Le fichier de stratégie d’approbation des services ADFS (Active Directory Federation Services) définit le jeu de paramètres requis par un service de fédération pour identifier les partenaires, les certificats, les magasins de comptes, les revendications et les différentes propriétés de ces entités qui sont associées au service de fédération.

La création d’une batterie de serveurs de fédération passe par les actions suivantes : la création de deux serveurs de fédération dans le même réseau ; la configuration de chacun d’entre eux de façon à ce qu’ils utilisent le même fichier de stratégie d’approbation ; et enfin l’ajout de la clé publique des certificats de signature de jetons (certificats de vérification) de chaque serveur à la stratégie d’approbation.

Remarques

Dans les scénarios en batteries, il est important que le fichier de stratégie d’application soit partagé sur un ordinateur qui ne serve pas aussi de serveur de fédération dans cette batterie. L’équilibrage de la charge réseau Microsoft Windows n’autorise pas la communication entre les ordinateurs qui participent à une batterie.

Une fois que le fichier trustpolicy.xml a été placé dans un dossier partagé, vous protégez ce partage avec les autorisations appropriées. Cela signifie que pour que chaque nouveau serveur de fédération puisse partager un fichier de stratégie d’approbation, vous devez fournir au moins des autorisations d’accès en lecture seule à chacun des comptes d’ordinateurs sur chaque serveur de fédération dans la batterie. L’administrateur du service de fédération pourra modifier le fichier de stratégie d’approbation même si les comptes d’ordinateurs ont des autorisations en lecture seule.


Table des matières