Les services ADFS (Active Directory Federation Services) prennent en charge les conceptions d’identités fédérées (aussi appelées scénarios de fédération) qui utilisent les spécifications Web Services Federation (WS-Federation), WS-Federation Passive Requestor Profile (WS-F PRP) et WS-Federation Passive Requestor Interoperability Profile. La solution AD FS aide les administrateurs à relever les défis de la gestion des identités fédérées en permettant aux organisations de partager en toute sécurité les informations de sécurité des utilisateurs à l’aide d’approbations de fédération. Les descriptions de trois conceptions de déploiement qui suivent expliquent comment utiliser une combinaison de rôles de serveur AD FS pour fédérer les identités, en fonction des besoins de votre organisation. Pour plus d’informations sur les différents rôles de serveur, voir Présentation des services de rôle AD FS.
SSO de Web fédéré
La conception SSO de Web fédéré implique une communication sécurisée, qui concerne souvent plusieurs pare-feu, réseaux de périmètre et serveurs de résolution de noms, en plus de toute l’infrastructure de routage Internet. La communication par un environnement SSO de Web fédéré peut rendre les transactions en ligne plus efficaces et plus sûres entre des organisations partageant des relations d’approbation de fédération.
Comme le montre l’illustration suivante, une relation d’approbation de fédération peut être établie entre deux entreprises. Dans cette conception, les serveurs de fédération acheminent les demandes d’authentification des comptes d’utilisateurs de Tailspin Toys vers des applications Web situées sur le réseau d’Online Retailer.
Les serveurs de fédération authentifient les demandes émanant des partenaires approuvés d’après les informations d’identification des partenaires. Les représentations de ces informations sont échangées sous forme de jetons de sécurité.
Pour plus de sécurité, vous pouvez utiliser des serveurs proxy de fédération pour relayer les demandes aux serveurs de fédération qui ne sont pas directement accessibles depuis Internet.
SSO de Web fédéré avec approbation de forêt
La conception SSO de Web fédéré avec approbation de forêt implique deux forêts Active Directory dans une seule organisation, comme dans l’illustration suivante. Une des forêts se trouve dans le réseau de périmètre de l’organisation (également appelé zone démilitarisée, extranet ou sous-réseau filtré). L’autre forêt se trouve sur le réseau interne. Une approbation de forêt unidirectionnelle est établie de façon à ce que la forêt située dans le réseau de périmètre approuve la forêt du réseau interne. Des serveurs de fédération sont déployés dans les deux réseaux. Une approbation de fédération est établie, pour que les comptes de la forêt interne puissent être utilisés pour accéder à une application Web du réseau de périmètre, qu’ils accèdent au site depuis la forêt de l’intranet ou depuis Internet.
Dans cette conception, les utilisateurs externes, tels que les clients, peuvent accéder à l’application Web en s’authentifiant auprès du serveur de fédération de comptes externes, qui se trouve dans le réseau de périmètre. Les utilisateurs externes ont des comptes d’utilisateurs dans la forêt Active Directory du réseau de périmètre. Les utilisateurs internes, tels que les employés, peuvent également accéder à l’application Web en s’authentifiant auprès du serveur de fédération de comptes internes, qui se trouve sur le réseau interne. Les utilisateurs internes ont des comptes d’utilisateurs dans la forêt Active Directory interne.
Si l’application Web est une application basée sur une autorisation de jeton Windows NT, l’agent Web AD FS exécuté sur le serveur d’applications Web intercepte les demandes et crée des jetons de sécurité Windows NT, lesquels sont requis par l’application Web pour prendre des décisions relatives aux autorisations. Pour les utilisateurs externes, cette méthode d’authentification est possible car le serveur Web prenant en charge AD FS qui héberge l’application basée sur une autorisation de jeton Windows NT est relié au domaine de la forêt externe. Les utilisateurs internes en bénéficient par le biais de la relation d’approbation de forêt qui existe entre la forêt de périmètre et la forêt interne.
Si l’application Web prend en charge les revendications, l’agent Web AD FS exécuté sur le serveur d’applications Web n’a pas besoin de créer de jetons de sécurité Windows NT pour les utilisateurs. L’agent Web AD FS peut présenter les revendications qu’il reçoit, ce qui permet à l’application de prendre des décisions relatives aux autorisations d’après le contenu du jeton de sécurité fourni par le serveur de fédération de comptes. Ainsi, lorsque le serveur Web prenant en charge AD FS déploie des applications prenant en charge les revendications, il n’a pas à être associé au domaine et l’approbation entre la forêt externe et la forêt interne n’est pas obligatoire.
SSO de Web
Dans la conception SSO de Web AD FS , les utilisateurs ne doivent s’authentifier qu’une seule fois pour accéder à plusieurs applications Web. Dans cette conception, tous les utilisateurs sont externes et il n’existe aucune approbation de fédération. Comme les serveurs Web prenant en charge AD FS doivent être accessibles via Internet et reliés au domaine Active Directory, ils sont connectés à deux réseaux ; ils sont donc multirésidents. Le premier réseau est tourné vers Internet (le réseau de périmètre) en vue d’offrir la connectivité nécessaire. Le second contient la forêt Active Directory (le réseau protégé), qui n’est pas directement accessible depuis Internet. Le serveur proxy de fédération est également multirésident, afin de fournir la connectivité nécessaire au serveur de fédération et à Internet. Dans cette conception, le fait de placer le serveur de fédération sur un réseau qui n’est pas directement accessible depuis Internet réduit considérablement le risque pour ce serveur de fédération.