Les services ADFS (Active Directory Federation Services) utilisent une terminologie provenant de différentes technologies, dont les services de certificats, les services Internet (IIS), les services de domaine Active Directory (AD DS), les services AD LDS (Active Directory Lightweight Directory Services) et les services Web (WS-*). Le tableau suivant fournit les définitions de ces termes.
| Terme | Description |
|---|---|
|
serveur de fédération de comptes |
Serveur de fédération qui se trouve dans le réseau d’entreprise de l’organisation du partenaire de compte. Le serveur de fédération de comptes émet des jetons de sécurité aux utilisateurs en fonction de l’authentification utilisateur. Le serveur authentifie un utilisateur, extrait les attributs appropriés et les informations d’appartenance au groupe du magasin de comptes, puis génère et signe un jeton de sécurité à renvoyer à l’utilisateur, qu’il pourra utiliser dans sa propre organisation ou envoyer à une organisation partenaire. |
|
serveur proxy de fédération de comptes |
Serveur proxy de fédération qui se trouve dans le réseau de périmètre de l’organisation du partenaire de compte. Le serveur proxy de fédération de comptes collecte les informations d’authentification d’un client qui ouvre une session sur Internet (ou depuis le réseau de périmètre) et transmet ces informations au serveur de fédération de comptes. |
|
partenaire de compte |
Partenaire de fédération, approuvé par le service de fédération, qui émet des jetons de sécurité à ses utilisateurs (c’est-à-dire les utilisateurs présents dans l’organisation du partenaire de compte), afin qu’ils puissent accéder aux applications Web du partenaire de ressource. |
|
services ADFS (Active Directory Federation Services) |
Composant Windows Server 2003 R2, Windows Server 2008 et Windows Server 2008 R2 qui fournit des technologies Web d’authentification unique (SSO) pour authentifier un utilisateur dans plusieurs applications Web au cours d’une session en ligne unique. Les services ADFS (Active Directory Federation Services) y parviennent en partageant de manière sécurisée l’identité numérique et les droits accordés à travers les limites de sécurité et d’entreprise. Les services ADFS (Active Directory Federation Services)prennent en charge le protocole WS-F PRP (WS-Federation Passive Requestor Profile). |
|
agent Web AD FS |
Service de rôle installable des services ADFS (Active Directory Federation Services) qui permet de créer un serveur Web prenant en charge AD FS. Un agent Web AD FS utilise les jetons de sécurité entrants et les cookies d’authentification signés par un serveur de fédération valide pour autoriser ou refuser l’accès utilisateur à l’application protégée, tout en prenant en considération les paramètres de contrôle d’accès spécifiques à l’application. |
|
serveur Web prenant en charge AD FS |
Serveur Web exécutant Windows Server 2003 R2, Windows Server 2008 ou Windows Server 2008 R2 et configuré avec le logiciel Agent Web AD FS approprié (soit l’agent prenant en charge les revendications, soit l’agent basé sur les jetons Windows), qui est nécessaire pour l’authentification et l’autorisation de l’accès fédéré aux applications Web hébergées localement. |
|
revendication |
Instruction effectuée par un serveur (nom, identité, clé, groupe, privilège ou fonctionnalité, par exemple) sur un client. |
|
application prenant en charge les revendications |
Application Microsoft ASP.NET qui effectue une autorisation basée sur les revendications présentes dans un jeton de sécurité AD FS. |
|
mappage de revendications |
Action de mapper, supprimer, filtrer ou transmettre des revendications entre différents ensembles de revendications. |
|
page Web de découverte de partenaire de compte client |
Page Web qui interagit avec l’utilisateur pour connaître le partenaire de compte auquel il appartient, lorsque les services ADFS (Active Directory Federation Services) ne parviennent pas à déterminer automatiquement les partenaires de comptes qui doivent authentifier l’utilisateur. |
|
certificat d’authentification client |
Dans les services ADFS (Active Directory Federation Services), il s’agit d’un certificat utilisé par les serveurs proxy de fédération pour authentifier un client auprès du service de fédération. |
|
page Web de fermeture de session client |
Lorsque les services ADFS (Active Directory Federation Services) effectuent une opération de fermeture de session, il s’agit d’une page Web démarrée pour fournir des commentaires visuels à l’utilisateur l’informant de la fermeture de session. |
|
page Web d’ouverture de session client |
Lorsque les services ADFS (Active Directory Federation Services) collectent les informations d’identification d’un client, il s’agit d’une page Web démarrée pour l’interaction avec l’utilisateur. La page Web d’ouverture de session client peut utiliser toute logique d’entreprise nécessaire pour déterminer le type d’informations d’identification à collecter. |
|
application fédérée |
Application Web AD FS, ce qui signifie que les utilisateur fédérés peuvent y accéder. |
|
utilisateur fédéré |
Utilisateur, dont le compte réside dans une organisation partenaire de compte, qui peut accéder aux applications fédérées qui résident dans une organisation partenaire de ressource. |
|
fédération |
Paire de domaines Kerberos ou de domaines ayant établi une approbation de fédération. |
|
serveur de fédération |
Ordinateur exécutant Windows Server 2003 R2, Windows Server 2008 ou Windows Server 2008 R2 qui a été configuré pour héberger le composant Service de fédération des services ADFS (Active Directory Federation Services). Les serveurs de fédération peuvent authentifier ou acheminer les requêtes à partir de comptes d’utilisateurs situés dans d’autres organisations ou à partir de clients pouvant se trouver n’importe où sur Internet. |
|
serveur proxy de fédération |
Ordinateur exécutant Windows Server 2003 R2, Windows Server 2008 ou Windows Server 2008 R2 qui a été configuré pour héberger le composant Proxy du service de fédération des services ADFS (Active Directory Federation Services). Les serveurs proxy de fédération fournissent des services de proxy intermédiaires entre un client Internet et un serveur de fédération qui se trouve derrière un pare-feu sur un réseau d’entreprise. |
|
Service de fédération |
Service de rôle installable des services ADFS (Active Directory Federation Services) qui est utilisé pour créer un serveur de fédération. Une fois installé, le service de fédération fournit des jetons en réponse aux demandes de jetons de sécurité. Plusieurs serveurs de fédération peuvent être configurés pour assurer la tolérance de panne et l’équilibrage de charge pour un service de fédération unique. |
|
Proxy du service de fédération |
Service de rôle installable des services ADFS (Active Directory Federation Services) qui est utilisé pour créer un serveur proxy de fédération. Une fois installé, le service de rôle Proxy du service de fédération utilise les protocoles WS-F PRP pour récupérer des informations d’identification d’utilisateur à partir de clients de navigateur et d’applications Web, puis envoie les informations au service de fédération de leur part. |
|
revendications d’organisation |
Revendications sous forme intermédiaire ou normalisée au sein de l’espace de noms d’une organisation. |
|
client passif |
Navigateur HTTP (HyperText Transfer Protocol), avec d’importantes fonctionnalités de prise en charge du protocole HTTP, pouvant utiliser des cookies. Les services ADFS (Active Directory Federation Services) dans Windows Server 2003 R2, Windows Server 2008 et Windows Server 2008 R2 prennent uniquement en charge les clients passifs et respectent la spécification WS-F PRP. |
|
compte de ressource |
Entité de sécurité unique, généralement un compte d’utilisateur, qui est créée dans les services de domaine Active Directory et qui est utilisée pour le mappage à un utilisateur fédéré unique. Un compte de ressource est requis lorsque vous fédérez des applications basées sur une autorisation de jeton Windows NT car l’agent basé sur les jetons Windows doit faire référence à une entité de sécurité Active Directory dans la forêt du partenaire de ressource pour créer le jeton d’accès Windows NT, et ainsi appliquer les autorisations de contrôle d’accès sur l’application. |
|
serveur de fédération de ressources |
Serveur de fédération dans l’organisation partenaire de ressource. Le serveur de fédération de ressources émet généralement des jetons de sécurité aux utilisateurs en fonction du jeton de sécurité qui est émis par un serveur de fédération de comptes. Le serveur :
|
|
serveur proxy de fédération de ressources |
Serveur proxy de fédération qui se trouve dans le réseau de périmètre de l’organisation du partenaire de ressource. Le serveur proxy de fédération de ressources assure la découverte de partenaire de compte pour les clients Internet, ainsi que l’acheminement des jetons de sécurité entrants au serveur de fédération de ressources. |
|
groupe de ressources |
Groupe de sécurité unique, qui est créé dans les services de domaine Active Directory, auquel sont mappées les revendications de groupe entrantes (revendications de groupe AD FS du partenaire de compte). Une fois que les utilisateurs fédérés ont été mappés à un groupe de ressources, les serveurs Web prenant en charge AD FS peuvent prendre des décisions d’autorisation pour les applications basées sur une autorisation de jeton Windows NT en fonction des autorisations d’accès qui sont attribuées à l’identificateur de sécurité (SID) pour le groupe de ressources. |
|
partenaire de ressource |
Partenaire de fédération qui approuve le service de fédération en ce qui concerne l’émission de jetons de sécurité basés sur les revendications pour les applications Web (c’est-à-dire les applications dans l’organisation du partenaire de ressource) auxquelles peuvent accéder les utilisateurs du partenaire de compte. |
|
jeton de sécurité |
Unité de donnée signée sous forme chiffrée qui exprime une ou plusieurs revendications. Dans les services ADFS (Active Directory Federation Services), un jeton de sécurité signé indique que le serveur de fédération qui émet le jeton de sécurité à vérifié l’authenticité de l’utilisateur fédéré. |
|
service d’émission de jeton de sécurité |
Service Web qui émet des jetons de sécurité. Un service d’émission de jeton de sécurité effectue des assertions basées sur une preuve qu’il approuve et pour quiconque l’approuve (ou pour des destinataires spécifiques). Pour communiquer une approbation, un service a besoin d’une preuve, telle qu’une signature pour attester de la connaissance d’un jeton de sécurité ou d’un ensemble de jetons de sécurité. Un service même peut générer des jetons ou dépendre d’un service de jetons de sécurité pour émettre un jeton de sécurité avec sa propre déclaration d’approbation. Cela compose la base de la répartition d’approbation. Dans les services ADFS (Active Directory Federation Services), le service de fédération est un service d’émission de jeton de sécurité. |
|
certificat d’authentification serveur |
Les serveurs Web prenant en charge AD FS, les serveurs de fédération et les serveurs proxy de fédération utilisent les certificats d’authentification serveur pour sécuriser le trafic des services Web pour la communication entre eux et avec les clients Web. |
|
batterie de serveurs |
Dans les services ADFS (Active Directory Federation Services), ensemble de serveurs de fédération à charge équilibrée, de serveurs proxy de fédération ou de serveurs Web hébergeant l’agent Web AD FS. |
|
authentification unique (SSO) |
Optimisation de la séquence d’authentification pour éliminer la charge de travail que représentent des ouvertures de session répétées d’un utilisateur final. |
|
certificat de signature de jetons |
Certificat X.509 dont la paire de clés publique/privée associée est utilisée par les serveurs de fédération pour signer numériquement tous les jetons de sécurité qu’ils produisent. |
|
URI (Uniform Resource Identifier) |
Chaîne compacte de caractères qui identifie une ressource abstraite ou physique. Les URI sont décrits dans le document RFC (Request For Comments) 2396 à l’adresse |
|
certificat de vérification |
Certificat qui représente la partie clé publique d’un certificat de signature de jetons. Un certificat de vérification est stocké dans la stratégie d’approbation et est utilisé par le serveur de fédération d’une organisation pour vérifier que les jetons de sécurité entrants ont été émis par des serveurs de fédération valides dans la batterie de l’organisation et dans d’autres organisations. |
|
services Web (WS-*) |
Spécifications d’une architecture de services Web basées sur des normes industrielles, telles que SOAP (Simple Object Access Protocol), XML, WSDL (Web Service Description Language) et UDDI (Universal Description, Discovery, and Integration). WS-* fournit une base pour créer des solutions d’entreprise complètes et pouvant interagir entre elles pour l’ensemble de l’entreprise, y compris la possibilité de gérer une identité et une sécurité fédérées. Le modèle de services Web est basé sur l’idée que les systèmes d’entreprise sont créés dans différents langages, avec des modèles de programmation distincts, exécutés par de nombreux types de périphériques différents qui y accèdent. Les services Web constituent un moyen de créer des systèmes distribués pouvant se connecter et interagir entre eux aisément et efficacement sur Internet, quel que soit le langage dans lequel ils ont été créés ou la plateforme sur laquelle ils sont exécutés. |
|
Web Services Security (WS-Security) |
Série de spécifications qui décrivent comment joindre des en-têtes de signature et de chiffrement à des messages SOAP. En outre, WS-Security explique comment joindre des jetons de sécurité, y compris des jetons de sécurité binaires tels que des certificats X.509 et des tickets Kerberos, aux messages. Dans les services ADFS (Active Directory Federation Services), WS-Security intervient lorsque Kerberos signe des jetons de sécurité. |
|
Application basée sur une autorisation de jeton Windows NT |
Application Windows dépendant d’un jeton Windows NT pour procéder à l’autorisation d’utilisateurs. |
|
WS-Federation |
Spécification qui définit un modèle et un ensemble de messages pour la répartition d’approbation et la fédération d’identité, ainsi que les informations d’authentification pour différents domaines d’approbation. La spécification WS-Federation identifie deux sources d’identité et des demandes d’authentification pour des domaines d’approbation :
|
|
WS-Federation Passive Requestor Profile (WS-F PRP) |
Implémentation de la spécification WS-Federation qui propose un protocole standard pour l’application de clients passifs (tels que des navigateurs Web) à l’infrastructure de la fédération. Au sein de ce protocole, les requêtes de service Web sont censées accepter les nouveaux mécanismes de sécurité et interagir avec des fournisseurs de service Web. |