Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Un serveur de fédération nécessite l’utilisation de certificats de communication de service pour les scénarios dans lesquels la sécurité des messages WCF est utilisée.
Conditions requises pour les certificats de communication de service
Les certificats de communication de service doivent répondre aux exigences suivantes pour fonctionner avec AD FS :
Le certificat de communication de service doit inclure l’extension d'authentification du serveur pour l'utilisation de clé améliorée (EKU).
Les listes de révocation de certificats (CRL) doivent être accessibles pour tous les certificats de la chaîne, du certificat de communication de service au certificat d’autorité de certification racine. Tous les proxys de serveur de fédération et serveurs web qui approuvent ce serveur de fédération doivent également approuver l’autorité de certification racine.
Le nom du sujet utilisé dans le certificat de communication du service doit être identique au nom du service de fédération dans ses propriétés.
Considérations relatives au déploiement pour les certificats de communication de service
Configurez les certificats de communication de service afin que tous les serveurs de fédération utilisent le même certificat. Si vous déployez la conception de l’authentification unique (SSO) web fédérée, nous vous recommandons de faire émettre le certificat de communication du service par une autorité de certification publique. Vous pouvez demander et installer ces certificats via le gestionnaire IIS.
Vous pouvez utiliser des certificats de communication de service auto-signés avec succès sur des serveurs de fédération dans un environnement de laboratoire de test. Toutefois, pour un environnement de production, nous vous recommandons d’obtenir des certificats de communication de service auprès d’une autorité de certification publique.
Les raisons pour lesquelles vous ne devez pas utiliser de certificats de communication de service auto-signés pour un déploiement en direct sont les suivantes :
Un certificat SSL auto-signé doit être ajouté au magasin racine approuvé sur chacun des serveurs de fédération de l’organisation partenaire de ressource. Bien qu’un certificat auto-signé seul ne permet pas à un attaquant de compromettre un serveur de fédération de ressources, l’approbation de certificats auto-signés augmente la surface d’attaque d’un ordinateur. Si le signataire du certificat n’est pas fiable, il peut entraîner des vulnérabilités de sécurité.
Un certificat de communication de service auto-signé crée une expérience utilisateur incorrecte. Les clients reçoivent des invites d’alerte de sécurité lorsqu’ils essaient d’accéder aux ressources fédérées qui affichent le message suivant : « Le certificat de sécurité a été émis par une entreprise que vous n’avez pas choisi de faire confiance ». Ce message est attendu, car le certificat auto-signé n’est pas approuvé.
Remarque
Si nécessaire, vous pouvez contourner cette condition à l’aide de la stratégie de groupe pour envoyer manuellement le certificat auto-signé au magasin racine approuvé sur chaque ordinateur client qui tente d’accéder à un site AD FS.
Les autorités de certification fournissent davantage de fonctionnalités basées sur des certificats, telles que l’archive de clés privées, le renouvellement et la révocation qui ne sont pas fournies par des certificats auto-signés.