Présentation des magasins de comptes

Les services ADFS (Active Directory Federation Services) sont étroitement intégrés aux services de domaine Active Directory. Les services ADFS (Active Directory Federation Services) extraient des attributs d’utilisateur et authentifient des utilisateurs par rapport aux services de domaine Active Directory. Les services ADFS (Active Directory Federation Services) utilisent aussi l’authentification intégrée de Windows et les jetons de sécurité créés par les services de domaine Active Directory.

Pour qu’un utilisateur se connecte aux services de domaine Active Directory, le nom d’utilisateur doit être au format de nom d’utilisateur principal (UPN) (utilisateur@adatum.com) ou au format de nom de compte SAM (Security Accounts Manager) (adatum\utilisateur).

Des jetons d’accès sont générés lorsqu’un utilisateur se connecte. Ils contiennent les identificateurs de sécurité (SID) de l’utilisateur et des groupes auxquels il appartient. Une copie du jeton d’accès est affectée à chaque processus démarré par l’utilisateur.

Une fois que l’utilisateur est connecté et que son identité a été empruntée, les SID sont énumérés à partir du jeton d’accès. Ces SID sont ensuite mappés aux revendications de groupe d’organisation.

Attention

Lorsque vous activez l’option d’approbation Windows dans le service de fédération de comptes, vous envoyez des SID à l’organisation du partenaire de ressource sur Internet, ce qui peut présenter un risque à la sécurité. Ces SID sont placés dans le jeton SMAL (Security Assertion Markup Language) des services ADFS (Active Directory Federation Services). Par conséquent, activez uniquement cette option lorsque vous utilisez la conception SSO de Web fédéré avec approbation de forêt. Cette conception est destinée à établir une communication sécurisée dans la même organisation.

Les revendications d’identité (courrier électronique), de nom commun et personnalisées peuvent être extraites à partir d’attributs d’objet utilisateur définis dans les services de domaine Active Directory, lorsque le compte du service de fédération sert à effectuer une recherche d’objet LDAP.

Le compte du service de fédération doit disposer d’un accès à l’objet utilisateur. Si l’objet utilisateur réside dans un domaine différent de celui où réside le compte du service de fédération, le premier domaine doit disposer d’une approbation de domaine AD DS en place pour le deuxième domaine.

Il n’existe aucun moyen direct pour déterminer si un nom d’utilisateur spécifique existe dans les services de domaine Active Directory ou dans l’ensemble des répertoires qu’ils approuvent (de manière directe ou transitive). Les services de domaine Active Directory renvoient un échec d’autorisation uniquement si la tentative d’ouverture de session échoue en raison des restrictions de stratégie. Voici des exemples d’échecs de restriction de stratégie :

• Le compte est désactivé.
  
  
• Le mot de passe du compte a expiré.
  
  
• Le compte n’est plus autorisé à ouvrir une session sur cet ordinateur.
  
  
• Le compte fait l’objet de restrictions horaires et n’est pas autorisé à ouvrir une session à cet instant.
  
  

Sinon, les échecs d’ouverture de session du magasin de comptes AD DS ne font jamais autorité et le magasin de comptes de priorité suivante fait l’objet d’une tentative. Pour plus d’informations sur les échecs d’ouverture de session de magasin de comptes, voir Résolution des problèmes liés aux services ADFS (Active Directory Federation Services).

Les services AD LDS fournissent un stockage et une extraction de données pour les applications utilisant un annuaire, sans les dépendances requises pour les services de domaine Active Directory. Les services AD LDS se rapprochent beaucoup des services de domaine Active Directory en termes de fonctionnalités, sans pour autant nécessiter le déploiement de domaines ou de contrôleurs de domaine. De manière similaire à l’utilisation des informations de magasin de comptes des services de domaine Active Directory par les services ADFS (Active Directory Federation Services), les services ADFS (Active Directory Federation Services) extraient également les attributs utilisateur et authentifient les utilisateurs avec les services AD LDS.

	Remarques
	Les services ADFS (Active Directory Federation Services) ne peuvent authentifier les comptes AD LDS utilisant des parenthèses dans le nom de compte. Les comptes disposant de parenthèses ouvertes dans le nom d’utilisateur font échouer la recherche LDAP, car le nom d’utilisateur forme un filtre LDAP non valide.

Le compte Service de fédération obtient les revendications qui sont utilisées pour effectuer une recherche LDAP de l’objet. Pour plus d’informations, voir Présentation des revendications. Cette procédure s’effectue en deux étapes :

• D’abord, le compte du service de fédération recherche l’objet utilisateur en fonction de l’objet dont l’attribut configuré équivaut au nom d’utilisateur fourni. Le compte du service de fédération utilise l’authentification Kerberos ou le chiffrement NTLM pour protéger cette communication.
  
  

  	Remarques
  	Ce processus nécessite d’associer le serveur AD LDS à un domaine qui approuve le domaine auquel le service de fédération appartient.

• Ensuite, les informations d’identification de l’utilisateur sont validées par le biais d’une liaison LDAP à l’objet utilisateur trouvé avec le mot de passe fourni. Si TLS/SSL (Transport Layer Security and Secure Sockets Layer) est configuré pour les propriétés du magasin de comptes AD LDS dans la stratégie d’approbation, les informations d’identification de l’utilisateur sont protégées.
  
  

  	Important
  	Nous vous recommandons fortement de protéger le trafic entre le serveur AD LDS et le serveur de fédération par TLS/SSL ou d’autres moyens, tels que la sécurité du protocole Internet (IPsec).

Si plusieurs objets sont renvoyés à partir de la requête LDAP avec le nom d’utilisateur fourni, il s’agit d’un échec d’authentification.

Le compte d’utilisateur fait d’abord l’objet d’une recherche dans le magasin de comptes AD LDS s’il est configuré, puis les autres magasins LDAP sont configurés dans cet ordre. Si l’un des magasins trouve le compte d’utilisateur, il ouvre une session faisant autorité pour l’utilisateur et aucun autre magasin de comptes n’est appelé pour traiter la demande d’ouverture de session de l’utilisateur.

Lorsqu’un utilisateur effectue une demande d’ouverture de session auprès des services de domaine Active Directory ou AD LDS via un client AD FS, la demande est immédiatement passée au magasin de comptes spécifié. Cependant, si l’URI (Uniform Resource Identifier) du magasin de comptes n’est pas spécifié, le service de fédération teste chacun des magasins par ordre de priorité pour connecter l’utilisateur. Le résultat de l’authentification est renvoyé si :

• un seul magasin a été configuré et que les informations de vérification d’identité sont renvoyées ;
  
  
• l’URI du magasin a été spécifié dans la demande d’ouverture de session et que les informations de vérification d’identité sont renvoyées ;
  
  
• le résultat de l’authentification par l’un des magasins fait autorité ;
  
  
• l’authentification par l’un des magasins a réussi.
  
  

Chaque magasin de comptes peut être marqué comme activé ou désactivé. Si un magasin de comptes est désactivé, il ne participe à aucune opération associée à un magasin de comptes. Les cookies avec des revendications d’un magasin de comptes actuellement désactivé sont ignorés ou supprimés, tandis que le client est dirigé vers la page d’ouverture de session.