Vous pouvez utiliser l’Assistant Ajout de partenaire de compte pour ajouter un nouveau partenaire de compte manuellement ou en important un fichier de stratégie. Cette action permet aux comptes d’utilisateurs du partenaire de compte d’accéder à des applications Web protégées par ce service de fédération. Pour en savoir plus sur la fonctionnalité d’importation améliorée dans cette version des services ADFS (Active Directory Federation Services), voir la page relative aux nouveautés des services ADFS (Active Directory Federation Services) dans Windows Server 2008 à l’adresse https://go.microsoft.com/fwlink/?LinkId=85684 (éventuellement en anglais).

Pour mener à bien ces procédures, il est nécessaire d’appartenir au minimum au groupe Administrateurs local ou à un groupe équivalent. Consultez les informations détaillées sur l'utilisation des comptes et des appartenances au groupe appropriés sur le site Web suivant : https://go.microsoft.com/fwlink/?LinkId=83477.

Ajout d’un partenaire de compte manuellement

Vous pouvez utiliser la procédure suivante pour ajouter un partenaire de compte manuellement.

Pour ajouter un partenaire de compte manuellement
  1. Cliquez sur Démarrer, pointez sur Outils d’administration, puis cliquez sur Services ADFS (Active Directory Federation Services).

  2. Dans l’arborescence de la console, double-cliquez sur Service de fédération, sur Stratégie d’approbation, puis sur Organisations partenaires.

  3. Cliquez avec le bouton droit sur Partenaires de comptes, pointez sur Nouveau, puis cliquez sur Partenaire de compte.

  4. Dans la page Assistant Ajout de partenaire de compte, cliquez sur Suivant.

  5. Dans la page Importer un fichier de stratégie, cliquez sur Non, puis sur Suivant.

  6. Dans la page Détails sur le partenaire de compte, procédez comme suit, puis cliquez sur Suivant.

    • Dans la zone Nom complet, tapez le nom complet du partenaire de compte.

    • Dans URI du service de fédération, tapez l’URI (Uniform Resource Identifier) du service de fédération.

    • Dans URL du point d’arrêt du service de fédération, tapez l’URL (Uniform Resource Locator) du service de fédération.

  7. Dans la page Certificat de vérification du partenaire de compte, tapez ou recherchez le chemin d’accès au certificat de vérification, puis cliquez sur Suivant.

  8. Dans la page Scénario de fédération, effectuez l’une des actions suivantes, puis cliquez sur Suivant :

    • Si vous établissez une approbation fédérée avec une autre organisation ou que vous ne voulez pas utiliser d’approbation de forêt existante, cliquez sur SSO de Web fédéré, puis passez à l’étape 10.

    • Si vous établissez une approbation fédérée au sein de la même organisation alors que les deux parties partagent déjà une approbation de forêt, cliquez sur SSO de Web fédéré avec approbation de forêt.

  9. Dans la page SSO de Web fédéré avec approbation de forêt, procédez comme suit, puis cliquez sur Suivant :

    • Pour accepter des utilisateurs dans tous les domaines approuvés par le partenaire de compte, cliquez sur Tous les domaines et forêts AD DS. Tout utilisateur pouvant s’authentifier auprès du partenaire de compte est accepté.

    • Pour accepter des comptes d’utilisateurs situés dans certains des domaines approuvés par le partenaire de compte, cliquez sur Domaines et forêts AD DS suivants. Ensuite, dans Nouveau domaine ou forêt AD DS approuvé, tapez le nom d’un domaine ou d’une forêt, puis cliquez sur Ajouter. Seuls les utilisateurs des domaines spécifiés seront acceptés.

  10. Dans la page Revendications d’identité de partenaires de comptes, sélectionnez une ou plusieurs revendications d’identité à partager avec le partenaire de ressource, puis cliquez sur Suivant.

    • Si le partenaire de ressource a besoin de revendications de nom UPN (User Principal Name) pour prendre des décisions d’autorisation, activez la case à cocher Revendication UPN.

    Important

    Lorsque des revendications de nom UPN ou d’identité (courrier électronique) servent à prendre des décisions d’autorisation, il est essentiel que chaque partenaire de compte possède un suffixe de nom UPN ou d’adresse de messagerie unique. Si deux partenaires de comptes possèdent le même suffixe de nom UPN ou d’adresse de messagerie, l’identification d’utilisateurs de manière unique risque de devenir impossible. Cette condition peut permettre à un utilisateur d’un autre partenaire de compte de recevoir des autorisations destinées à l’utilisateur d’un autre partenaire de compte. Cette condition risque également d’introduire une faille significative dans la sécurité, car un administrateur pourrait intentionnellement créer des comptes d’utilisateurs pour emprunter l’identité des utilisateurs de l’un des autres partenaires de comptes.

    Remarques

    Si vous avez sélectionné le scénario SSO de Web fédéré avec approbation de forêt, l’option Revendication UPN est sélectionnée et n’est pas configurable. En effet, les revendications UPN sont obligatoires dans ce scénario.

    • Si le partenaire de ressource a besoin de revendications d’identité (courrier électronique) pour prendre des décisions d’autorisation, activez la case à cocher Revendication d’identité (courrier électronique).

    • Si le partenaire de ressource a besoin de revendications de nom commun pour prendre des décisions d’autorisation, activez la case à cocher Revendication de nom commun.

  11. Si vous avez sélectionné Revendication UPN comme revendication d’identité, effectuez l’une des actions suivantes dans la page Suffixes de noms UPN acceptés, puis cliquez sur Suivant :

    • Si vous avez sélectionné l’option SSO de Web fédéré avec approbation de forêt, cliquez sur Tous les suffixes de noms UPN ou sur Seuls les suffixes de la liste suivante, tapez le suffixe accepté, puis cliquez sur Ajouter.

    • Si vous avez sélectionné l’option SSO de Web fédéré, sous Ajouter un nouveau suffixe, tapez le suffixe accepté, puis cliquez sur Ajouter.

  12. Si vous avez sélectionné Revendication d’identité (courrier électronique) comme revendication d’identité, effectuez l’une des actions suivantes dans la page Suffixes d’adresses de messagerie acceptés, puis cliquez sur Suivant :

    • Si vous avez sélectionné l’option SSO de Web fédéré avec approbation de forêt, cliquez sur Tous les suffixes d’adresses de messagerie ou sur Seuls les suffixes de la liste suivante, tapez le suffixe accepté, puis cliquez sur Ajouter.

    • Si vous avez sélectionné l’option SSO de Web fédéré sous Ajouter un nouveau suffixe, tapez le suffixe accepté, puis cliquez sur Ajouter.

    Remarques

    Les revendications de nom commun ne requièrent pas d’informations supplémentaires.

  13. Dans la page Activer ce partenaire de compte, si vous ne voulez pas activer le partenaire de compte immédiatement, désactivez la case à cocher Activer ce partenaire de compte, puis cliquez sur Suivant.

  14. Pour ajouter le nouveau partenaire de compte et fermer l’Assistant, cliquez sur Terminer.

Ajout d’un partenaire de compte en important un fichier de stratégie

Vous pouvez utiliser la procédure suivante pour ajouter un partenaire de compte en important un fichier de stratégie.

Pour ajouter un partenaire de compte en important un fichier de stratégie
  1. Cliquez sur Démarrer, pointez sur Outils d’administration, puis cliquez sur Services ADFS (Active Directory Federation Services).

  2. Dans l’arborescence de la console, double-cliquez sur Service de fédération, sur Stratégie d’approbation, puis sur Organisations partenaires.

  3. Cliquez avec le bouton droit sur Partenaires de comptes, pointez sur Nouveau, puis cliquez sur Partenaire de compte.

  4. Dans la page Assistant Ajout de partenaire de compte, cliquez sur Suivant.

  5. Dans la page Importer un fichier de stratégie, procédez comme suit, puis cliquez sur Suivant :

    • Cliquez sur Oui.

    • Dans Fichier de stratégie d’interopérabilité partenaire, tapez ou recherchez l’emplacement du fichier de stratégie du partenaire de compte.

  6. Dans la page Détails sur le partenaire de compte, sous Nom d’affichage, tapez le nom d’affichage du partenaire de compte, vérifiez que les paramètres supplémentaires du partenaire importé sont corrects, puis cliquez sur Suivant.

  7. Dans la page Certificat de vérification du partenaire de compte, effectuez l’une des actions suivantes, puis cliquez sur Suivant :

    • Cliquez sur Utiliser le certificat de vérification contenu dans le fichier de stratégie d’importation.

    • Cliquez sur Utiliser un certificat de vérification différent, puis tapez l’emplacement du certificat ou cliquez sur Parcourir.

  8. Dans la page Scénario de fédération, effectuez l’une des actions suivantes, puis cliquez sur Suivant :

    • Si vous établissez une approbation fédérée avec une autre organisation ou que vous ne voulez pas utiliser d’approbation de forêt existante, cliquez sur SSO de Web fédéré, puis passez à l’étape 10.

    • Si vous établissez une approbation fédérée au sein de la même organisation alors que les deux parties partagent déjà une approbation de forêt, cliquez sur SSO de Web fédéré avec approbation de forêt.

  9. Dans la page SSO de Web fédéré avec approbation de forêt, procédez comme suit, puis cliquez sur Suivant :

    • Pour accepter des utilisateurs dans tous les domaines approuvés par le partenaire de compte, cliquez sur Tous les domaines et forêts AD DS. Tout utilisateur pouvant s’authentifier auprès du partenaire de compte est accepté.

    • Pour accepter des comptes d’utilisateurs situés dans certains des domaines approuvés par le partenaire de compte, cliquez sur Domaines et forêts AD DS suivants. Ensuite, dans Nouveau domaine ou forêt AD DS approuvé, tapez le nom du domaine ou de la forêt, puis cliquez sur Ajouter. Seuls les utilisateurs des domaines spécifiés seront acceptés.

  10. Dans la page Revendications d’identité de partenaires de comptes, sélectionnez une ou plusieurs revendications d’identité que ce partenaire fournira, puis cliquez sur Suivant.

    • Si le partenaire de ressource a besoin de revendications de nom UPN pour prendre des décisions d’autorisation, activez la case à cocher Revendication UPN.

    Important

    Lorsque des revendications UPN ou d’identité (courrier électronique) servent à prendre des décisions d’autorisation, il est essentiel que chaque partenaire de compte possède un suffixe de nom UPN ou d’adresse de messagerie unique. Si deux partenaires de comptes possèdent le même suffixe de nom UPN ou d’adresse de messagerie, l’identification d’utilisateurs de manière unique risque de devenir impossible. Cette condition peut permettre à un utilisateur d’un autre partenaire de compte de recevoir des autorisations destinées à l’utilisateur d’un autre partenaire de compte. Cette condition risque également d’introduire une faille significative dans la sécurité, car un administrateur pourrait intentionnellement créer des comptes d’utilisateurs pour emprunter l’identité des utilisateurs de l’un des autres partenaires de comptes.

    Remarques

    Si vous avez sélectionné le scénario SSO de Web fédéré avec approbation de forêt, l’option Revendication UPN est sélectionnée et n’est pas configurable. En effet, les revendications UPN sont obligatoires dans ce scénario.

    • Si le partenaire de ressource a besoin de revendications d’identité (courrier électronique) pour prendre des décisions d’autorisation, activez la case à cocher Revendication d’identité (courrier électronique).

    • Si le partenaire de ressource a besoin de revendications de nom commun pour prendre des décisions d’autorisation, activez la case à cocher Revendication de nom commun.

  11. Si vous avez sélectionné Revendication UPN comme revendication d’identité, effectuez l’une des actions suivantes dans la page Suffixes de noms UPN acceptés, puis cliquez sur Suivant :

    • Si vous avez sélectionné l’option SSO de Web fédéré avec approbation de forêt, cliquez sur Tous les suffixes de noms UPN ou sur Seuls les suffixes de la liste suivante, tapez le suffixe accepté, puis cliquez sur Ajouter.

    • Si vous avez sélectionné l’option SSO de Web fédéré, sous Ajouter un nouveau suffixe, tapez le suffixe accepté, puis cliquez sur Ajouter.

  12. Si vous avez sélectionné Revendication d’identité (courrier électronique) comme revendication d’identité, effectuez l’une des actions suivantes dans la page Suffixes d’adresses de messagerie acceptés, puis cliquez sur Suivant :

    • Si vous avez sélectionné l’option SSO de Web fédéré avec approbation de forêt, cliquez sur Tous les suffixes d’adresses de messagerie ou sur Seuls les suffixes de la liste suivante, tapez le suffixe accepté, puis cliquez sur Ajouter.

    • Si vous avez sélectionné l’option SSO de Web fédéré, sous Ajouter un nouveau suffixe, tapez le suffixe accepté, puis cliquez sur Ajouter.

  13. Dans la page Activer ce partenaire de compte, si vous ne voulez pas activer le partenaire de compte immédiatement, désactivez la case à cocher Activer ce partenaire de compte, puis cliquez sur Suivant.

  14. Pour ajouter le nouveau partenaire de compte et fermer l’Assistant, cliquez sur Terminer.

Changement du nom d’un partenaire de compte importé

Vous pouvez utiliser la procédure suivante pour renommer un partenaire de compte importé.

Pour renommer un partenaire de compte importé
  1. Cliquez sur Démarrer, pointez sur Outils d’administration, puis cliquez sur Services ADFS (Active Directory Federation Services).

  2. Dans l’arborescence de la console, double-cliquez sur Service de fédération, Stratégie d’approbation, Organisations partenaires, puis Partenaires de comptes.

  3. Cliquez avec le bouton droit sur le partenaire de compte, puis cliquez sur Renommer.

  4. Tapez un nouveau nom pour le partenaire de compte.


Table des matières