Maxime Rastello

Configurer l’authentification KCD pour OWA et ECP avec Web Application Proxy

Grâce à Web Application Proxy, vous pouvez publier les services OWA et ECP sur Internet tout en proposant une expérience d’authentification unique (Single Sign-On) à vos utilisateurs.

Les personnes souhaitant consulter leurs emails devront s’authentifier une seule fois en utilisant leur identifiant / mot de passe sur la page de login ADFS. La délégation contrainte Kerberos (KCD) prendra le relais afin d’utiliser les identifiants de l’utilisateur pour se connecter de maniètre transparente à Outlook Web App.

Attention, votre serveur Web Application Proxy doit obligatoirement être joint au domaine AD afin que la délégation Kerberos puisse se faire.

Si vous ne souhaitez pas joindre WAP au domaine, Exchange 2013 SP1 vous permet également d’utiliser une authentification basée sur des claims ADFS.

 

Etape 1 : Activez l’authenticiation Windows Intégrée sur OWA et ECP

Pour que OWA et ECP prennent en charger l’authentification Windows, il est nécessaire de reparaméter chaque répertoire virtuel dans la console d’administration Exchange.

 

exchange owa WIA

 

N’oubliez pas d’effectuer cette opération sur tous les serveurs Exchange, et sur les 2 répertoires OWA et ECP.

 

Etape 2 : Créez une Non-claims Aware Relying Party Trust

Pour que la pré-authentification ADFS puisse se faire, il faut créer dans la console AD FS Management une relation d’approbation ne se basant pas sur les claims ADFS.

 

non claims aware trust

 

Dans la partie Non-claims aware relying party trust identifier, vous pouvez spécifier par exemple l’URL d’accès à OWA. Notez que la valeur de cet identifiant n’a pas d’incidence sur l’authentification, il permet juste de savoir sur quelle application on travaille.

 

relying party trust id

 

A l’étape suivante, laissez la case I don’t want to configure multi-factor authentication settings et cliquez deux fois sur Next puis Close.

Dans la fenêtre qui s’ouvre, cliquez sur Add Rule, puis choisissez Permit All Users.

 

permit all users

 

Validez les dernières étapes pour terminer la configuration de la relation d’approbation.

 

Etape 3 : Créez un enregistrement SPN sur le serveur applicatif

Dans le cas de la publication d’OWA ou d’ECP, il est nécessaire de créer un enregistrement SPN sur le ou les serveurs Exchange de votre organisation.

Cet enregistrement doit avoir pour valeur HTTP/mail.votredomaine.com, où mail.votredomaine.com est le nom DNS utilisé pour la publication externe du virtual directory.

 

spn serveur exchange

 

Vous pouvez également utiliser la commande suivante :

setspn –S http/mail.domaine.com DOMAINE\SERVEUREXCHANGE$

Attention : Si le virtual directory utilise un compte de service du domaine pour fonctionner, vous devrez configurer le SPN sur ce compte et non sur le serveur. Exemple : setspn –S http/mail.domaine.com DOMAINE\svc_account

 

Etape 4 : Configurez la délégation Kerberos sur le serveur WAP

Il faut ensuite configurer la délégation Kerberos sur le serveur Web Application Proxy, en lui indiquant le SPN que vous avez créé à l’étape précédente :

1- Ouvrez le compte ordinateur du serveur WAP, et allez dans l’onglet Delegation.

2- Sélectionnez Trust this computer for delegation to specified services only, puis Use any authentication protocol.

 

spn serveur exchange

 

3- Cliquez sur le bouton Add, puis sur Users or Computers. Recherchez le ou les serveurs Exchange de votre organisation et validez.

 

configure kdc

 

4- Validez par OK et vérifiez que le service est bien affiché dans la liste.

 

service delegation kerberos exchange

 

Etape 5 : Redémarrez le serveur WAP

Cette étape est essentielle pour que la délégation Kerberos soit bien prise en compte. Si vous n’effectuez pas cette étape, vous pourriez rencontrer une erreur 500 et 0x8009030e lors de l’accès à l’application.

 

Etape 6 : Publiez OWA et ECP dans WAP

Sur le serveur Web Application Proxy, ouvrez la console Remote Access. Dans le menu Web Application Proxy, cliquez sur le bouton Publish.

Choisissez la méthode de pré-authentification ADFS et cliquez sur Next.

 

pre authentication adfs wap

 

Renseignez les URL internes et externes configurées sur le virtual directory et sélectionnez le certificat SSL approprié. N’oubliez pas de spécifier l’enregistrement SPN.

 

spn backend server wap

 

Répétez l’opération pour la publication d’ECP.

 

Etape 7 : Testez l’accès à OWA et ECP

Avec toutes ces étapes, vous devriez être capable de vous authentifier de manière transparente à OWA et ECP au travers de Web Application Proxy.

En cas de problème, je vous conseille cet excellent guide de troubleshooting de Benoit.