Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Vous pouvez placer des proxys de serveur de fédération Active Directory (AD FS) dans un réseau de périmètre pour fournir une couche de protection contre les utilisateurs malveillants susceptibles d’être issus d’Internet. Les proxys de serveur de fédération sont idéaux pour l’environnement réseau de périmètre, car ils n’ont pas accès aux clés privées utilisées pour créer des jetons. Toutefois, les proxys de serveur de fédération peuvent acheminer efficacement les requêtes entrantes vers les serveurs de fédération autorisés à produire ces jetons.
Il n’est pas nécessaire de placer un proxy de serveur de fédération à l’intérieur du réseau d’entreprise pour le partenaire de compte ou le partenaire de ressource, car les ordinateurs clients connectés au réseau d’entreprise peuvent communiquer directement avec le serveur de fédération. Dans ce scénario, le serveur de fédération fournit également des fonctionnalités de proxy de serveur de fédération pour les ordinateurs clients provenant du réseau d’entreprise.
Comme c’est le cas avec les réseaux de périmètre, un pare-feu intranet est établi entre le réseau de périmètre et le réseau d’entreprise, et un pare-feu accessible sur Internet est souvent établi entre le réseau de périmètre et Internet. Dans ce scénario, le proxy du serveur de fédération se trouve entre ces deux pare-feu sur le réseau de périmètre.
Configuration de vos serveurs de pare-feu pour un proxy de serveur de fédération
Pour que le processus de redirection de proxy du serveur de fédération réussisse, tous les serveurs de pare-feu doivent être configurés pour autoriser le trafic HTTPS (Secure Hypertext Transfer Protocol). L’utilisation du protocole HTTPS est requise, car les serveurs de pare-feu doivent publier le proxy du serveur de fédération, à l’aide du port 443, afin que le proxy du serveur de fédération dans le réseau de périmètre puisse accéder au serveur de fédération dans le réseau d’entreprise.
Note
Toutes les communications vers et depuis des ordinateurs clients se produisent également via HTTPS.
En outre, le serveur de pare-feu accessible sur Internet, tel qu’un ordinateur exécutant le serveur Microsoft Internet Security and Acceleration (ISA), utilise un processus appelé publication de serveur pour distribuer des demandes de client Internet aux serveurs de périmètre et de réseau d’entreprise appropriés, tels que les proxys de serveur de fédération ou les serveurs de fédération.
Les règles de publication de serveur déterminent le fonctionnement de la publication du serveur, en filtrant essentiellement toutes les requêtes entrantes et sortantes via l’ordinateur ISA Server. Les règles de publication de serveur associent les requêtes clients entrantes aux serveurs appropriés derrière l’ordinateur ISA Server. Pour plus d’informations sur la configuration du serveur ISA pour publier un serveur, consultez Créer une règle de publication web sécurisée.
Dans le monde fédéré d’AD FS, ces demandes clientes sont généralement effectuées à une URL spécifique, par exemple, une URL d’identificateur de serveur de fédération telle que http://fs.fabrikam.com. Étant donné que ces demandes clientes proviennent d’Internet, le serveur de pare-feu accessible sur Internet doit être configuré pour publier l’URL de l’identificateur du serveur de fédération pour chaque proxy de serveur de fédération déployé dans le réseau de périmètre.
Configuration du serveur ISA pour autoriser SSL
Pour faciliter les communications AD FS sécurisées, vous devez configurer ISA Server pour autoriser les communications SSL (Secure Sockets Layer) entre les éléments suivants :
Serveurs de fédération et proxys de serveur de fédération. Un canal SSL est requis pour toutes les communications entre les serveurs de fédération et les proxys de serveur de fédération. Par conséquent, vous devez configurer ISA Server pour autoriser une connexion SSL entre le réseau d’entreprise et le réseau de périmètre.
Ordinateurs clients, serveurs de fédération et proxys de serveur de fédération. Ainsi, les communications peuvent se produire entre les ordinateurs clients et les serveurs de fédération ou entre les ordinateurs clients et les proxys de serveur de fédération, vous pouvez placer un ordinateur exécutant isA Server devant le serveur de fédération ou le proxy du serveur de fédération.
Si votre organisation effectue l’authentification du client SSL sur le serveur de fédération ou le proxy de serveur de fédération, lorsque vous placez un ordinateur exécutant isA Server devant le serveur de fédération ou le proxy de serveur de fédération, le serveur doit être configuré pour la connexion SSL, car la connexion SSL doit se terminer au niveau du serveur de fédération ou du proxy du serveur de fédération.
Si votre organisation n’effectue pas d’authentification client SSL sur le serveur de fédération ou le proxy de serveur de fédération, une option supplémentaire consiste à arrêter la connexion SSL sur l’ordinateur exécutant le serveur ISA, puis à rétablir une connexion SSL au serveur de fédération ou au proxy de serveur de fédération.
Note
Le serveur de fédération ou le proxy de serveur de fédération exige que la connexion soit sécurisée par SSL pour protéger le contenu du jeton de sécurité.