Partager via

Quand créer un serveur de fédération

Lorsque vous créez un serveur de fédération dans les services de fédération Active Directory (AD FS), vous fournissez un moyen par lequel votre organisation peut :

  • Participez à une communication basée sur l’authentification unique (SSO) Web avec une autre organisation (qui a également au moins un serveur de fédération) et, si nécessaire, avec les employés de votre propre organisation (qui ont besoin d’un accès via Internet).

  • Permettre aux services frontaux d’emprunter l’identité des utilisateurs dans les services d’infrastructure à l’aide de la délégation d’identité. Pour plus d’informations, consultez Quand utiliser la délégation d’identité.

Les sections suivantes décrivent certaines des décisions clés pour déterminer quand et où créer un ou plusieurs serveurs de fédération.

Déterminer le rôle organisationnel du serveur de fédération

Pour prendre une décision éclairée concernant la création d’un serveur de fédération, vous devez d’abord déterminer dans quelle organisation le serveur résidera. Le rôle qu’un serveur de fédération joue dans une organisation dépend du fait que vous placez le serveur de fédération dans l’organisation partenaire de compte ou dans l’organisation partenaire de ressources.

Lorsqu’un serveur de fédération est placé dans le réseau d’entreprise du partenaire de compte, son rôle consiste à authentifier les informations d’identification utilisateur des clients du navigateur, du service Web ou du sélecteur d’identité et à envoyer des jetons de sécurité aux clients. Pour plus d'informations, voir Review the Role of the Federation Server in the Account Partner.

Lorsqu’un serveur de fédération est placé dans le réseau d’entreprise du partenaire de ressource, son rôle consiste à authentifier les utilisateurs, en fonction d’un jeton de sécurité émis par un serveur de fédération dans l’organisation partenaire de ressource, ou son rôle consiste à rediriger les demandes de jetons à partir d’applications web configurées ou de services Web vers l’organisation partenaire du compte auquel appartient le client. Pour plus d’informations, consultez Examiner le rôle du serveur de fédération dans le partenaire de ressource.

Déterminer la conception AD FS à déployer

Vous créez des serveurs de fédération dans votre organisation chaque fois que vous souhaitez déployer l’une des conceptions AD FS suivantes :

Si nécessaire, une organisation qui déploie une conception d’authentification unique Web fédérée peut configurer un serveur de fédération unique afin qu’elle agisse à la fois dans le rôle partenaire de compte et dans le rôle partenaire de ressource. Dans ce cas, le serveur de fédération peut produire des jetons SAML (Security Assertion Markup Language), en fonction des comptes d’utilisateur de sa propre organisation, ou rediriger les demandes de jetons vers l’organisation, en fonction de l’emplacement où résident les comptes des utilisateurs.

Remarque

Pour la conception de l’authentification unique Web fédérée, il doit y avoir au moins un serveur de fédération dans le partenaire de compte et au moins un serveur de fédération dans le partenaire de ressource.

Différences entre un serveur de fédération et un proxy de serveur de fédération

Un serveur de fédération peut fournir des pages Web pour la connexion, la stratégie, l’authentification et la découverte de la même façon qu’un proxy de fédération. Les principales différences entre un serveur de fédération et un proxy de serveur de fédération concernent les opérations qu’un serveur de fédération peut effectuer et qu’un proxy de serveur de fédération ne peut pas.

Voici les opérations que seul un serveur de fédération peut effectuer :

  • Le serveur de fédération effectue les opérations de chiffrement qui produisent le jeton. Bien que les proxys de serveur de fédération ne puissent pas produire de jetons, ils peuvent être utilisés pour router ou rediriger les jetons vers les clients et, si nécessaire, revenir au serveur de fédération. Pour plus d’informations sur l’utilisation de serveurs de fédération, consultez Quand créer un proxy de serveur de fédération.

  • Les serveurs de fédération prennent en charge l’utilisation de l’authentification intégrée Windows pour les clients sur le réseau d’entreprise ; les proxys de serveur de fédération ne le font pas. Pour plus d’informations sur l’utilisation de l’authentification intégrée Windows avec le serveur de fédération, consultez Quand créer une batterie de serveurs de fédération.

Avertissement

La communication entre les serveurs de fédération et les bases de données de configuration SQL Server, les magasins d’attributs SQL Server, les contrôleurs de domaine et les instances AD LDS n’est pas protégée par défaut par l’intégrité ou la confidentialité. Pour atténuer ce problème, envisagez de protéger le canal de communication entre ces serveurs à l’aide d’IPSEC ou d’utiliser une connexion physiquement sécurisée entre tous ces serveurs. Pour la communication entre les serveurs de fédération et les serveurs SQL, envisagez d’utiliser la protection SSL dans la chaîne de connexion. Pour les connexions entre les serveurs de fédération et les contrôleurs de domaine, envisagez d’activer la signature et le chiffrement Kerberos. Pour LDAP, LDAP/S n’est pas pris en charge pour AD LDS/AD DS.

Comment créer un serveur de fédération

Vous pouvez créer un serveur de fédération à l’aide de l’Assistant Configuration du serveur de fédération AD FS ou de l’outil en ligne de commande Fsconfig.exe. Lorsque vous utilisez l’un de ces outils, vous pouvez sélectionner l’une des options suivantes pour créer un serveur de fédération.

Pour plus d’informations sur le fonctionnement de chacune de ces options, consultez Le rôle de la base de données de configuration AD FS.

Pour plus d’informations sur la configuration de toutes les conditions préalables nécessaires au déploiement d’un serveur de fédération, consultez Check-list : Configuration d’un serveur de fédération.

Voir aussi

Guide de conception AD FS dans Windows Server 2012