.