Le service de fédération est un service de rôle des services ADFS (Active Directory Federation Services) pouvant être installé indépendamment des autres services de rôle AD FS. Il fonctionne comme un service d’émission de jeton de sécurité. Le fait de l’installer sur un ordinateur transforme ce dernier en serveur de fédération. Cette opération rend également disponible le composant logiciel enfichable Services de fédération ADFS dans le menu Outils d’administration sur cet ordinateur. Pour plus d’informations sur le composant AD FS, voir Utilisation du composant logiciel enfichable Services ADFS (Active Directory Federation Services).

Le service de fédération a été conçu pour utiliser les services de domaine Active Directory (AD DS) et fournir des jetons en réponse aux demandes de jetons de sécurité. Les domaines et forêts d’Active Directory peuvent ainsi fonctionner comme :

  • Des fournisseurs d’identité pouvant créer une fédération avec des partenaires de comptes et de ressources compatibles. En tant que fournisseur d’identité, le service de fédération peut utiliser des identités Active Directory sur Internet pour interagir avec des applications sur des fournisseurs de service compatibles.

  • Des fournisseurs de service pouvant créer une fédération avec des partenaires de comptes et de ressources compatibles. En tant que fournisseur de service, le service de fédération peut autoriser des identités d’autres organisations à accéder à des applications Windows ou ASP.NET de partenaires.

  • Des fournisseurs de jeton de sécurité pour des applications compatibles avec la spécification WS-F PRP (WS-Federation Passive Requestor Profile).

En tant que partenaire de compte, le service de fédération permet aux utilisateurs d’accéder à des ressources d’organisations partenaires. En réponse à une demande de partenaire de ressource, le service de fédération collecte et vérifie des informations d’identification d’utilisateur par rapport aux services de domaine Active Directory ou AD LDS (Active Directory Lightweight Directory Services). Le service de fédération peut remplir un ensemble de revendications d’organisation basé sur les attributs LDAP (Lightweight Directory Access Protocol) du compte d’utilisateur. Les revendications d’organisation sont ensuite mappées aux revendications appropriées pour le partenaire de ressource et rassemblées dans un jeton de sécurité, signé par le certificat de signature de jetons du service de fédération. Le jeton de sécurité obtenu est publié comme réponse à la demande d’origine du partenaire de ressource. Le partenaire de ressource utilise ensuite le jeton pour autoriser l’accès à cet utilisateur.

En tant que partenaire de ressource, le service de fédération occupe un rôle opposé. Lorsqu’un utilisateur tente d’accéder à une application protégée par les services ADFS (Active Directory Federation Services), le service de fédération détermine le partenaire de compte devant authentifier l’utilisateur. Il envoie ensuite une demande d’authentification à ce partenaire. Lorsque l’utilisateur revient avec un jeton de sécurité, le service de fédération vérifie que ce jeton a été correctement signé par le partenaire. Il extrait ensuite les revendications du jeton. Les revendications sont mappées à des revendications d’organisation et la stratégie de filtrage pour l’application spécifique est appliquée. Les revendications d’organisation filtrées sont réunies dans un jeton de sécurité qui est soit signé par le certificat de signature de jetons du service de fédération, soit protégé par une clé de session Kerberos pour l’application Web. Le jeton de sécurité obtenu est à nouveau publié sur l’URL (Uniform Resource Locator) de l’application d’origine. L’application utilise ensuite le jeton pour autoriser l’accès à cet utilisateur.

Les services ADFS (Active Directory Federation Services) utilisent le protocole WS-F PRP pour effectuer des revendications dans des jetons de sécurité émis par le service de fédération pour l’application Web. Pour plus d’informations sur les spécifications de WS-F PRP, voir Ressources pour les services ADFS (Active Directory Federation Services).

Ces revendications sont remplies initialement à partir de magasins de comptes, AD DS ou AD LDS. Le service de fédération émet des jetons basés sur les informations d’identification présentées. Une fois que les informations d’identification de l’utilisateur ont été vérifiées par le magasin de comptes, les revendications pour ce dernier sont générées selon les règles de la stratégie d’approbation. Le service de fédération mappe les revendications entrantes aux revendications sortantes appropriées pour un partenaire de ressource. Les mappages de revendications obtenus sont ajoutés à un jeton de sécurité émis pour le partenaire de ressource. Pour plus d’informations sur les revendications, voir Présentation des revendications.

Une fois que le jeton a été vérifié par le service de fédération, un cookie d’authentification est émis et créé sur le navigateur client. Chaque fois que le client doit être authentifié, le service de fédération utilise ce cookie afin que le client n’ait pas besoin d’entrer à nouveau des informations d’identification, ce qui entraîne l’activation de l’authentification unique (SSO). Pour plus d’informations sur les cookies, voir Présentation des cookies utilisés par les services ADFS (Active Directory Federation Services).

Pages Web du service de fédération

Le service de fédération fournit une page Web qui demande à l’utilisateur de sélectionner un partenaire de compte approprié auprès duquel l’utilisateur peut s’authentifier. Le service de fédération fournit également une page Web qui demande les informations d’identification de l’utilisateur, telles que le nom d’utilisateur et le mot de passe pour l’authentification basée sur les formulaires. Une autre page Web prend en charge l’authentification intégrée de Windows.

Derrière les pages Web, le service de fédération fournit un service Web Microsoft ASP.NET qui traite les demandes à partir du client ou du serveur proxy de fédération. Le serveur proxy de fédération appartient au réseau de périmètre. Il fonctionne en tant qu’intermédiaire entre un client Internet et un service de fédération dans le réseau intranet. Pour plus d’informations sur le rôle du serveur proxy de fédération, voir Présentation du service de rôle Proxy du service de fédération.

Il existe deux types de demande auxquels répond le service de fédération :

  • les demandes d’émission de jetons de sécurité ;

  • les demandes d’extraction de données de stratégie d’approbation.

Découverte du partenaire de compte

La découverte du partenaire de compte représente le processus selon lequel des utilisateurs peuvent identifier le partenaire de compte qu’ils préfèrent pour l’authentification, lorsque plusieurs partenaires de comptes ont été configurés. Le serveur de fédération présente ce choix au navigateur client sous la forme d’une zone déroulante contenant les noms de partenaires de comptes, selon leur configuration dans la stratégie d’approbation.

Pour éviter la découverte de partenaire de compte, vous pouvez inclure le paramètre whr dans la chaîne de requête pour la ressource accédée, par exemple,

https://webserver/testapp/testpage.aspx?whr=urn:federation:<accountpartner>

<accountpartner> indique le domaine du partenaire de compte du client.

Lorsque vous utilisez le paramètre whr, le serveur de fédération de ressources supprime ce paramètre et crée un cookie sur le navigateur client pour se souvenir de ce paramètre lors de futures demandes. Ensuite, la demande se poursuit comme s’il n’avait pas été fourni.


Table des matières