Présentation des organisations partenaires

Lorsque vous planifiez une collaboration entre des organisations (basée sur la fédération) à l’aide des services ADFS (Active Directory Federation Services), vous devez d’abord déterminer si votre organisation va héberger une ressource Web à laquelle d’autres organisations pourront accéder par Internet, ou l’inverse. Ce choix affecte le déploiement des services ADFS (Active Directory Federation Services). En outre, il s’avère essentiel dans la planification de votre infrastructure AD FS.

Pour des conceptions de fédération, tels que SSO de Web fédéré et SSO de Web fédéré avec approbation de forêt (mais pas la conception SSO de Web), les services ADFS (Active Directory Federation Services) utilisent des termes tels que « partenaire de compte » et « partenaire de ressource » pour différencier l’organisation qui héberge les comptes (le partenaire de compte) de l’organisation qui héberge les ressources basées sur Internet (le partenaire de ressource). Le terme « approbation de fédération » est utilisé dans les services ADFS (Active Directory Federation Services) pour caractériser la relation unidirectionnelle et non transitive établie entre le partenaire de compte et le partenaire de ressource.

Pour plus d’informations sur les conceptions AD FS, voir Présentation des conceptions de fédération.

Les sections suivantes décrivent certains concepts associés aux partenaires de comptes et aux partenaires de ressources.

Partenaire de compte

Un partenaire de compte représente l’organisation dans la relation d’approbation de fédération qui stocke physiquement des comptes d’utilisateurs dans un magasin des services de domaine Active Directory (AD DS) ou un magasin AD LDS (Active Directory Lightweight Directory Services). Le partenaire de compte est responsable de la récupération et de l’authentification des informations d’identification d’un utilisateur, en créant des revendications pour cet utilisateur, puis en regroupant ces revendications dans des jetons de sécurité. Ces jetons peuvent être présentés par une approbation de fédération pour accéder à des ressources Web, situées dans l’organisation d’un partenaire de ressource.

En d’autres termes, un partenaire de compte représente l’organisation dont le service de fédération côté compte émet des jetons de sécurité pour les utilisateurs. Le service de fédération dans l’organisation du partenaire de compte authentifie les utilisateurs locaux et crée des jetons de sécurité utilisés par le partenaire de ressource pour la prise de décisions d’autorisation.

Par rapport aux services de domaine Active Directory, le concept de partenaire de compte dans les services ADFS (Active Directory Federation Services) équivaut à une forêt AD DS unique dont les comptes doivent accéder à des ressources qui se trouvent physiquement dans une autre forêt. Les comptes qui se trouvent dans cet exemple de forêt peuvent accéder à des ressources dans la forêt de ressources uniquement lorsqu’une relation d’approbation externe ou de forêt existe entre les deux forêts, et que les ressources auxquelles les utilisateurs tentent d’accéder ont été définies avec les autorisations appropriées.

Remarques

Cette analogie est strictement destinée à souligner la similarité de la relation entre le compte et les organisations partenaires dans les services ADFS (Active Directory Federation Services), dans leur concept, et la relation entre une forêt de comptes et une forêt de ressources dans les services de domaine Active Directory. Les approbations externes et les approbations de forêt ne sont pas requises pour le fonctionnement des services ADFS (Active Directory Federation Services).

Production de revendications adressées au partenaire de ressource

Une revendication est une instruction effectuée par un serveur (nom, identité, clé, groupe, privilège ou fonctionnalité, par exemple) sur un client. Un partenaire de compte produit des revendications utilisées par le service de fédération du partenaire de ressource. La liste suivante décrit les différents types de revendications pouvant être configurés dans le partenaire de compte du côté du serveur de fédération de ressources :

Revendication de nom UPN

Lorsque vous configurez le partenaire de compte, vous pouvez spécifier une liste de domaines et de suffixes de noms UPN (User Principal Name) pouvant être acceptés par le partenaire de compte. En cas de réception d’une identité de nom UPN dont la partie de domaine ne se trouve pas dans la liste, la demande est rejetée.
Revendication d’identité (courrier électronique)

Lorsque vous configurez le partenaire de compte, vous pouvez spécifier une liste de domaines et de suffixes d’adresses de messagerie pouvant être acceptés par le partenaire de compte. Comme avec la revendication de nom UPN, en cas de réception d’une identité de courrier électronique dont la partie de domaine ne se trouve pas dans la liste, la demande est rejetée.
Revendication de nom commun

Lorsque vous configurez le partenaire de compte, vous pouvez spécifier si des revendications de nom commun peuvent être reçues du partenaire de compte. Ce type de revendication n’a pas besoin d’être mappé ; il est transféré s’il est activé.
Revendications de groupe

Lorsque vous configurez le partenaire de compte, vous pouvez spécifier un ensemble de revendications de groupe entrantes pouvant être acceptées par le partenaire. Vous pouvez ensuite associer chaque groupe entrant possible avec une revendication de groupe d’organisation. Remarquez que cette opération crée un mappage de groupe. Si un groupe entrant sans mappage est rencontré, il est supprimé.
Revendications personnalisées

Lorsque vous configurez le partenaire de compte, vous pouvez spécifier un ensemble de noms entrants de revendications personnalisées acceptés par le partenaire. Vous pouvez ensuite mapper chaque nom entrant possible avec une revendication personnalisée d’organisation. Remarquez que cette opération crée un mappage de nom. Si une revendication personnalisée entrante sans mappage est rencontrée, elle est supprimée.

Partenaire de ressource

Un partenaire de ressource constitue le second partenaire d’une organisation dans la relation d’approbation de fédération. Un partenaire de ressource représente l’organisation où résident les serveurs Web prenant en charge AD FS qui hébergent une ou plusieurs applications Web (les ressources). Le partenaire de ressource approuve le partenaire de compte pour l’authentification d’utilisateurs. Par conséquent, afin de prendre des décisions concernant l’authentification, le partenaire de ressource traite les revendications se trouvant dans des jetons de sécurité et provenant d’utilisateurs du partenaire de compte.

En d’autres termes, un partenaire de ressource représente l’organisation dont les serveurs Web prenant en charge AD FS sont protégés par le service de fédération côté ressource. Le service de fédération du partenaire de ressource utilise les jetons de sécurité produits par le partenaire de compte pour prendre des décisions d’autorisation concernant les serveurs Web prenant en charge AD FS du partenaire de ressource.

Pour fonctionner comme une ressource AD FS, le composant Agent Web AD FS des services ADFS (Active Directory Federation Services) doit être installé sur les serveurs Web prenant en charge AD FS de l’organisation du partenaire de ressource. Les serveurs Web qui fonctionnent en tant que ressource AD FS peuvent héberger des applications prenant en charge les revendications ou des applications basées sur une autorisation de jeton Windows NT.

	Remarques
	Si l’application hébergée sur le serveur Web prenant en charge AD FS est une application basée sur une autorisation de jeton Windows NT, un compte de ressource peut être requis pour la forêt AD DS dans l’organisation du partenaire de ressource.

Par rapport aux services de domaine Active Directory, le concept de partenaire de ressource équivaut à une forêt unique dont les ressources sont disponibles par une relation d’approbation externe ou de forêt avec des comptes physiquement stockés dans une autre forêt.

Remarques

Cette analogie est strictement destinée à souligner la similarité de la relation entre le compte et les organisations partenaires dans les services ADFS (Active Directory Federation Services) dans leur concept, avec la relation entre une forêt de comptes et une forêt de ressources dans les services de domaine Active Directory. Les approbations externes et les approbations de forêt ne sont pas requises pour le fonctionnement des services ADFS (Active Directory Federation Services).

Utilisation de revendications provenant du partenaire de compte

Un partenaire de ressource utilise les revendications produites par le service de fédération du partenaire de compte et que celui-ci place dans des jetons de sécurité. La liste suivante décrit la manière dont des revendications peuvent être envoyées au partenaire de ressource :

Revendication UPN

Lorsque vous configurez le partenaire de ressource, vous pouvez spécifier si une revendication de nom UPN doit être envoyée au partenaire de ressource. Vous pouvez aussi spécifier un mappage de suffixe, afin que tout suffixe soit mappé à un suffixe sortant spécifié. Par exemple, julianp@sales.tailspintoys.com peut être mappé à julianp@tailspintoys.com. Remarquez qu’un seul suffixe sortant peut être spécifié.
Revendication d’identité (courrier électronique)

Lorsque vous configurez le partenaire de ressource, vous pouvez spécifier si une revendication d’identité (courrier électronique) doit être envoyée au partenaire de ressource. Vous pouvez aussi spécifier un mappage de suffixe, afin que tout suffixe soit mappé à un suffixe spécifié. Par exemple, vernettep@sales.tailspintoys.com peut être mappé à vernettep@tailspintoys.com. Remarquez qu’un seul suffixe sortant peut être spécifié.
Revendication de nom commun

Lorsque vous configurez le partenaire de ressource, vous pouvez spécifier si des revendications de nom commun peuvent être envoyées au partenaire de ressource. Ce type de revendication n’a pas besoin d’être mappé ; il est transféré au partenaire de ressource s’il est activé.
Revendications de groupe

Lorsque vous configurez le partenaire de ressource, vous pouvez spécifier un ensemble de revendications de groupe sortantes qui seront acceptées par le partenaire de ressource. Vous pouvez ensuite associer chaque revendication de groupe sortante possible avec des revendications de groupe d’organisation. Remarquez que cette opération crée un ensemble de mappages de groupes. Les revendications de groupe d’organisation qui ne correspondent pas à une revendication de groupe sortante ne sont pas créées.
Revendications personnalisées

Lorsque vous configurez le partenaire de ressource, vous pouvez spécifier un ensemble de revendications personnalisées sortantes qui sont acceptées par le partenaire de ressource. Vous pouvez mapper chaque revendication personnalisée sortante possible à une revendication personnalisée d’organisation. Remarquez que cette opération crée un ensemble de mappages de noms. Les revendications personnalisées d’organisation qui ne correspondent pas à une revendication personnalisée sortante ne sont pas créées.

Protection étendue de la confidentialité

La protection étendue de la confidentialité constitue un paramètre facultatif que vous pouvez configurer sur un partenaire de ressource dans la stratégie d’approbation. Si l’option de protection étendue de la confidentialité est activée, ce paramètre procède au hachage du nom d’utilisateur dans les revendications de nom UPN sortantes et des revendications d’identité (courrier électronique). Il remplace le nom commun par une valeur aléatoire.

L’objectif de cette fonction est d’empêcher :