Principe général de configuration de la fédération d’Office 365

Pour commencer, il faut que l’Active Directory de l’entreprise fonctionne au minimum sous  Windows 2003 Server et que le niveau de l’Active Directory soit Windows 2003 minimum. Ensuite, il faut installer un ADFS server V2 (qui fonctionne sous Windows 2008 Server ou Windows 2008 R2 Server) et publier sur internet, l’URL d’accès à ce serveur ADFS (nous verrons par la suite, comment publier ce serveur).

Bien entendu, ce serveur ADFS peut être virtualisé. Sur les postes de travail, Windows XP SP3 minimum, il faut disposer d’IE7 et Outlook 2007 ou supérieur. Pour l’utilisation d’Office 365, il faut ensuite déployer sur le poste de travail, l’ «Office 365 Desktop Setup » qui a pour fonction d’installer les différents fixes OS et Outlook ainsi qu’un composant important appelé le Sign-In Assistant.

Principe général de configuration de la fédération d’Office 365

L’étape suivant consiste à assigner un UPN à chaque utilisateur. En général, les entreprises ne se sont jamais préoccupées de l’UPN de leurs utilisateurs car ces derniers ne se connectent à Active Directory qu’en utilisant leur nom de domaine et alias. Office 365 requiert l’UPN de l’utilisateur pour l’authentification. Il faut donc que l’entreprise change l’UPN par défaut des utilisateurs (qui est généralement le nom de la forêt Active Directory), par un UPN routable sur internet.

Pour un confort d’utilisation, et éviter une confusion des utilisateurs, il est recommandé d’utiliser le même domaine de messagerie des utilisateurs pour l’UPN. Par exemple, une entreprise qui utilise @enterprise.com comme domaine de messagerie et dispose d’une forêt portant le nom ad.enterprise.local aura par défaut, les UPN déclarés en @ad.enterprise.local. Il faudra changer ces UPN par @enterprise.com. Si votre entreprise héberge des utilisateurs ayant différents domaines SMTP, il est parfaitement possible de déclarer plusieurs UPN dans Active Directory et associer aux utilisateurs, celui correspondant à leur adresse email.

Au lancement d’Office 365, pour chaque UPN utilisé pour l’authentification fédérée d’Office 365, il fallait dédier un serveur ADFS, ce qui pouvait être lourd et coûteux si vous choisissez d’utiliser plusieurs UPN. Depuis la mise à jour ADFS v2 d’Octobre 2011, il est possible d’utiliser un seul serveur ADFS pour plusieurs UPN.

Nous venons de dire qu’il est préférable d’utiliser un UPN correspondant au domaine SMTP des utilisateurs mais quand une entreprise dispose de plusieurs dizaines, voire centaines de domaines SMTP, la configuration peut devenir fastidieuse (nous verrons pourquoi au paragraphe suivant). Dans ce cas, il peut être préférable de déclarer un UPN qui n’a aucun rapport avec les domaines SMTP et qui sera unique pour tout le monde.

L’ultime étape avant de pouvoir utiliser l’authentification fédérée d’Office 365 est de déclarer le domaine fédéré sous Office 365.

Vous retrouverez facilement sur le portail Office 365, comment procéder à cette déclaration, mais en résumé, il faut créer le domaine dans Office 365, le valider en créant un enregistrement TXT aléatoire dans le DNS, puis configurer au moyen de PowerShell que ce domaine est un domaine fédéré. Ainsi, à chaque fois qu’un utilisateur se présentera avec un UPN correspondant à ce domaine fédéré, Office 365 saura que le mot de passe n’est pas stocké dans Office 365, mais qu’il faut aller demander un jeton à l’entreprise gérant ce domaine. Toutes ces étapes sont à réaliser pour chaque domaine UPN ce qui, comme nous le disions auparavant, peut devenir fastidieux si vous disposez de centaines de domaines UPN.
Voilà, vous êtes maintenant prêt à utiliser Office 365 en mode fédéré.