Configurer ADFS 3.0 avec SharePoint Server

Présentation de la fédération d'identité avec SharePoint

Avant de partir sur l'installation et la configuration des services de fédération sous ADFS, je vous conseille de consulter cet article qui vous donnera tout le bagage nécessaire pour la bonne prise en main des concepts de bases.

http://www.it-channels.com/microsoft/ad-fs/202-la-federation-d-identite-quels-avantages-pour-mon-sharepoint

Avant de commencer

Installation de SharePoint Server : http://www.it-channels.com/microsoft/sharepoint/110-sharepoint-2013-installation-et-configuration

Installation de ADFS Server : http://www.it-channels.com/microsoft/ad-fs/191-installer-le-serveur-adfs-3-0

Installation de ADFS Proxy : http://www.it-channels.com/microsoft/ad-fs/192-installer-le-proxy-adfs-3-0

Configurer l’authentification basée sur les revendications SAML avec les services ADFS dans SharePoint 2013

La première étape consiste à rajouter l'application à vous souhaitez faire confiance dans la partie Relying Party Trusts. Next

Sélectionnez Enter data about the relying party manually

Donnez lui le nom souhaité. Dans mon cas ce sera SharePoint 2013 ADFS Identity

Sélectionnez AD FS profile

Next

Renseignez ici après avoir coché la case, l'url de l'application web SharePoint sur lequel vous allez configurer l'authentification basée sur les jetons SAML

Rajoutez l'urn qui correspond à l'identifieur d'approbation de la partie de confiance (mon SharePoint dans cet exemple)

Next

Close. L'étape qui suit consiste à configurer les revendications qui vont être poussées dans mon jeton SAML lors de l'échange avec mon SharePoint

Add Rule

...

La configuration des claims est maintenant terminées. Dans cet exemple, j'ai configuré :

l'UPN
Primary SID
Name
E-mail Address

La première partie de la configuration est finie. La seconde partie va se dérouler sur le serveur SharePoint. Avant cela, il est nécessaire d'exporter le certificat (Token Signing)

Copy to file...

Next

Sélectionnez DER encoded binary (.CER)

Importez le certificat sur SharePoint via powershell :

$cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("C:\Users\adm_mim\Desktop\Certificat ADFS\_Production\ADFS_Token-signing certificate.cer")
New-SPTrustedRootAuthority -Name “Token Signing Cert” -Certificate $cert

Configurez le Trusted Identity Provider pour la web Application (en powershell) :

$emailClaimMap = New-SPClaimTypeMapping -IncomingClaimType “http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress” -IncomingClaimTypeDisplayName “EmailAddress” -SameAsIncoming
$upnClaimMap = New-SPClaimTypeMapping -IncomingClaimType “http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn” -IncomingClaimTypeDisplayName “UPN” -SameAsIncoming
$roleClaimMap = New-SPClaimTypeMapping -IncomingClaimType “http://schemas.microsoft.com/ws/2008/06/identity/claims/role” -IncomingClaimTypeDisplayName “Role” -SameAsIncoming
$sidClaimMap = New-SPClaimTypeMapping -IncomingClaimType “http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid” -IncomingClaimTypeDisplayName “SID” -SameAsIncoming
$realm = "urn:sharepoint:portal"

#Nom du service ADFS et non pas le nom du serveur sur lequel est installé ADFS
$signInURL = "https://adfs.it-channels.com/adfs/ls/"
$ap = New-SPTrustedIdentityTokenIssuer -Name “SAML Provider for SharePoint” -Description “SAML secured SharePoint” -realm $realm -ImportTrustCertificate $cert -ClaimsMappings $emailClaimMap,$upnClaimMap,$roleClaimMap,$sidClaimMap -SignInUrl $signInURL -IdentifierClaim $emailClaimmap.InputClaimType

La dernière étape consiste à autoriser l'authentification par jeton SAML en modifiant le paramètre dans la partie Authentification Providers sur la WebApp définie

Vous pouvez maintenant utiliser l'authentification basée sur les revendications sur votre SharePoint

Enjoy :-)

Joris