Dans le cadre du processus de conception de votre déploiement des services ADFS (Active Directory Federation Services), identifiez le type d’application fédérée à sécuriser par les services ADFS (Active Directory Federation Services). Une application est fédérée si elle présente, au minimum, les caractéristiques de l’un des types d’applications décrits dans les sections suivantes.

Pour en savoir plus sur la prise en charge améliorée des applications dans cette version des services ADFS (Active Directory Federation Services), voir la page relative aux nouveautés des services ADFS (Active Directory Federation Services) dans Windows Server 2008 https://go.microsoft.com/fwlink/?LinkId=85684 (éventuellement en anglais).

Application prenant en charge les revendications

Les revendications sont des instructions (nom, identité, clé, groupe, privilège ou fonctionnalité, par exemple) concernant des utilisateurs, et comprises par les deux partenaires dans une fédération AD FS, qui servent à accorder des autorisations dans une application.

Une application prenant en charge les revendications est une application Microsoft ASP.NET créée à l’aide de la bibliothèque de classes AD FS. Ce type d’application est entièrement capable d’utiliser des revendications AD FS pour prendre directement des décisions d’autorisation. Une application prenant en charge les revendications accepte des revendications envoyées par le service de fédération dans des jetons de sécurité AD FS. Pour plus d’informations sur la manière dont le service de fédération utilise les jetons de sécurité et les revendications, voir Présentation du service de rôle Service de fédération.

Le mappage de revendications représente l’acte de mappage, de suppression, de filtrage ou de passage de revendications entrantes vers des revendications sortantes. Le mappage de revendications ne se produit pas lorsque des revendications sont envoyées à une application. À la place, seules les revendications d’organisation spécifiées par l’administrateur du service de fédération dans le partenaire de ressource sont envoyées à l’application. (Des revendications d’organisation sont des revendications sous une forme intermédiaire ou normalisée au sein de l’espace de noms d’une organisation.) Pour plus d’informations sur les revendications et le mappage de revendications, voir Présentation des revendications.

La liste suivante décrit les différentes revendications d’organisation pouvant être utilisées par des applications prenant en charge les revendications :

  • Revendications d’identité (nom UPN, identité [courrier électronique], nom commun)

    Lorsque vous configurez l’application, vous spécifiez laquelle de ces revendications d’identité est envoyée à l’application. Aucun mappage ni filtrage n’est effectué.

  • Revendications de groupe

    Lorsque vous configurez l’application, vous spécifiez les revendications de groupe d’organisations qui sont envoyées à l’application. Les revendications de groupe d’organisations qui ne sont pas désignées pour un envoi vers l’application sont supprimées.

  • Revendications personnalisées

    Lorsque vous configurez l’application, vous spécifiez les revendications personnalisées d’organisation qui seront envoyées à l’application. Les revendications personnalisées d’organisation qui ne sont pas désignées pour un envoi vers l’application sont supprimées.

Autorisation prenant en charge les revendications

L’autorisation prenant en charge les revendications est constituée d’un module HTTP (HyperText Transfer Protocol) et d’objets pour interroger les revendications contenues dans le jeton de sécurité AD FS. Cette autorisation est uniquement prise en charge pour les applications Microsoft ASP.NET.

Le module HTTP traite les messages de protocole AD FS basés sur des paramètres de configuration dans le fichier Web.config de l’application Web. Les pages Web effectuent des tâches d’authentification et d’autorisation. Le module HTTP authentifie également des cookies et obtient des revendications à partir de ces cookies.

Application basée sur une autorisation de jeton Windows NT

Une application basée sur une autorisation de jeton Windows NT est une application IIS (Internet Information Services) conçue pour utiliser des mécanismes d’autorisation natifs de Windows traditionnels. Ce type d’application n’est pas prévu pour l’utilisation de revendications AD FS.

Les applications basées sur une autorisation de jeton Windows NT peuvent être utilisées uniquement par des utilisateurs Windows à partir du domaine local ou par n’importe quel domaine approuvé par le domaine local, c’est-à-dire qu’elles peuvent être utilisées seulement par des utilisateurs qui peuvent se connecter à l’ordinateur à l’aide de mécanismes d’authentification basés sur les jetons Windows NT.

Remarques

Dans les conceptions de fédération, cela signifie que des comptes de ressources ou des groupes de ressources peuvent être nécessaires à l’authentification basée sur une autorisation de jeton Windows NT.

Le jeton de sécurité AD FS envoyé à l’agent basé sur les jetons Windows NT peut contenir l’un des types de revendications suivants :

  • une revendication de nom UPN (User Principal Name) pour l’utilisateur ;

  • une revendication d’identité (courrier électronique) pour l’utilisateur ;

  • une revendication de groupe ;

  • une revendication personnalisée pour l’utilisateur ;

  • une revendication de nom UPN, d’identité (courrier électronique), de groupe ou personnalisée contenant les identificateurs de sécurité (SID) du compte d’utilisateur (ceci ne s’applique que lorsque l’option Relation d’approbation Windows est activée).

Le serveur Web prenant en charge AD FS génère un jeton d’accès d’emprunt d’identité Windows. Un jeton d’accès d’emprunt d’identité capture les informations de sécurité d’un processus client et permet ainsi à un service « d’emprunter l’identité » du processus client dans des opérations de sécurité.

Pour les applications basées sur une autorisation de jeton Windows NT, l’ordre de traitement suivant détermine la manière dont un jeton Windows NT est créé :

  1. Si le jeton SAML (Security Assertion Markup Language) contient des SID dans l’élément de conseil SAML, ces SID servent à créer le jeton Windows NT.

  2. Si le jeton SAML ne contient pas de SID mais plutôt une revendication d’identité de nom UPN, cette revendication de nom UPN sert à créer le jeton Windows NT.

  3. Si le jeton SAML ne contient pas de SID et que la revendication d’identité de nom UPN dans la revendication d’identité (courrier électronique) est présente, il est interprété en tant que nom UPN et sert à générer le jeton Windows NT.

Ce comportement ne tient pas compte du fait que la revendication d’identité de nom UPN ou d’identité (courrier électronique) soit spécifiée en tant que revendication d’identité utilisée pour générer le jeton Windows NT, lorsque vous créez l’entrée de stratégie d’approbation pour l’application Web dans le service de fédération.

Autorisation traditionnelle Windows

La prise en charge de la conversion d’un jeton de sécurité AD FS en jeton d’accès Windows NT d’emprunt d’identité nécessite plusieurs composants :

  • Extension de l’interface ISAPI (Internet Server Application Programming Interface) : ce composant recherche les cookies AD FS et les jetons de sécurité AD FS à partir du service de fédération, effectue les redirections de protocole appropriées et crée les cookies nécessaires au fonctionnement d’AD FS.

  • Package d’authentification AD FS : le package d’authentification AD FS génère un jeton d’accès d’emprunt d’identité, en fonction d’un nom UPN pour un compte de domaine. Ce package requiert que l’appelant dispose du privilège Trusted Computing Base (TCB).

  • Pages de propriétés Agent Web AD FS et URL du service de fédération du composant logiciel enfichable Gestionnaire des services Internet : vous pouvez utiliser ces pages de propriétés pour gérer la stratégie et les certificats afin de vérifier le jeton de sécurité et les cookies AD FS.

  • Service d’authentification de l’agent Web AD FS : le service d’authentification de l’agent Web AD FS s’exécute en tant que système local pour créer un jeton à l’aide de Service-for-User (S4U) ou du package d’authentification AD FS. Cependant, le pool d’applications des services Internet (IIS) n’est pas requis pour s’exécuter en tant que système local. Le service d’authentification de l’agent Web AD FS possède des interfaces pouvant être appelées uniquement avec un appel de procédure distante local (LRPC), et pas un appel de procédure distante (RPC). Ce service renvoie un jeton d’accès Windows NT au niveau de l’emprunt d’identité s’il reçoit un jeton de sécurité AD FS ou un cookie AD FS.

  • Filtre ISAPI de l’agent Web AD FS : certaines applications IIS Web traditionnelles utilisent un filtre ISAPI pouvant modifier des données entrantes, telles que les adresses URL. Si tel est le cas, le filtre ISAPI de l’agent Web AD FS doit être activé et configuré en tant que filtre avec la priorité la plus élevée. Ce filtre n’est pas activé par défaut.


Table des matières