Déploiement de serveurs de fédération

Pour déployer des serveurs de fédération dans les services de fédération Active Directory (AD FS), effectuez chacune des tâches de la liste de contrôle : configuration d’un serveur de fédération.

À propos des serveurs de fédération

Les serveurs de fédération sont des ordinateurs exécutant Windows Server 2008 avec le logiciel AD FS installé pour agir dans le rôle serveur de fédération. Les serveurs de fédération authentifient ou routent les demandes de comptes d’utilisateur dans d’autres organisations et à partir d’ordinateurs clients qui peuvent se trouver n’importe où sur Internet.

L’acte d’installation du logiciel AD FS sur un ordinateur et l’utilisation de l’Assistant Configuration du serveur de fédération AD FS pour le configurer pour le rôle serveur de fédération rend cet ordinateur un serveur de fédération. Il rend également le composant logiciel enfichable Gestion AD FS disponible sur cet ordinateur dans le menu Démarrer\Outils d’administration\ afin de pouvoir spécifier les éléments suivants :

• Nom d’hôte AD FS dans lequel les organisations partenaires et les applications envoient des demandes de jetons et des réponses

• Identificateur AD FS utilisé par les organisations et applications partenaires pour identifier le nom ou l’emplacement unique de votre organisation

• Certificat de signature de jeton que tous les serveurs de fédération d’une batterie de serveurs utiliseront pour émettre et signer des jetons

• Emplacement des pages web ASP.NET personnalisées pour l’ouverture de session, la fermeture de session et la découverte du partenaire de compte qui améliorent l’expérience client

  Note

  La majorité de ces paramètres d’interface utilisateur principale sont contenus dans le fichier web.config sur chaque serveur de fédération. Le nom d’hôte AD FS et les valeurs d’identificateur AD FS ne sont pas spécifiés dans le fichier web.config.

Les serveurs de fédération hébergent un moteur d’émission de revendications qui émet des jetons basés sur les informations d’identification (par exemple, le nom d’utilisateur et le mot de passe) qui lui sont présentés. Un jeton de sécurité est une unité de données signée par chiffrement qui exprime une ou plusieurs revendications. Une déclaration est une assertion qu’un serveur fait (par exemple, nom, identité, clé, groupe, privilège ou capacité) concernant un client. Une fois les informations d’identification vérifiées sur le serveur de fédération (via le processus d’ouverture de session de l’utilisateur), les revendications de l’utilisateur sont collectées à l’aide de l’examen des attributs utilisateur stockés dans le magasin d’attributs spécifié.

Dans les conceptions d’authentification unique (SSO) de web fédérée (conceptions AD FS dans lesquelles deux ou plusieurs organisations sont impliquées), les revendications peuvent être modifiées par des règles de revendication pour une partie de confiance spécifique. Les revendications sont intégrées à un jeton envoyé à un serveur de fédération dans l’organisation partenaire de ressource. Une fois qu’un serveur de fédération dans le partenaire de ressource reçoit les revendications en tant que revendications entrantes, il exécute le moteur d’émission de revendications pour exécuter un ensemble de règles de revendication pour filtrer, passer ou transformer ces revendications. Les revendications sont ensuite intégrées dans un nouveau jeton qui est envoyé au serveur Web dans le partenaire de ressource.

Dans la conception de l’authentification unique Web (conception AD FS dans laquelle une seule organisation est impliquée), un seul serveur de fédération peut être utilisé pour permettre aux employés de se connecter une seule fois et d’accéder à plusieurs applications.