Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
La création d’un proxy de serveur de fédération dans votre organisation ajoute des couches de sécurité supplémentaires à votre déploiement des services de fédération Active Directory (AD FS). Envisagez de déployer un proxy de serveur de fédération dans le réseau de périmètre de votre organisation lorsque vous souhaitez :
Empêcher les ordinateurs clients externes d’accéder directement à vos serveurs de fédération. En déployant un proxy de serveur de fédération dans votre réseau de périmètre, vous isolez efficacement vos serveurs de fédération afin qu’ils soient accessibles uniquement par les ordinateurs clients connectés au réseau d’entreprise via des proxys de serveur de fédération, qui agissent pour le compte des ordinateurs clients externes. Les proxys de serveur de fédération n’ont pas accès aux clés privées utilisées pour produire des jetons. Pour plus d’informations, consultez l’article Where to Place a Federation Server Proxy (Où placer un serveur proxy de fédération).
Fournissez un moyen pratique de différencier l’expérience de connexion pour les utilisateurs qui proviennent d’Internet, par opposition aux utilisateurs qui proviennent de votre réseau d’entreprise à l’aide de l’authentification intégrée Windows. Un proxy de serveur de fédération collecte les informations d’identification ou les détails du domaine d’accueil à partir d’ordinateurs clients Internet à l’aide des pages d’ouverture de session, de déconnexion et de découverte du fournisseur d’identité (homerealmdiscovery.aspx) stockées sur le proxy du serveur de fédération.
En revanche, les ordinateurs clients provenant du réseau d’entreprise rencontrent une expérience différente, en fonction de la configuration du serveur de fédération. Le serveur de fédération de réseau d’entreprise est souvent configuré pour l’authentification intégrée Windows, qui offre une expérience de connexion transparente pour les utilisateurs sur le réseau d’entreprise.
Le rôle qu’un proxy de serveur de fédération joue dans votre organisation dépend de la place du proxy du serveur de fédération dans l’organisation partenaire de compte ou dans l’organisation partenaire de ressource. Par exemple, lorsqu’un proxy de serveur de fédération est placé dans le réseau de périmètre du partenaire de compte, son rôle consiste à collecter les informations d’identification de l’utilisateur auprès des clients du navigateur. Lorsqu’un proxy de serveur de fédération est placé dans le réseau de périmètre du partenaire de ressource, il transmet les demandes de jeton de sécurité à un serveur de fédération de ressources et produit des jetons de sécurité organisationnels en réponse aux jetons de sécurité fournis par ses partenaires de compte.
Pour plus d’informations, consultez Examiner le rôle du proxy de serveur de fédération dans le partenaire de compte et vérifier le rôle du proxy de serveur de fédération dans le partenaire de ressource
Comment créer un proxy de serveur de fédération
Vous pouvez créer un proxy de serveur de fédération à l’aide de l’Assistant Configuration du proxy du serveur de fédération AD FS ou de l’outil en ligne de commande Fsconfig.exe. Pour obtenir des instructions sur la procédure à suivre, consultez Configurer un ordinateur pour le rôle proxy du serveur de fédération.
Pour obtenir des informations générales sur la configuration de tous les prérequis nécessaires au déploiement d’un proxy de serveur de fédération, consultez Liste de contrôle : Configuration d’un proxy de serveur de fédération.