Dans les conceptions AD FS (Active Directory Federation Services), divers certificats peuvent être utilisés pour sécuriser la communication et faciliter l’authentification utilisateur et les demandes d’autorisation qui sont envoyées aux serveurs de fédération, aux serveurs proxy de fédération et aux serveurs Web prenant en charge AD FS.

Pour des informations générales sur sur les certificats, voir la page relative à l’infrastructure à clé publique pour Windows Server 2003 à l’adresse https://go.microsoft.com/fwlink/?LinkId=19936 (éventuellement en anglais).

Certificats utilisés par les serveurs de fédération

Chaque serveur de fédération doit posséder un certificat d’authentification serveur et un certificat de signature de jetons avant de pouvoir prendre part à des communications AD FS. La stratégie d’approbation exige un certificat associé, ou certificat de vérification, qui constitue la partie clé publique du certificat de signature de jetons.

Certificats d’authentification serveur

Le serveur de fédération utilise les certificats d’authentification serveur SSL (Secure Sockets Layer) pour sécuriser le trafic des services Web pour la communication avec les clients Web ou le serveur proxy de fédération. Ces certificats sont requis et installés via le composant logiciel enfichable Services Internet (IIS).

Certificats de signature de jetons

Les serveurs de fédération utilisent un certificat de signature de jetons pour signer numériquement tous les jetons de sécurité qu’ils produisent. Étant donné que chaque jeton de sécurité est signé numériquement par le partenaire de compte, le partenaire de ressource peut vérifier qu’il a bien été émis par le partenaire de compte et qu’il n’a pas été modifié. Cela empêche les pirates de falsifier ou de modifier les jetons de sécurité pour accéder frauduleusement à des ressources.

Les signatures numériques sur les jetons de sécurité sont également utilisées au niveau du partenaire de compte lorsque plusieurs serveurs de fédération sont utilisés. Dans ce cas, les signatures numériques vérifient l’origine et l’intégrité des jetons de sécurité qui sont émis par les autres serveurs de fédération au niveau du partenaire de compte. Ces signatures sont vérifiées avec des certificats de vérification.

Remarques

Chaque certificat de signature de jetons est associé à une clé privée.

Certificats de vérification

Les certificats de vérification permettent de vérifier qu’un jeton de sécurité a bien été émis par un serveur de fédération valide et qu’il n’a pas été modifié. Il s’agit en fait des certificats de signature de jetons des autres serveurs de fédération.

Pour vérifier qu’un jeton de sécurité a bien été émis par un serveur de fédération donné et qu’il n’a pas été modifié, le serveur de fédération doit disposer d’un certificat de vérification pour le serveur de fédération qui a émis le jeton de sécurité. Par exemple, si le serveur de fédération A émet un jeton de sécurité et l’envoie au serveur de fédération B, ce dernier doit avoir un certificat de vérification (certificat de signature de jetons du serveur de fédération A) pour le serveur de fédération A.

Remarques

Contrairement au certificat de signature de jetons, le certificat de vérification ne contient pas la clé privée qui est associée au certificat.

Certificats utilisés par les serveurs proxy de fédération

Les serveurs qui exécutent le service de rôle Proxy du service de fédération doivent utiliser un certificat d’authentification client et un certificat d’authentification serveur.

Certificats d’authentification client

Tous les serveurs proxy de fédération utilisent un certificat d’authentification client SSL pour s’authentifier auprès du service de fédération. N’importe quel certificat avec une utilisation améliorée de la clé pour l’authentification client peut faire office de certificat d’authentification client du serveur proxy de fédération. Une copie du certificat d’authentification client du serveur proxy de fédération est stockée à la fois sur le serveur proxy de fédération et dans la stratégie d’approbation du serveur de fédération. Toutefois, seul le serveur proxy de fédération contient la clé privée associée au certificat d’authentification client du serveur proxy de fédération.

Remarques

Dans l’interface utilisateur de la stratégie d’approbation du composant logiciel enfichable Services ADFS (Active Directory Federation Services), les certificats d’authentification client sont appelés « certificats du proxy de service de fédération ».

Certificats d’authentification serveur

Le serveur proxy de fédération utilise les certificats d’authentification serveur SSL pour sécuriser le trafic des services Web pour la communication avec les clients Web. Ces certificats sont requis et installés via le composant logiciel enfichable Gestionnaire des services Internet (IIS).

Certificats utilisés par les serveurs Web prenant en charge AD FS

Chaque serveur Web prenant en charge AD FS qui héberge un agent Web AD FS utilise des certificats d’authentification serveur SSL pour communiquer de manière sécurisée avec les clients Web. Ces certificats sont requis et installés via le composant logiciel enfichable Gestionnaire des services Internet (IIS).


Table des matières