« La théorie, c'est quand on sait tout et que rien ne fonctionne. La pratique, c'est quand tout fonctionne et que personne ne sait pourquoi. Ici, nous avons réuni théorie et pratique : Rien ne fonctionne... et personne ne sait pourquoi ! »
.png)
Les systèmes d'exploitation OS Serveurs Windows Serveur 2016 Rôles 2016 ADFS +WAP Configurer Exchange 2016 avec ADFS
Loguez-vous sur le serveur ADFS.
Dans le noeud "Approbation de partie de confiance", dans le volet "Action", cliquez sur "Ajouter une approbation de partie de confiance".
Sélectionnez "Prise en charge des revendications", puis cliquez sur "Suivant"
Sélectionnez "Entrez manuellement...", puis cliquez sur "Suivant"
Renseignez un nom explicite, ici "OWA", puis cliquez sur "Suivant"
Cliquez sur "Suivant"
Sélectionnez la case à cocher "Activer la prise en charge du protocole WS-Federation passif", puis cliquez sur "Suivant"
Sélectionnez la partie de confiance précédement créée et dans le volet "Actions", sélectionnez "Editez la stratégie d'émission de revendications".
Dans la liste déroulante "Modèle de règle de revendication", sélectionnez "Envoyer les revendications en utilisant une règle personnalisée", puis cliquez sur "Suivant"
L'image suivante contient déjà les deux règles à créer. N'en tener pas compte.
Cliquez sur "Ajouter une règle"
Nommez clairement la règle en fonction de son contenu. Comme ici, je créé une revendication basée sur le SID, je la nomme "User SID".
Dans la zone "règle personnalisée", collez la revendication suivante:
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid"), query = ";objectSID;{0}", param = c.Value);
Puis cliquez sur "Terminer"
Ajouter une deuxième règle en la nommant "UPN" et coller la revendication suivante:
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"), query = ";userPrincipalName;{0}", param = c.Value);
IMPORTANT!!!
Créez à présent une deuxième fois sur sur "Ajouter une approbation de partie de confiance" et recréez à l'identique de la précédent une approbation de partie de confiance nommée "ECP".
Vous avez à présent créeé les deux approbations de confiance nécessitant une authentification.
Loguez-vous sur le serveur WAP (Proxy d'Applications Web)
La liste des URLs à publier est la suivante:
| Service | Chemin | Type d'authentification |
| Outlook Web App | /OWA/ | AD FS |
| Exchange Control Panel | /ECP/ | AD FS |
| Exchange Web Services | /EWS/ | Pass thru |
| Auto Discover | /Autodiscover/ | Pass thru |
| ActiveSync | /Microsoft-Server-ActiveSync | Pass thru |
| Offline Address Book | /OAB/ | Pass thru |
| Outlook Anywhere | /rpc/ | Pass thru |
| MAPI HTTP | /mapi/ | Pass thru |
Vous allez répéter ces tâches à deux reprises pour les deux URLs nécessitant une authentification:
Dans le volet "Actions", cliquez sur "Publier"
Puis cliquez sur Suivant.
Dans la page "Pré-authentification, sélectionnez "Services de fédération Active Diretory (AD FS), puis cliquez sur "Suivant"".
Sélectionnez pour commencer La revendication précédement créée dans ADFS nommée "OWA", puis cliquez sur "Suivant"".
Sélectionnez "MSOFBA et web", puis cliquez sur "Suivant"".
Nommez clairement cette publication, par exemple "Exchange OWA", renseignez l'URL de votre serveur Exchange et sélectionnez le certificat de votre serveur de messagerie, ou éventuellement le certificat générique (ce dernier contenant les noms acceptés), puis cliquez sur "Suivant".
Puis cliquez sur "Publier".
Refaites à l'identique une deuxième publication pour pour l'ECP d'exchange.
Pour les autres URLs ne nécessitant pas d'authentification, créez une publication pour chacune des autres URLs mentionné dans le tableau précédent, mais en sélectionnant le mode "Passtrough", puis cliquez sur "Suivant".
Renseignez un nom explicite ainsi que les URLs correspondantes, puis cliquez sur "Suivant".
Puis cliquez sur "Suivant".
Loguez-vous sur le serveur ADFS et ouvrez la console ADFS. Dans le noeud "Service", développez "Certificats", puis faites un clic droit sur le certificat de signature de jeton, puis "Afficher le certificat", afin de l'exporter.
Cliquez sur l'onglet "Détail", puis sur le bouton "Copier dans un fichier".
L'assistant d'exportation de certificat se lance
Puis cliquez sur "Suivant".
Rensignez le chemin d'exportation, puis cliquez sur "Suivant".
Puis cliquez sur "Suivant".
Loguez- vous à présent sur le serveur Exchange. Recherchez l'emplacement du certificat et double-cliquez dessus afin de l'importer, puis cliquez sur "Installer le certificat".
Sélectionnez "ordinnateur local", puis cliquez sur "Suivant".
Sélectionnez le noeud "Autorités de certification racine de confiance", puis cliquez sur "Suivant".
Et installez-le.
En tan qu'administrateur, lancez une fenêtre Powershell et lancez la commande suivante:
Set-Location Cert:\LocalMachine\Root; Get-ChildItem | Sort-Object Subject
Repérez le certificat dont le nom commence par "CN=ADFS Signing". Copiez l'empreinte du certificat.
Vous pouvez également récupérer l'empreinte à distance sur le serveur ADFS nommé "SRV1"en executant la commande powershell suivante:
invoke-command -ComputerName srv1 -ScriptBlock {Get-AdfsCertificate -CertificateType Token-Signing}
Lancez la commande suivante en prenant soin d'indiquer :
Set-OrganizationConfig -AdfsIssuer https://
/adfs/ls/ -AdfsAudienceUris ""," " -AdfsSignCertificateThumbprint " "
Tapez la commande suivante dans Powershell afin de paramétrer l'authentification pour OWA:
Get-EcpVirtualDirectory | Set-EcpVirtualDirectory -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -OAuthAuthentication $false -WindowsAuthentication $false
Tapez la commande suivante dans Powershell afin de paramétrer l'authentification pour ECP:
Get-OwaVirtualDirectory | Set-OwaVirtualDirectory -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -OAuthAuthentication $false -WindowsAuthentication $false
Redémarrez IIS avec la commande:
iisreset /noforce
Testez votre accès!!