Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Les serveurs de fédération nécessitent des certificats de signature de jetons pour empêcher les attaquants de modifier ou de falsifier des jetons de sécurité dans une tentative d’accès non autorisé aux ressources fédérées. Le jumelage de clés privées/publiques utilisé avec des certificats de signature de jeton est le mécanisme de validation le plus important de tout partenariat fédéré, car ces clés vérifient qu’un jeton de sécurité a été émis par un serveur de fédération partenaire valide et que le jeton n’a pas été modifié pendant le transit.
Conditions requises pour le certificat de signature de jeton
Un certificat de signature de jeton doit répondre aux exigences suivantes pour fonctionner avec AD FS :
Pour qu’un certificat de signature de jeton signe correctement un jeton de sécurité, le certificat de signature de jeton doit contenir une clé privée.
Le compte de service AD FS doit avoir accès à la clé privée du certificat de signature de jeton dans le magasin personnel de l’ordinateur local. Cette opération est prise en charge par l’installation. Vous pouvez également utiliser le composant logiciel enfichable Gestion AD FS pour garantir cet accès si vous modifiez par la suite le certificat de signature de jeton.
Note
Il s’agit d’une bonne pratique d’infrastructure à clé publique (PKI) pour ne pas partager la clé privée à plusieurs fins. Par conséquent, n’utilisez pas le certificat de communication de service que vous avez installé sur le serveur de fédération comme certificat de signature de jeton.
Comment les certificats de signature de jeton sont utilisés entre les partenaires
Chaque certificat de signature de jeton contient des clés privées de chiffrement et des clés publiques utilisées pour signer numériquement (par le biais de la clé privée) un jeton de sécurité. Plus tard, une fois reçues par un serveur de fédération partenaire, ces clés valident l’authenticité (par le biais de la clé publique) du jeton de sécurité chiffré.
Étant donné que chaque jeton de sécurité est signé numériquement par le partenaire de compte, le partenaire de ressource peut vérifier que le jeton de sécurité a été émis par le partenaire de compte et qu’il n’a pas été modifié. Les signatures numériques sont vérifiées par la partie clé publique du certificat de signature de jeton du partenaire. Une fois la signature vérifiée, le serveur de fédération de ressources génère son propre jeton de sécurité pour son organisation et signe le jeton de sécurité avec son propre certificat de signature de jeton.
Pour les environnements partenaires de fédération, lorsque le certificat de signature de jeton a été émis par une autorité de certification, vérifiez que :
Les listes de révocation de certificats (CRL) du certificat sont accessibles aux parties de confiance et aux serveurs Web qui approuvent le serveur de fédération.
Le certificat d’autorité de certification racine est approuvé par les parties de confiance et les serveurs web qui approuvent le serveur de fédération.
Le serveur Web du partenaire de ressource utilise la clé publique du certificat de signature de jeton pour vérifier que le jeton de sécurité est signé par le serveur de fédération de ressources. Le serveur Web autorise ensuite l’accès approprié au client.
Considérations relatives au déploiement des certificats de signature de jetons
Lorsque vous déployez le premier serveur de fédération dans une nouvelle installation AD FS, vous devez obtenir un certificat de signature de jeton et l’installer dans le magasin de certificats personnel de l’ordinateur local sur ce serveur de fédération. Vous pouvez obtenir un certificat de signature de jeton en demandant un certificat auprès d’une autorité de certification d’entreprise ou d’une autorité de certification publique ou en créant un certificat auto-signé.
La clé privée d'un certificat de signature de jetons est partagée entre tous les serveurs de fédération d'une ferme.
Dans un environnement de batterie de serveurs de fédération, nous recommandons que tous les serveurs de fédération partagent (ou réutilisent) le même certificat de signature de jeton. Vous pouvez installer un certificat de signature de jeton unique à partir d’une autorité de certification sur un serveur de fédération, puis exporter la clé privée, tant que le certificat émis est marqué comme exportable.
Comme illustré dans l’illustration suivante, la clé privée d’un certificat de signature de jeton unique peut être partagée avec tous les serveurs de fédération d’une batterie de serveurs. Cette option, par rapport à l’option « certificat de signature de jeton unique » suivante, réduit les coûts si vous envisagez d’obtenir un certificat de signature de jeton à partir d’une autorité de certification publique.
Pour plus d’informations sur l’installation d’un certificat lorsque vous utilisez Microsoft Certificate Services comme autorité de certification d’entreprise, consultez IIS 7.0 : Créer un certificat de serveur de domaine dans IIS 7.0.
Pour plus d’informations sur l’installation d’un certificat à partir d’une autorité de certification publique, consultez IIS 7.0 : Demander un certificat de serveur Internet.
Pour plus d’informations sur l’installation d’un certificat auto-signé, consultez IIS 7.0 : Créer un certificat de serveur Self-Signed dans IIS 7.0.