Les services ADFS (Active Directory Federation Services) ne sont opérationnels que si les serveurs exécutant Windows Server 2008 ou Windows Server 2008 R2 sont configurés avec les services de rôle AD FS appropriés. Les services de rôle AD FS sont des composants AD FS individuels que vous installez sur des serveurs exécutant Windows Server 2008 ou Windows Server 2008 R2. Vous pouvez installer les services de rôle AD FS suivants à l’aide de l’Assistant Ajout de rôles :

  • Service de fédération

  • Proxy du service de fédération

  • Agent prenant en charge les revendications

  • Agent basé sur les jetons Windows

Selon l’environnement de votre organisation, des rôles de serveur AD FS spécifiques doivent être déployés. Les sections suivantes décrivent les rôles de serveur associés aux services de rôle AD FS que vous pouvez utiliser pour fournir une solution de gestion d’identités fédérées AD FS.

Serveurs de fédération

Les serveurs de fédération hébergent le service de rôle Service de fédération des services ADFS (Active Directory Federation Services). Ces serveurs acheminent les requêtes d’authentification à partir de comptes d’utilisateurs situés dans d’autres organisations (dans des conceptions SSO [Single-Sign-On] de Web fédéré) ou à partir de clients pouvant se trouver n’importe où sur Internet (dans la conception SSO de Web). Pour plus d’informations sur les différentes conceptions AD FS, voir Présentation des conceptions de fédération.

Les serveurs de fédération hébergent aussi un service d’émission de jeton de sécurité qui émet des jetons en fonction des informations d’identification (par exemple le nom d’utilisateur et le mot de passe) qui lui sont indiquées. Après la vérification des informations d’identification (effectuée lors de l’ouverture de session de l’utilisateur), les revendications de l’utilisateur sont collectées par l’examen des attributs de cet utilisateur, lesquels sont stockés dans les services de domaine Active Directory (AD DS) ou Active Directory Lightweight Directory Services (AD LDS).

Pour plus d’informations sur les serveurs de fédération, voir Présentation du service de rôle Service de fédération.

Serveurs proxy de fédération

Les serveurs proxy de fédération hébergent le service de rôle Proxy du service de fédération des services ADFS (Active Directory Federation Services). Vous pouvez déployer les serveurs proxy de fédération dans le réseau de périmètre de votre organisation (aussi appelé zone démilitarisée, extranet ou sous-réseau filtré) pour transférer les demandes aux serveurs de fédération qui ne sont pas accessibles par Internet.

Remarques

Bien que vous puissiez déployer des serveurs distincts pour héberger le service de rôle Proxy du service de fédération, il n’est pas nécessaire de déployer un serveur différent comme serveur proxy de fédération dans la forêt intranet du partenaire de compte ou du partenaire de ressource. Le serveur de fédération remplit automatiquement ce rôle.

Pour plus d’informations sur les serveurs proxy de fédération, voir Présentation du service de rôle Proxy du service de fédération.

Serveurs Web prenant en charge AD FS

On appelle « serveurs Web prenant en charge AD FS » les serveurs Web qui hébergent le service de rôle Agent Web AD FS prenant en charge les revendications ou basé sur les jetons Windows. Ces serveurs fournissent un accès sécurisé aux applications Web qui sont hébergées sur ces serveurs Web. L’agent Web AD FS gère les jetons de sécurité et les cookies d’authentification qui sont envoyés à un serveur Web prenant en charge AD FS. Un serveur Web prenant en charge AD FS requiert une relation avec un service de fédération de façon à ce que tous les jetons d’authentification proviennent de ce service de fédération.

Pour plus d’informations sur les serveurs Web prenant en charge AD FS, voir Présentation du service de rôle Agent Web AD FS.


Table des matières