Dans les services ADFS (Active Directory Federation Services), un compte de ressource est un compte d’utilisateur stocké dans une forêt Active Directory (la forêt du partenaire de ressource), dans l’unique objectif de prendre l’identité d’un compte d’utilisateur utilisé de manière active, par exemple par un employé, et stocké dans une autre forêt Active Directory (la forêt du partenaire de compte).

Des comptes de ressources doivent être créés dans la forêt du partenaire de ressource afin que l’employé, dont le compte d’utilisateur se trouve dans la forêt du partenaire de compte, puisse accéder aux applications Web basées sur les jetons Windows NT par les services ADFS (Active Directory Federation Services). Les comptes de ressources et les groupes de ressources sont aussi nécessaires pour les applications prenant en charge les revendications

La ressource Web se trouvant côté ressource est protégée grâce à des listes de contrôle d’accès (ACL) de comptes ou de groupes d’utilisateurs sur la forêt du partenaire de ressource. L’administrateur doit créer les comptes de ressources et ajouter des listes de contrôle d’accès pour tout compte de ressource à cette ressource.

Pour réduire la charge administrative, l’administrateur côté ressource peut configurer un ou plusieurs groupes de sécurité, qui sont créés dans les services de domaine Active Directory (AD DS) et qui seront utilisés pour le mappage avec des revendications de groupe entrantes à partir de leurs partenaires de comptes. Un groupe de sécurité mappé à une revendication de groupe entrante utilisée par les services ADFS (Active Directory Federation Services) est appelé groupe de ressources.

Vous pouvez utiliser la procédure suivante pour configurer des groupes de ressources.

Pour configurer un groupe de ressources
  1. Dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory se trouvant sur un contrôleur de domaine de la forêt du partenaire de ressource, créez un groupe de sécurité.

  2. Affectez l’accès approprié à ce groupe de sécurité à partir de la ressource Web protégée par les services ADFS (Active Directory Federation Services).

  3. Dans le composant logiciel enfichable Services ADFS (Active Directory Federation Services), créez une revendication de groupe puis, dans la page des propriétés de cette nouvelle revendication, cliquez sur l’onglet Groupe de ressources. Cliquez sur le bouton pour mapper le nouveau groupe de sécurité dans les services de domaine Active Directory à la nouvelle revendication de groupe. À ce stade, le nouveau groupe de sécurité est appelé « groupe de ressources ».

  4. Sous Service de fédération\Stratégie d’approbation\Organisations partenaires\Partenaires de comptes\<nompartenairecompte>\, créez un mappage de revendications de groupe entrantes pour mapper la nouvelle revendication de groupe et le groupe de ressources auquel elle est associée à toute revendication de groupe entrante provenant de la forêt du partenaire de compte.

Lorsque vous mappez une revendication de groupe entrante à un groupe de ressources, il n’est plus nécessaire pour l’administrateur de la forêt du partenaire de ressource de créer un compte de ressource pour chaque utilisateur dans la forêt du partenaire de compte nécessitant un accès à l’application basée sur le jeton Windows NT et protégée par les services ADFS (Active Directory Federation Services).

Par défaut, les services ADFS (Active Directory Federation Services) configurent des propriétés de partenaire de compte afin qu’un administrateur de partenaire de ressource puisse mapper des revendications de groupe entrantes à un ou plusieurs groupes de ressources. Vous pouvez cependant modifier ce comportement par défaut en sélectionnant une ou plusieurs des options de compte de ressource suivantes :

  • Il existe un compte de ressource pour chaque utilisateur : indique qu’un compte de ressource est configuré pour chaque utilisateur à partir du partenaire de compte nécessitant un accès à la ressource. Dans ce cas, les revendications de groupe entrantes ne sont pas mappées aux groupes de ressources, même si des groupes de ressources sont configurés.

  • Il existe un compte de ressource pour certains utilisateurs (préférer un compte de ressource) : indique si des groupes de ressources doivent être utilisés pour certains comptes d’utilisateurs. Cela signifie que certains utilisateurs peuvent se voir créer des comptes de ressources individuels, tandis que d’autres peuvent être configurés pour utiliser des groupes de ressources. Lorsque cette option est sélectionnée, les services ADFS (Active Directory Federation Services) recherchent d’abord les comptes de ressources qui correspondent à la revendication de nom UPN/d’identité (courrier électronique) spécifiée dans le jeton entrant. Les services ADFS (Active Directory Federation Services) utilisent ces comptes de ressources s’ils sont détectés. Sinon, si le jeton dispose d’une revendication de groupe mappée à un groupe de ressources, il utilise ce groupe de ressources.

  • Il existe un compte de ressource pour certains utilisateurs (préférer la présence de groupes dans le jeton) : il s’agit du paramètre par défaut. Il indique que les services ADFS (Active Directory Federation Services) peuvent utiliser leur logique pour déterminer si chaque jeton entrant doit être mappé à un groupe de ressources, ou s’ils doivent rechercher un compte de ressource. Lorsque cette option est sélectionnée, les services ADFS (Active Directory Federation Services) recherchent d’abord dans le jeton les revendications de groupe entrantes pouvant être mappées à un groupe de ressources. Si ces revendications sont trouvées, les services ADFS (Active Directory Federation Services) utilisent le groupe de ressources. S’il n’existe aucune revendication de groupe entrante de ce type, les services ADFS (Active Directory Federation Services) recherchent un compte de ressource à utiliser.

  • Aucun compte de ressource n’existe pour ce partenaire de compte : indique qu’un ou plusieurs groupes de ressources seront utilisés pour tous les utilisateurs dans ce partenaire de compte. Cela signifie que chaque jeton émis à partir de ce partenaire de compte sera requis pour contenir une ou plusieurs revendications de groupe, mappées à un ou plusieurs groupes de ressources dans la forêt du partenaire de ressource.


Table des matières