Fournisseurs et consommateurs de Claims

Il faut bien distinguer deux catégories de partenaires dans l’échange de Claims. Il y a ceux qui sont fournisseurs de Claims, et ceux qui les consomment (en se connectant à un fournisseur).

Quand on lance la console de management AD FS 2.0, on a dans ‘Trust Relationships’ deux dossiers distincts pour ces deux catégories : ‘Claims Provider Trusts’ (fournisseur), et ‘Relying Party Trusts’ (consommateur).

Par défaut, AD FS 2.0 dispose d’un fournisseur de Claims, une fois installé : l’Active Directory de son domaine. Ainsi, AD FS est capable d’émettre des Claims à partir des données contenues dans l’AD (que ce soient les groupes ou les utilisateurs).

Configurer AD FS sur Adatum

Nous voulons que Adatum envoie ses Claims à Treysearch. Il faut donc ajouter Treysearch comme partenaire de confiance sur Adatum (c’est-à-dire dans ‘Relying Party Trusts’).

Cliquer sur ‘Add Relying Party Trust’.

Laisser le choix par défaut et entrer dans le champ ‘Federation metadata address (host name or ULR)’ le nom du serveur AD FS 2.0 sur le 2e domaine, pour nous : adfsresource.treysearch.com. Nous n’entrons pas ici dans les détails et laissons le reste par défaut, et ouvrons l’éditeur de règles à la fin : il nous reste à configurer les Claims à envoyer.

Nous choisissons d’ajouter une règle de type ‘Send LDAP Attributes as Claims’ : nous voulons que les attributs de l’Active Directory soient transformés sous forme de Claims et envoyés à Treysearch. Sélectionner l’adresse mail est suffisant (elle sert d’identifiant sur SharePoint).

Configurer AD FS sur Treysearch

Maintenant, il nous faut configurer AD FS sur Treysearch pour qu’il récupère les Tokens émis par Adatum et qu’il les transfère à SharePoint (deux étapes, donc).

Adatum vers Treysearch

Il faut ajouter Adatum comme provider de Claims pour Treysearch. Cliquer sur ‘Add Claims Provider Trust’ et entrer dans le champ ‘Federation metadata address (host name or URL)’, ici : adfsaccount.adatum.com. Laisser le reste par défaut et ouvrir l’éditeur de règles.

La règle que nous voulons créer ici est de type ‘Pass Through or Filter an Incomming Claim’. La valeur pour ‘Incomming claim type’ est ‘E-Mail Address’ (le Claim envoyé par Adatum). On laisse le reste par défaut (pas de filtrage sur les Claims envoyés)

Treysearch vers SharePoint

Enfin, il nous faut envoyer les Claims reçus par Treysearch (que ce soit de son AD ou Adatum) vers le serveur SharePoint. Il suffit d’ajouter le serveur SharePoint dans ‘Relying Party Trust’ sur Treysearch. Il faut choisir ‘Enter data about the relying party manually’, puis ‘AD FS 2.0 profile’, et  entrer l’adresse qui va recevoir les claims (l’adresse de l’application SharePoint, c’est-à-dire dans notre exemple : https://login.treysearch.com/trust/). Attention dans le champ ‘Relying Party Identifier’, il faut ajouter le nom que vous avez donné à votre serveur dans le PowerShell SharePoint (voir ici).

Ouvrir l’éditeur de règles et ajouter une règle de type ‘Pass Throug’ (pour Adatum) et une de type ‘Send LDAP Attributes’ (pour Treysearch, selon l’utilisation prévue).

Conclusion

La communication entre les deux serveurs AD FS est opérationnelle, mais il reste quelques manipulations à faire pour que les utilisateurs de Adatum puissent se connecter au serveur SharePoint de Treysearch (gestion de certificats, configuration de SharePoint, etc.).

De plus, on ne se contente généralement pas d’envoyer les Claims de tous les utilisateurs entre les deux serveurs AD FS, mais on filtre selon les groupes (par exemple). Cela implique d’ajouter d’autres règles que celles que nous avons décrites ici, le principe restant le même.

Ces différents sujets seront éventuellement évoqués dans de futurs articles.