Avec le Cloud, il y a toujours des passages obligés. Après avoir convaincu les acteurs réticents (DAF, RSI/RSSI), le sujet de l’identité arrive en tête de liste avant même les aspects réseau. Avec en plus le Règlement Général sur la Protection des Données qui pointe le bout de son nez en 2018, autant dire que le sujet identité dans Azure est un sujet Top priorité. Pour un certain nombre de mes clients, cela implique la mise en œuvre d’une infrastructure ADFS (ou la migration) vers une version plus récente (genre Windows Server 2016). C’est pendant l’une de ces migrations que j’ai découvert un outil nommé AD FS Rapid Restore Tool. Au premier abord, j’ai pensé que l’outil était juste un outil de sauvegarde / restauration de configuration ADFS (ce qui est déjà très bien). Une fois installé, cela prend la forme d’un module PowerShell :

Import-Module ‘C:\Program Files (x86)\ADFS Rapid Recreation Tool\ADFSRapidRecreationTool.dll’

Get-Command | where {$_.Source -like « ADFSRapidRecreationTool »}

Si on creuse on peu, on est tout de suite intéressé par certaines fonctionnalités. Normalement, cela devrait vous sauter aux yeux.

En plus, coté mise en œuvre, ça tient en une seule ligne de PowerShell

Backup-ADFS -StorageType “FileSystem” -StoragePath “C:\ADFSBACKUP\” -EncryptionPassword “P@ssw0rd1234” -BackupComment “Clean Install of ADFS (FS)” -BackupDKM

La seule limite, c’est la capacité à exporter la clé privée de votre certificat. La même avec de la bonne volonté, il ne peut pas le faire. Par contre toute la configuration de votre infrastructure ADFS, sa base de données, tout est disponible sous la forme d’un package prêt à l’emploi pour une restauration. C’est bien plus efficace qu’un snapshot ou une sauvegarde du System State.

Là où le process est super intéressant, c’est qu’on peut aussi l’utiliser pour reconfigurer une infrastructure ADFS existante. Dans mon cas, je voulais basculer la base de données depuis des instances Windows Internal Database vers un véritable serveur SQL.

Restore-ADFS -StorageType “FileSystem” -StoragePath “C:\ADFSBACKUP\” -DecryptionPassword “P@ssw0rd1234” -ADFSName “adfs.simplebydesign.fr” -DBConnectionString “data source=fox.adfslab.local;initial catalog=adfsconfiguration;integrated security=true” -GroupServiceAccountIdentifier “ADFSLAB\MSAADFS$”

type c:\users\FOX.ADFSLAB\AppData\Local\ADFSRapidRecreationTool\PostRestore_Instructions01022017-213311.txt

OK, ça ne restaure pas non plus les fournisseurs d’authentification forte tiers (RSA, Gemalto, …). En même temps, je n’en ai pas besoin mon client a commandé l’utilisation de Windows Hello comme mécanisme d’authentification forte à son père noël. La configuration une fois restaurée est immédiatement opérationnelle.

Get-AdfsProperties | select ArtifactDbConnection

Un seul petit bémol à ce niveau, si la collation de votre nouvelle instance SQL n’est pas celle que vous vous attendez mais une version localisée, pensez à personnaliser la chaine de connexion SQL, sinon cela ne fonctionne pas. Pour les « Old School comme moi », avant la migration cela ressemblait à un truc comme cela :

Au passage, il ne faut pas oublier comment cela marche car c’est toujours comme cela qu’on va basculer les serveurs secondaires de la ferme, …

L’outil est compatible Windows Server 2012, Windows 2012 R2, Windows Server 2016, donc tout de suite utilisable pour une migration.

Benoits – Simple and secure by design but Business compliant (with disruptive flag enabled)