Search This Blog

vendredi 25 mai 2018

Azure AD - La fédération d'identité avec ADFS - Partie 4

Bonjour à tous,

Nous allons continuer notre série d'articles autour d'Azure AD / Office365 et l’extension d'un annuaire Active Directory vers Azure AD.

Nous avons vu dans une première partie la présentation d'Azure AD, ensuite dans la deuxième partie, l'étude qui prépare à l’extension de son AD vers Azure AD et en troisième partie la présentation et l'installation d'ADFS.

Voici les trois premières parties :


Introduction

Lors de la partie 3 nous avons vu l'installation d'ADFS, nous allons voici ici l'installation du WAP (Web application Proxy) afin de permettre aux utilisateurs qui sont à l’extérieur du réseau de l'entreprise de se connecter au services Office 365 avec leur compte AD de manière sécurisée ( qui est bien entendu synchronisé avec sut Azure AD).

Présentation du design

Le design que je vous propose contient les éléments suivants:

  • Un serveur ADFS 
  • 3 contrôleurs de domaine Active directory
  • Un Serveur WAP Proxy (placé en DMZ)


Nous allons donc installer le composant WAP afin de compléter notre architecture ADFS et la préparer pour fédérer notre domaine interne. Ceci est pour s’authentifier auprès d'office 365 avec ADFS en utilisant bien entendu notre identité synchronisée dans Azure AD Avec AAD connect.

Avant de commencer, il faut savoir que le WAP est un serveur à part qui se place dans une DMZ et en aucun cas dans le LAN avec l'ADFS interne, de plus ce serveur doit être en Workgroup et non joint au domaine.

Une fois placé en DMZ, il suffit d'ouvrir le flux HTTPs - 443 avec les protocoles de transport TCP/UDP entre ce WAP et le serveur ADFS interne.

Sur le Firewall externe qui gère la DMZ, il faut ouvrir le port HTTPs - 443 avec les protocoles de transport TCP/UDP et rediriger votre 'ip public vers le serveur WAP en 443.

Si vous avez des doutes sur les flux à ouvrir dans une architecture ADFS, merci de consulter la partie 3, dans cette partie j'aborde la partie flux firewall. ==> https://seyfallah-it.blogspot.fr/2018/03/azure-ad-la-federation-didentite-avec.html

Mon infrastructure est sur Azure, afin de pouvoir gérer les flux firewall et placer mes serveurs sur plusieurs Zones (DMZ et LAN) j'ai eu recours aux NSG (Network Security Group) et aux subnets via mon virtual Network dans Azure.

LAN : 192.168.1.0 /24
DMZ: 192.168.2.0/24

Voici la règle FW au niveau du NSG entre le WAP (DMZ)  et l'ADFS Interne (LAN), au niveau de la première ligne avec la priorty 100, celle ci autorise le flux 443 en entré depuis la zone DMZ.



et voici la règle au niveau de la DMZ, qui autorise le flux 443 sur le serveur WAP :


Une fois ces prérequis finalisé, il est recommandé de tester les flux avec un portqry ou telnet afin de s'assurer que tous les flux sont ouvert.


Ps : oubliez pas d'installer le certificat SSL sur le serveur WAP comme effectuée sur le serveur ADFS interne lors de la précédente étape.

Installation du WAP :

Nous allons commencer l'installation du Web Application Proxy.

Commencez donc par ouvrir le server manager et allez dans Manage et allez ensuite dans Add role and Features.

Cliquez ensuite sur suivant,:



Cliquez ensuite sur suivant:



Ensuite choisir son serveur WAP et cliquer sur Suivant.

Ici, il suffit de cocher le rôle "Remote Access" comme ceci : 



Rien à installer au niveau des fonctionnalité, cliquez sur suivant :


Introduction au rôle Access à distance, cliquez sur suivant :




Cliquez ensuite sur Add Features afin d'ajouter la feature qui nous intéresse dans ce cas :


Ici, il faut choisir pour notre besoin le Web application Proxy: 





Cliquez sur Install:



 L'installation commence :





Configuration du WAP :

Une fois que le rôle Remote Access est installé avec la fonctionnalité WAP, nous allons procéder à la configuration de ce dernier.

Après le reboot du serveur, allez sur le sevrer manager et cliquez sur le beau triangle jaune ! cliquez ensuite sur "Open The Web Application Proxy Wizard "


L’assistant de configuration du WAP s’ouvre comme ceci , cliquez ensuite sur suivant :




Veuillez ajouter le nom du service ADFS comme ceci : adfs.nom de domain publique et entrer des informations d’authentification afin que le WAP puisse se connecter au serveur ADFS en interne ( Racine) 

il faut également saisir un compte de service qui doit être membre du groupe administrateur local du serveur ADFS Racine , une fois ces informations saisies, vous pouvez cliquer sur suivant :



Ici il faudra saisir le certificat SSL, nous allons utiliser le même certificat SSL que sur le serveur ADFS interne ( Racine) , cliquez sur suivant :



Voici une confirmation de vos actions, un script PowerShell est généré de manière automatique qui vous aidera à automatiser vos déploiements WAP dans le future.

Cliquer sur Configure afin de commencer la configuration :


Si tous ce passe bien, vous devez voir ceci : cliquer ensuite sur Close.




Publication du service ADFS 

Une fois le WAP configuré, nous pouvons publier le service Web en tant qu’application sur l’extérieur de manière sécurisée vu que ce dernier est dans une DMZ.




Il faut ouvrir la console de management de l’accès distant et cliquer sur Publier comme ceci :



L’assistant de publication d’application s’ouvre, cliquez sur suivant :


Choisir la méthode d’authentification ( Pass-Through) comme ceci :



Au niveau des paramètres de publication, il faut renseigner l’URL de votre service ADFS comme ceci ( externe et interne sont les mêmes URLs) choisir le certificat SSL et cliquez sur suivant:


 Confirmation de vos actions, avec également un script PowerShell qui pourra être réutilisé plus tard , cliquez ensuite sur Publish:


Si tout se passe bien, vous devrez avoir ceci , cliquez sur Close:



Vérification de la web application publiée (ADFS) comme ceci :




Test du WAP Server 

Afin de tester votre WAP, tout d’abord depuis ce dernier, ouvrez un internet explorer et allez sur l’URL suivant :

-        https://adfs.domain.com/adfs/ls/idpinitiatedsignon

 Cette fenêtre, prouve le bon fonctionnement du service WAP:



Il est possible de tester de se connecter avec un utilisateur du domaine, une fois connecté vous devez avoir ceci :



Ä ce stade le WAP est opérationnel. Et le service ADFS est publié de manière sécurisée.

Ce test peut être fait depuis l’extérieur afin de valider la redirection du flux 443 de votre ip publique vers l’ip interne du Wap proxy.

Conclusion

Nous arrivons à la fin de cet article, nous avons installé et configuré le WAP et nous avons publié notre ADFS comme une application de manière sécurisée sur le Net. 

Nous allons voir la prochaine étape (Partie 5) qui va consister à synchroniser les utilisateurs de notre Ad local vers Azure Ad tout en utilisant la méthode de Sign In " ADFS " en créant un trus Office 365 dans notre ADFS.

Je vous dis à la prochaine :) stay Connected !

Cdt,
ST
Microsoft MVP

jeudi 24 mai 2018

Azure Speed Test

Hello,

Aujourd'hui, je vous vous montrer un petit outil sympa qui va vous aider à déterminer le meilleur data center Azure en fonction de votre localisation et votre zone géographique.

Cet outil est important lors d'une phase de design sur des projets Microsoft Azure.

Vous avez à disposition deux outils :


  • Azure Speed Test 2.0
  • Azure Latency Test qui est plus détaillé au niveau du résultat

Azure Speed Test 2.0 

Azure Speed Test 2.0 est accessible directement ici ==> http://azurespeedtest.azurewebsites.net/

Il vous donnera directement la latence  ( du meilleur au moins bon) du data center  Azure en fonction de votre localisation.

Exemple pour ma part : 

On peut voir que le meilleur data center Azure en terme de latence pour moi est celui de l’Europe du nord  (Irlande) , suivi de prêt par west europe ( pays bas)  et la France Centrale.




Azure Latency Test

Accessible ici : http://www.azurespeed.com/

En ce qui concerne Azure Latency Test, ce dernier est plus détaillé et permet d'aller beaucoup plus loin et d’être granulaire pour les tests de performance des Data center Azure

Il est possible de faire les tests suivants :
  • Test de latence
  • CDN Test
  • Test d'upload
  • Test de Download
  • Test de large file Upload 
  • PS Ping 
Exemple : test d'upload entre tous les data center en Europe et un data center aux USA : 


Test de latence  ( Toujours en fonction de ma zone géographique) :





Enjoy !

Cdt,
ST
Microsoft MVP

lundi 14 mai 2018

VeeamON France 2018

Hello,

Veeam organise son événement VeeamON  France le 29 mai à Paris.



VeeamON Forum France 2018 est un événement unique autour de la disponibilité et la protection des données et des applications dans les environnements multi-cloud.

Veeam® révolutionne la manière dont les grandes entreprises assurent l'Always-On Cloud Availability dans les environnements hybrides. Le VeeamON Forum 2018 est le seul événement en 
France au cours duquel vous pourrez en faire l'expérience directe.ff



Les places sont limitées. Réservez votre place gratuite aujourd'hui !

Cliquez ici ==> Voici le lien pour vous inscrire

j'ai la joie de vous annoncer que je serais média Partners de cet événement aux cotés de mon ami Christophe Glemot ==>  son blog : http://original-network.com



J’espère vous retrouver la ba :) 

Cdt,
ST

Ma nouvelle formation - Azure Virtual Machine

Bonjour à tous,

Je suis heureux aujourd’hui de vous présenter ma nouvelle formation chez Alphorm, cette formation est axée sur les Machines virtuelles dans Azure.



voici le plan de la formation :



Voici le lien de la formation :

https://www.alphorm.com/tutoriel/formation-en-ligne-microsoft-azure-les-machines-virtuelles


Cette formation fait partie d'un cursus de formation Azure que je vous prépare chez Alphorm.

@ très bientôt les amis

Cdt,
ST


< >