L’agent Web AD FS (Active Directory Federation Services) est un service de rôle des services ADFS (Active Directory Federation Services) que vous pouvez installer indépendamment des autres services de rôle AD FS. Le fait d’installer le service de rôle Agent Web AD FS sur un ordinateur transforme ce dernier en serveur Web prenant en charge AD FS.

Les serveur Web prenant en charge AD FS utilisent des jetons de sécurité et permettent d’autoriser ou de refuser l’accès d’un utilisateur à une application Web. Pour ce faire, le serveur Web prenant en charge AD FS a besoin d’une relation avec le service de fédération de ressources, afin de pouvoir diriger l’utilisateur vers le service de fédération, comme requis.

L’agent Web AD FS peut être utilisé pour deux types d’applications :

  • Application prenant en charge les revendications : application Microsoft ASP.NET créée pour publier des objets AD FS permettant l’interrogation de revendications de jeton de sécurité AD FS. Les applications prennent des décisions d’autorisation basées sur ces revendications.

  • Application basée sur une autorisation de jeton Windows NT : application qui utilise les mécanismes d’autorisation basés sur Windows. L’agent Web AD FS prend en charge la conversion à partir d’un jeton de sécurité AD FS en jeton d’accès Windows NT® au niveau de l’emprunt d’identité.

Le serveur Web prenant en charge AD FS stocke aussi des cookies HTTP (HyperText Transfer Protocol) sur des clients lorsque les cookies sont nécessaires pour faciliter l’authentification unique (SSO). L’agent Web AD FS comprend deux composants distincts :

  • Extension de l’agent basé sur les jetons Windows AD FS

  • Service d’authentification de l’agent Web AD FS

Extension de l’agent basé sur les jetons Windows AD FS

L’extension de l’agent basé sur les jetons Windows AD FS est une extension ISAPI (Internet Server Application Programming Interface) que vous pouvez utiliser pour configurer des informations dans la métabase des services Internet (IIS). Dans le Gestionnaire des services Internet, vous pouvez utiliser les pages de propriétés URL du service de fédération et Agent Web AD FS afin d’administrer la stratégie et les certificats qui vérifient le jeton de sécurité et les cookies AD FS.

Les propriétés de l’agent Web AD FS contenues dans le tableau suivant peuvent être héritées. Ces propriétés sont requises sur une ressource IIS si l’extension ISAPI doit prendre en charge le protocole WS-F PRP (WS-Federation Passive Requestor Profile).

Propriétés Description

URL du service de fédération

URL (Uniform Resource Locator) du service de fédération Cette URL est requise afin de pouvoir demander les informations d’approbation.

Chemin d’accès du cookie

Le chemin d’accès est spécifié lors de la création du cookie d’authentification.

Domaine du cookie

Domaine pour lequel le cookie est valide.

URL de renvoi

URL vers laquelle le jeton du service de fédération revient après l’authentification auprès du service de fédération. Cette URL doit correspondre à l’élément Audience du jeton. La vérification par rapport à l’élément Audience est effectuée par le service Windows.

Service d’authentification de l’agent Web AD FS

Le service d’authentification de l’agent Web AD FS valide les jetons et cookies entrants. Il s’exécute en tant que système local pour créer un jeton à l’aide de Service-for-User (S4U), ce qui vous permet d’obtenir un jeton Windows pour le client en fournissant un nom d’utilisateur principal (UPN) sans mot de passe, ou le package d’authentification AD FS. Cependant, le pool d’applications IIS n’est pas requis pour s’exécuter en tant que système local.

Le service d’authentification de l’agent Web AD FS possède des interfaces pouvant être appelées uniquement avec un appel de procédure distante local (LRPC), et pas un appel de procédure distante (RPC). Ce service renvoie un jeton d’accès Windows NT d’emprunt d’identité s’il reçoit un jeton de sécurité AD FS ou un cookie AD FS.

Voir aussi


Table des matières