Les serveurs de fédération requièrent l’utilisation de certificats de signature de jetons pour empêcher les pirates de falsifier ou de contrefaire les jetons de sécurité dans le but d’accéder frauduleusement à des ressources fédérées. Chaque certificat de signature de jetons contient des clés publiques et privées de chiffrement qui permettent de signer numériquement (au moyen de la clé privée) un jeton de sécurité. Ultérieurement, lorsqu’un serveur de fédération partenaire reçoit ces clés, celles-ci valident l’authenticité du jeton de sécurité chiffré au moyen de la clé publique.
Lorsque vous déployez le premier serveur de fédération dans une nouvelle installation des services ADFS (Active Directory Federation Services), vous devez obtenir un certificat de signature de jetons et l’installer dans le magasin de certificats personnels de l’ordinateur local sur ce serveur de fédération. Vous pouvez obtenir un certificat de signature de jetons soit en faisant une demande auprès d’une autorité de certification d’entreprise ou publique, soit en créant un certificat auto-signé.