Microsoft Federation Gateway est un service d'identité qui s'exécute sur Internet et sert d'intermédiaire entre une organisation ou une société et les services externes que l'organisation veut utiliser. La passerelle sert de concentrateur pour la plupart des connexions que l'organisation veut établir avec des applications qui reposent sur Windows Azure ou une application Microsoft qui s'exécute sur Internet. La passerelle connecte des utilisateurs et d'autres identités aux services avec lesquels elle fonctionne, et il suffit à une organisation de gérer une seule relation de fédération d'identités pour permettre à ses identités d'accéder à tous les services Microsoft ou qui reposent sur Microsoft qu'elles souhaitent utiliser.
Microsoft Federation Gateway fournit aux applications une méthode simple et standard pour établir l'approbation entre des organisations séparées qui utilisent les certificats SSL pour prouver la propriété de domaine. Comme les organisations se fédèrent avec la passerelle et non les unes avec les autres, il est plus simple pour elles d'établir des relations d'approbation avec plusieurs partenaires, ce qui n'est pas le cas avec une fédération conventionnelle un à un ni avec d'autres relations d'approbation. L'étendue de la fédération peut être aisément contrôlée en créant des listes d'autorisation ou de blocage des utilisateurs et des domaines pour l'octroi de licence et en spécifiant les domaines qui peuvent recevoir des licences de publication. Cela garantit que seules les organisations appropriées ont accès aux informations protégées.
Une relation d'identités fédérées est un arrangement standard entre des organisations dans lequel les affirmations d'une organisation sont transmises à une autre organisation qui les reconnait. Cette relation permet aux utilisateurs de se connecter et d'être authentifiés par leur fournisseur de service - l'organisation qui gère leur compte d'identité - sans besoin de se connecter une nouvelle fois, car leur authentification est transmise à un partenaire fédéré.
Microsoft Federation Gateway établit des relations d'identités fédérées en créant sur le service Web (WS-*) des spécifications telles que WS-Trust et WS-Security qui fonctionnent ensemble pour simplifier l'interopérabilité et optimiser la sécurité. Ces protocoles normalisés permettent aux organisations d'établir une relation d'identités fédérées sans devoir utiliser des plates-formes ou une infrastructure identiques.
Lorsque deux organisations établissent une relation d'identités fédérées, un partenaire (le fournisseur d'identité) contrôle ses propres comptes d'utilisateurs alors que l'autre (le fournisseur de ressources) donne accès à ses ressources en s'en remettant à l'authentification opérée par le fournisseur d'identité. Une identité d'utilisateur est définie comme un ensemble d'affirmations, d'allégations, faites par un serveur à propos d'un utilisateur. Le nom, les groupes ou les autorisations de l'utilisateur sont quelques exemples d'affirmations. La fédération d'identités permet de partager ces affirmations d'identité.
Avec Microsoft Federation Gateway, l'authentification d'un fournisseur d'identité est fournie à la passerelle en utilisant un format standard appelé Security Assertion Markup Language (SAML). Microsoft Federation Gateway convertit ensuite les informations d'authentification en un jeton de service qui peut être utilisé par les services Microsoft.
La Support pour Microsoft Federation Gateway dans Windows Server® 2008 R2 permet à AD RMS d'accepter les jetons de Microsoft Federation Gateway pour authentifier les utilisateurs pour la certification et l'octroi de licence. Par exemple, Microsoft Exchange Server 2010 est conçu de sorte à bénéficier de cette possibilité en permettant aux messages protégés par AD RMS d'être envoyés entre des organisations qui ne partagent pas une infrastructure Services de domaine Active Directory (AD DS). Lorsque l'infrastructure Exchange Server 2010 est configurée pour bénéficier de ces fonctions, les utilisateurs peuvent envoyer des messages électroniques protégés par AD RMS à des destinataires en dehors de l'organisation de l'expéditeur qui peut afficher les messages en utilisant Exchange Server 2010 Outlook Web App ou Microsoft Outlook. En outre, les expéditeurs peuvent accorder une autorisation à des organisations destinataires qui utilisent l'autorisation Exchange Server 2010 pour déchiffrer du contenu à des fins de journalisation et d'analyse de programme malveillant.
Pour plus d'informations sur le déploiement de la Support pour Microsoft Federation Gateway sur AD RMS, voir Liste de vérification : Déployer AD RMS avec la prise en charge de Microsoft Federation Gateway.