Les services ADFS (Active Directory Federation Services) utilisent les trois types de cookies suivants :

  • Cookies d’authentification

  • Cookies de partenaire de compte

  • Cookies de déconnexion

Cookies d’authentification

Le service de fédération et l’agent Web AD FS peuvent tous deux émettre des cookies d’authentification. L’agent Web AD FS prend le jeton de sécurité AD FS qu’il reçoit et l’utilise en tant que valeur de cookie. L’avantage, c’est que vous n’avez pas besoin de configurer le serveur Web prenant en charge AD FS avec une paire de clés publique/privée pour la signature et la vérification de ses propres cookies. Le service de fédération publie toutes les informations nécessaires à la validation de ses jetons.

Sur le service de fédération, le jeton de sécurité présent dans un cookie contient les revendications d’organisation pour le client. Les revendications d’organisation peuvent être mappées à des revendications sortantes pour une ressource particulière. L’agent Web AD FS peut aussi authentifier et utiliser des cookies émis par le service de fédération. Le serveur serveur Web prenant en charge AD FS reçoit un cookie lorsque le client accède au serveur serveur Web prenant en charge AD FS. Ensuite, l’agent Web AD FS peut authentifier ce cookie et utiliser les revendications qu’il contient. Pour plus d’informations sur la manière dont le service de fédération utilise les jetons, les revendications et les cookies d’authentification, voir Présentation du service de rôle Service de fédération.

Le cookie d’authentification facilite l’authentification unique (SSO). Une fois que le service de fédération a validé le client, le cookie d’authentification est créé pour le client. Le service de fédération produit et utilise le contenu du cookie d’authentification, qui n’est pas lu par les serveurs proxy de fédération. Une authentification supplémentaire s’effectue en utilisant le cookie plutôt qu’une collection répétée des informations d’identification du client. Pour plus d’informations sur les serveurs proxy de fédération, voir Présentation du service de rôle Proxy du service de fédération.

L’illustration suivante représente le contenu d’un cookie d’authentification ainsi que les services de rôle AD FS utilisant le cookie d’authentification. L’agent Web AD FS comprend le service d’authentification de l’agent Web AD FS et l’extension de l’agent basé sur les jetons Windows AD FS.

Contenu du cookie d'authentification

Le cookie d’authentification est toujours un cookie de session. Le cookie d’authentification est signé mais pas chiffré, ce qui constitue une raison pour laquelle TLS/SSL (Transport Layer Security/Secure Sockets Layer) est obligatoire dans les services ADFS (Active Directory Federation Services).

Cookies de partenaire de compte

Le cookie du partenaire de compte facilite l’authentification unique (SSO). Après la découverte de l’appartenance du partenaire de compte interactive, si le cookie du partenaire de compte possède un jeton valide, il est écrit dans le client. D’autres interactions utilisent les informations de ce cookie au lieu de demander à nouveau au client des informations sur l’appartenance du partenaire de compte. Le cookie du partenaire de compte est défini en tant que résultat du processus de découverte de partenaire de compte. Pour plus d’informations sur la découverte de partenaire de compte, voir Présentation du service de rôle Service de fédération.

Le cookie du partenaire de compte est un cookie avec une longue durée de vie et persistant. Il n’est jamais signé ni chiffré.

Cookies de déconnexion

Le cookie de déconnexion favorise la fermeture de session. Dès que le service de fédération émet un jeton, le partenaire de ressource ou le serveur cible du jeton est ajouté au cookie de déconnexion. Lorsqu’il reçoit une demande de fermeture de session, le service de fédération ou le proxy du service de fédération envoie des demandes à chacun des serveurs cibles de jeton, en leur demandant de nettoyer tout artefact d’authentification, comme des cookies mis en cache, que le partenaire de ressource ou le serveur Web prenant en charge AD FS peut avoir écrit sur le client. Dans le cas d’un partenaire de ressource, il envoie une demande de nettoyage à tout serveur Web prenant en charge AD FS utilisé par le client.

Le cookie de déconnexion est toujours un cookie de session. Il n’est jamais signé ni chiffré.


Table des matières