Rôle des magasins d’attributs

  • Article

Dans Services ADFS (AD FS), le terme magasins d’attributs fait référence aux répertoires ou bases de données qu’une organisation utilise pour stocker ses comptes d’utilisateur et leurs valeurs d’attribut. Une fois configuré dans une organisation de fournisseur d’identité, AD FS récupère ces valeurs d’attribut à partir du magasin. Il crée des revendications en fonction de ces informations afin qu’une application ou un service web hébergé dans l’organisation d’une partie de confiance puisse prendre les décisions d’autorisation appropriées chaque fois qu’un utilisateur fédéré (un utilisateur dont le compte est stocké dans l’organisation du fournisseur d’identité) tente d’accéder à l’application ou au service.

Pour plus d’informations sur la façon dont les revendications sont générées, consultez Rôle des revendications.

En quoi les magasins d’attributs s’inscrivent-ils dans vos objectifs de déploiement d’AD FS ?

L’emplacement du magasin d’attributs de l’utilisateur et l’emplacement à partir duquel les utilisateurs s’authentifient déterminent la façon dont vous concevez AD FS pour prendre en charge les identités des utilisateurs. Selon l’emplacement du magasin d’attributs et l’emplacement d’accès à l’application par les utilisateurs (intranet ou Internet), vous pouvez utiliser l’un de ces objectifs de déploiement :

  • Donnez à vos utilisateurs Active Directory l’accès à vos applications et services prenant en charge les revendications. Dans ce scénario, les utilisateurs de votre organisation accèdent à une application ou à un service sécurisé par AD FS lorsque les utilisateurs sont connectés à Active Directory dans l’intranet d’entreprise. L’application ou le service peut être votre propre ou celui d’un partenaire.

  • Donnez à vos utilisateurs Active Directory l’accès aux applications et services d’autres organisations. Dans ce scénario, les utilisateurs de votre organisation accèdent à une application ou à un service sécurisé par AD FS lorsque les utilisateurs sont connectés à un magasin d’attributs dans l’intranet d’entreprise et lorsqu’ils se connectent à distance à partir d’Internet. L’application ou le service peut être votre propre ou celui d’un partenaire.

  • Donnez aux utilisateurs d’une autre organisation l’accès à vos applications et services prenant en charge les revendications. Dans ce scénario, les comptes d’utilisateur d’une autre organisation situés dans un magasin d’attributs sur l’intranet d’entreprise de cette organisation doivent accéder à une application sécurisée par AD FS dans votre organisation. Ce scénario fonctionne également lorsque vous devez accorder des comptes d’utilisateur basés sur le consommateur situés dans un magasin d’attributs dans l’accès au réseau de périmètre de votre organisation à une application sécurisée par AD FS dans votre organisation.

Selon l’emplacement du magasin d’attributs et d’autres exigences de votre organisation, vous pouvez combiner plusieurs de ces objectifs de déploiement pour réaliser la conception de votre déploiement AD FS.

Magasins d’attributs pris en charge par AD FS

AD FS prend en charge un large éventail de magasins de répertoires et de bases de données. Vous pouvez les utiliser pour extraire des valeurs d’attribut définies par l’administrateur et remplir des revendications avec ces valeurs. AD FS prend en charge tous les annuaires et bases de données suivants en tant que magasins d’attributs :

  • Microsoft Entra Domain Services dans Windows Server 2012 et 2012 R2, puis dans Windows Server 2016 et versions ultérieures

  • Toutes les éditions de SQL Server 2012, SQL Server 2014 et SQL Server 2016 et ultérieures

  • Magasins d'attributs personnalisés