Les services ADFS (Active Directory Federation Services) sont une fonctionnalité des systèmes d’exploitation Windows Server® 2003 R2, Windows Server 2008 et Windows Server 2008 R2 qui fournit des technologies Web d’authentification unique (SSO) pour authentifier un utilisateur dans plusieurs applications Web apparentées au cours d’une même session en ligne. Les services ADFS (Active Directory Federation Services) y parviennent en partageant de manière sécurisée l’identité numérique et les droits accordés, ou « revendications », à travers des limites de sécurité et d’entreprise.

Fonctionnalités des services ADFS (Active Directory Federation Services)

Dans Windows Server 2008 et Windows Server 2008 R2, les services ADFS (Active Directory Federation Services) offrent de nouvelles fonctionnalités qui n’étaient pas disponibles dans Windows Server 2003 R2. Pour en savoir plus sur ces nouvelles fonctionnalités, voir la page relative aux nouveautés des services ADFS (Active Directory Federation Services) dans Windows Server 2008 à l’adresse https://go.microsoft.com/fwlink/?LinkId=85684 (éventuellement en anglais).

Voici quelques-unes des principales fonctionnalités des services ADFS (Active Directory Federation Services) :

  • Fédération et SSO de Web

    Lorsqu’une organisation utilise les services de domaine Active Directory (AD DS), elle tire parti de la fonctionnalité SSO à travers l’authentification intégrée de Windows au sein de la sécurité de l’organisation ou des limites de l’entreprise. Les services ADFS (Active Directory Federation Services) étendent cette fonctionnalité aux applications connectées à Internet, ce qui permet aux clients, aux partenaires et aux fournisseurs d’utiliser une interface de SSO de Web similaire et rationalisée lorsqu’ils accèdent aux applications Web de l’organisation. En outre, des serveurs de fédération peuvent être déployés dans différentes organisations pour faciliter les transactions fédérées interentreprises (B2B) entre des organisations partenaires. Pour plus d’informations sur la fédération AD FS, voir Présentation des conceptions de fédération.

  • Interopérabilité des services Web (WS)-*

    Les services ADFS (Active Directory Federation Services) fournissent une solution de gestion d’identités fédérées qui interagit avec d’autres produits de sécurité qui prennent en charge l’architecture de services Web WS-*. Pour ce faire, ils utilisent la spécification de fédération de WS-*, appelée WS-Federation. La spécification WS-Federation permet à des environnements qui n’utilisent pas le modèle d’identité Microsoft® Windows® de créer une fédération avec les environnements Windows. Pour plus d’informations sur les spécifications de WS-*, voir Ressources pour les services ADFS (Active Directory Federation Services).

  • Architecture extensible

    Les services ADFS (Active Directory Federation Services) fournissent une architecture extensible qui prend en charge le type de jeton SAML (Security Assertion Markup Language) 1.1 et l’authentification Kerberos (dans la conception SSO de Web fédéré avec approbation de forêt). Ils peuvent également effectuer un mappage de revendications, par exemple, en modifiant les revendications à l’aide d’une logique d’entreprise personnalisée en tant que variable dans une demande d’accès. Des organisations peuvent utiliser cette extensibilité pour modifier les services ADFS (Active Directory Federation Services) en vue d’une coexistence avec leurs infrastructures de sécurité et stratégies d’entreprise actuelles. Pour plus d’informations sur la modification de revendications, voir Présentation des revendications.

Extension des services de domaine Active Directory à Internet

Les services de domaine Active Directory tiennent un rôle de service d’identité et d’authentification principal dans de nombreuses organisations. Avec Windows Server 2003 Active Directory et les services de domaine Active Directory Windows Server 2008 et Windows Server 2008 R2, des approbations de forêt peuvent être créées entre plusieurs forêts Windows Server 2003, Windows Server 2008 ou Windows Server 2008 R2, afin de fournir un accès à des ressources qui se trouvent dans des divisions ou des organisations différentes. Pour plus d’informations sur les approbations de forêt, voir la page relative au fonctionnement des approbations de domaine et de forêt à l’adresse https://go.microsoft.com/fwlink/?LinkId=35356 (éventuellement en anglais).

Cependant, il existe des conceptions dans lesquelles les approbations de forêt ne sont pas une option valide. Par exemple, l’accès au sein d’organisations peut nécessiter une limitation à un sous-ensemble constitué d’un petit nombre d’individus, et pas à chaque membre d’une forêt.

En utilisant les services ADFS (Active Directory Federation Services), les organisations peuvent étendre leurs infrastructures Active Directory existantes pour fournir un accès à des ressources proposées par des partenaires approuvés à l’aide d’Internet. Ces partenaires approuvés peuvent inclure des tiers externes ou d’autres services ou filiales de la même organisation.

Les services ADFS (Active Directory Federation Services) prennent en charge l’authentification distribuée et l’autorisation par Internet. Les services ADFS (Active Directory Federation Services) peuvent être intégrés à la solution de gestion d’accès existante d’une organisation ou d’un service, afin de traduire les revendications utilisées au sein de l’organisation en revendications qui ont été acceptées comme faisant partie d’une fédération. Les services ADFS (Active Directory Federation Services) peuvent créer, sécuriser et vérifier les revendications échangées entre des organisations. Ils peuvent aussi auditer et analyser l’activité de communication entre des organisations et des services pour aider à garantir la sécurité des transactions.

Pour plus d’informations générales sur les services ADFS (Active Directory Federation Services), voir les rubriques suivantes :


Table des matières