L'installation d'un proxy WAP (Web Application Proxy) pour l'ADFS permets concrètement de consolider la sécurité du réseau et du système d'informations car on ne souhaite pas exposer notre serveur ADFS sur Internet. Dans les bonnes pratiques en sécurité, il est nécessaire de dédier une machine non membre du réseau Active Directory de l'entreprise.

Plus précisément, cette machine sera placée dans le réseau DMZ de l'entreprise et cette dernière sera donc accessible depuis Internet, afin de permets aux utilisateurs externes de s'authentifier sur les différentes applications tel que le portail Web Exchange OWA, par exemple.

Pourquoi utiliser un serveur WAP ?

Afin de "palier" ce problème, nous allons dédier une machine sous Windows Server qui aura pour rôle d'être un serveur proxy situé dans un réseau DMZ afin de permettre l'authentification d'utilisateurs depuis Internet. Ainsi, le serveur proxy ADFS (WAP) communiquera avec le serveur ADFS interne.

Il est à noter que la machine proxy ADFS, qui aura le rôle WAP, doit être positionnée dans un réseau destinés aux machines accessibles depuis Internet ET que la machine ne doit pas être membre du domaine : c'est à dire que la machine doit faire partie du groupe de travail local par défaut qui est WORKGROUP. Au mieux, la machine ne doit pas avoir accès à Internet (comme les autre serveurs internes d'ailleurs) ou alors uniquement des accès réglementés à travers des règles de filtrage firewall (Windows Update, MAJ de softwares particuliers).

Rappel du fonctionnement avec un serveur ADFS + serveur WAP

Dans le cadre d'une authentification externe (sur Internet), il est nécessaire d'ajouter un serveur supplémentaire, dédié pour le rôle ADFS WAP (Web Application Proxy), afin de suivre les bonnes pratiques de sécurité.

Si jamais votre serveur ADFS est placé en DMZ et qu'il soit compromis, c'est tout le réseau avec les contrôleurs de domaine qui est en danger ! Nous savons bien que les contrôleurs de domaines Active Directory sont des points très critiques dans une entreprise et qu'ils doivent être placés dans un réseau dédié avec des contrôles d'accès avec un pare-feu + un VLAN.

Les serveurs proxies ADFS (Proxy ADFS) seront positionnés dans la DMZ publique (zone des machines accessibles depuis Internet).

Il s'agit en effet du même processus mais cette fois ci notre infrastructure est un peu plus complexe et est organisée différemment avec une DMZ publique et privée et des pares-feux afin de séparer chaque zone :

Le principe de fonctionnement pour une authentification externe respecte l'organisation suivante :

1. L'utilisateur souhaite accéder à une application Web sur le serveur WEB en effectuant une requête WEB.
2. Le serveur Web effectue une redirection Web vers le serveur ADFS car il n'est pas authentifié.
3. Le client demande une authentification ADFS en contactant directement le serveur WAP (Web Application Proxy) situé dans le réseau de la DMZ publique.
4. Le serveur WAP transfère la demande au serveur ADFS situé dans la DMZ privée.
5. L'ADFS fait appel au contrôleur de domaine Active Directory afin de vérifier l'identité de l'utilisateur. Il vérifie ainsi les identifiants d'authentifications.
6. Si l'authentification a réussie, un nouveau ticket unique SAML est créé pour cette connexion uniquement et est transmit au WAP.
7. Le WAP transmet le ticket SAML émis par l'ADFS au client.
8. Le client présente le ticket SAML qu'il a obtenu au serveur WEB.
9. Le serveur Web vérifie le ticket en amont avec le serveur ADFS.
10. L'utilisateur est à présent authentifié, il est redirigé vers l'application ou le site Web.

Dans cette partie de la formation, nous allons voir ensemble le cadre de l'installation et de la configuration de ce rôle qui est le proxy ADFS (Web Application Proxy).