Tous les serveurs proxy de fédération utilisent un certificat d’authentification client pour s’authentifier auprès du service de fédération. Vous pouvez utiliser n’importe quel certificat ayant une utilisation améliorée de la clé pour l’authentification client et étant lié à une autorité de certification racine de confiance sur le serveur de fédération comme certificat d’authentification client pour le serveur proxy de fédération. Vous devez par ailleurs ajouter explicitement le certificat d’authentification client à la stratégie d’approbation. Toutefois, seul le serveur proxy de fédération contient la clé privée associée au certificat d’authentification client du serveur proxy de fédération. Vous pouvez installer un certificat d’authentification client en vous connectant à une autorité de certification d’entreprise ou en créant un certificat auto-signé.

Important

N’utilisez pas un certificat émis par votre autorité de certification d’entreprise pour l’authentification client d’un utilisateur Active Directory (particulièrement un administrateur de domaine), car la clé privée est stockée sur le serveur proxy de fédération. Le stockage d’une clé privée sur le serveur proxy de fédération permet à un administrateur ou à un intrus d’assumer l’identité représentée par le certificat.

Pour des informations générales sur l’installation de certificats d’authentification client lorsque vous utilisez les Services de certificats Microsoft comme autorité de certification d’entreprise, voir la page relative à l’envoi d’une demande de certificat avancée via le Web à une autorité de certification Windows Server 2003, à l’adresse https://go.microsoft.com/fwlink/?linkid=64020 (éventuellement en anglais).


Table des matières