Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Pour déployer une nouvelle organisation partenaire dans Active Directory Federation Services (AD FS), effectuez les tâches de la liste de vérification : Configuration de l’organisation partenaire de ressources ou de la liste de contrôle : configuration de l’organisation partenaire de compte, en fonction de votre conception AD FS.
Note
Lorsque vous utilisez l’une de ces listes de contrôle, nous vous recommandons vivement de lire d’abord les références au partenaire de compte ou aux conseils de planification des partenaires de ressources dans le Guide de conception AD FS dans Windows Server 2012 avant de passer aux procédures de configuration de la nouvelle organisation partenaire. Le suivi de la liste de contrôle de cette façon vous aidera à mieux comprendre l’intégralité de l’histoire de conception et de déploiement AD FS pour le partenaire de compte ou l’organisation partenaire de ressources.
À propos des organisations partenaires de compte
Dans une relation de confiance fédérative, un partenaire de compte est l'organisation qui conserve physiquement les comptes utilisateur dans un magasin d'attributs compatible avec AD FS. Le partenaire de compte est responsable de la collecte et de l’authentification des informations d’identification d’un utilisateur, de la création de revendications pour cet utilisateur et de l’empaquetage des revendications dans des jetons de sécurité. Ces jetons peuvent ensuite être présentés dans une confiance fédérée pour permettre l’accès aux ressources basées sur le Web situées dans l'organisation partenaire de ressources.
En d’autres termes, un partenaire de compte représente l’organisation pour laquelle le serveur de fédération côté compte émet des jetons de sécurité. Le serveur de fédération de l’organisation partenaire de compte authentifie les utilisateurs locaux et crée des jetons de sécurité que le partenaire de ressources utilise pour prendre des décisions d’autorisation.
En ce qui concerne les magasins d'attributs, le partenaire de compte dans AD FS correspond conceptuellement à une forêt Active Directory unique, dont les comptes doivent accéder à des ressources situées physiquement dans une autre forêt. Les comptes de cette forêt peuvent accéder aux ressources incluses dans la forêt de ressources uniquement quand une relation d’approbation externe ou de forêt existe entre les deux forêts et que les ressources auxquelles les utilisateurs tentent d’accéder ont été définies avec les autorisations appropriées.
À propos des organisations partenaires de ressources
Le partenaire de ressources est l’organisation dans un déploiement AD FS où se trouvent les serveurs web. Le partenaire de ressources fait confiance au partenaire de compte pour authentifier les utilisateurs. Par conséquent, pour prendre des décisions d’autorisation, le partenaire de ressource consomme les revendications empaquetées dans les jetons de sécurité provenant des utilisateurs du partenaire de compte.
En d’autres termes, un partenaire de ressource représente l’organisation dont les serveurs Web sont protégés par le serveur de fédération côté ressource. Le serveur de fédération du partenaire de ressource utilise les jetons de sécurité générés par le partenaire de compte pour prendre des décisions d’autorisation pour les serveurs Web dans le partenaire de ressource.
Pour fonctionner en tant que ressource AD FS, les serveurs Web de l'organisation partenaire de ressources doivent soit avoir installé Windows Identity Foundation (WIF), soit avoir installé les services de rôle Claims-Aware Web Agent d'AD FS (Active Directory Federation Services) 1.x. Les serveurs Web qui fonctionnent comme une ressource AD FS peuvent héberger des applications basées sur un navigateur Web ou sur un service Web.