Check-list : Configuration de l’organisation partenaire de compte
L'organisation partenaire de compte contient les utilisateurs qui accèdent aux applications web dans le partenaire de ressource. Les administrateurs de cette organisation doivent utiliser le composant logiciel enfichable Gestion AD FS pour créer des approbations de partie de confiance afin de représenter leurs relations d’approbation avec les organisations partenaires de ressource. À son tour, l’administrateur partenaire de ressource doit créer des approbations de fournisseur de revendications pour chaque organisation partenaire de compte qu’il souhaite approuver.
Cette check-list comprend des tâches de déploiement des services de fédération Active Directory (AD FS) dans l’organisation partenaire de compte. Elle comprend également des tâches de configuration des composants nécessaires pour établir la moitié d’un partenariat de fédération.
Si vous déployez une conception d’authentification unique web, vous n’avez pas besoin de suivre cette liste de vérification. Toutefois, vous devez effectuer les tâches de cette liste de vérification pour déployer correctement une conception d’authentification unique web fédérée.
Important
Vérifiez que l’administrateur de l’organisation partenaire de ressource suit les instructions fournies dans Check-list : Configuration de l’organisation partenaire de ressource pour veiller à ce que toutes les tâches de déploiement nécessaires soient effectuées en vue de créer correctement la seconde moitié du partenariat de fédération.
Notes
Effectuez dans l’ordre les tâches répertoriées dans cette liste de vérification. Quand un lien de référence vous conduit à une procédure, revenez dans cet article, une fois les étapes de la procédure effectuées, afin de pouvoir accomplir les tâches restantes de la liste.
Check-list : Configuration de l’organisation partenaire de compte
| Task | Informations de référence |
|---|---|
| Si vous disposez déjà d’un déploiement d’AD FS 1.0 ou 1.1 dans votre environnement de production, consultez le lien à droite pour obtenir plus d’informations sur la migration des paramètres de votre service de fédération actuel vers un nouveau service de fédération AD FS. Si vous déployez AD FS pour la première fois dans votre organisation, vous pouvez ignorer cette étape et passer à la tâche suivante de cette check-list pour obtenir plus d’informations sur la configuration d’une nouvelle organisation partenaire de compte. |  Planification d’une migration vers AD FS 2.0 |
| En fonction de vos objectifs de déploiement, passez en revue les informations sur les composants nécessaires pour fournir aux utilisateurs l’accès aux applications fédérées. | Fournir à vos utilisateurs Active Directory un accès à vos applications et services prenant en charge les revendications |
| Déterminez à quelle conception AD FS cette organisation partenaire de compte sera associée. | Conception SSO web |
| Avant de commencer à déployer vos serveurs AD FS, passez en revue : 1.) les avantages et les inconvénients du choix de WID (Base de données interne Windows) ou de SQL Server pour stocker la base de données de configuration AD FS et 2.) les types de topologie de déploiement AD FS et leurs suggestions de positionnement de serveur et de disposition réseau associées. | Déterminer votre topologie de déploiement AD FS |
| Passez en revue les conseils de planification de la capacité AD FS pour déterminer le nombre approprié de serveurs de fédération et de serveurs proxy de fédération que vous devez utiliser dans votre environnement de production. | Planification de la capacité du serveur AD FS |
| Pour planifier et implémenter efficacement la topologie physique pour le déploiement du partenaire du compte, déterminez si votre conception AD FS nécessite un ou plusieurs serveurs de fédération ou proxys de serveur de fédération. |  Check-list : Configuration d’un serveur de fédération |
| Déterminez le type de magasin d’attributs que vous souhaitez ajouter à AD FS. Ensuite, ajoutez le magasin d’attributs à l’aide du composant logiciel enfichable Gestion AD FS. | Le rôle des magasins d’attributs |
| Si vous devez envoyer des revendications à un partenaire de ressource ou consommer des revendications à partir d’un partenaire de ressource qui utilise un service de fédération AD FS 1.0 ou 1.1, consultez le lien à droite pour obtenir plus d’informations sur la façon de configurer AD FS pour interagir avec les versions précédentes d’AD FS. Si l’organisation partenaire de ressource utilise également AD FS pour envoyer ou consommer des revendications à votre organisation, vous pouvez ignorer cette étape et passer à la tâche suivante dans cette check-list. | Planification de l’interopérabilité avec AD FS 1.x |
| Après avoir déployé le premier serveur de fédération dans l’organisation du partenaire de compte, créez une relation d’approbation de partie de confiance à l’aide du composant logiciel enfichable Gestion AD FS. Vous pouvez créer une approbation de partie de confiance en entrant des données sur un partenaire de ressource manuellement ou en utilisant une URL de métadonnées de fédération que l’administrateur de l’organisation du partenaire de ressource vous fournit. Vous pouvez utiliser les métadonnées de fédération pour récupérer des données du partenaire de ressource automatiquement. Remarque : Si le partenaire de ressource publie ses métadonnées de fédération ou peut fournir une copie de fichier que vous pouvez utiliser, nous recommandons de récupérer les données automatiquement car vous gagnerez du temps. |  Créer manuellement une approbation de partie de confiance
|
| En fonction des besoins de votre organisation, créez un ou plusieurs ensembles de règles de revendication pour chaque approbation de partie de confiance spécifiée dans le composant logiciel enfichable Gestion AD FS afin que les revendications soient émises de manière appropriée. | Check-list : Création de règles de revendication pour une approbation de partie de confiance |
| Une description de la revendication doit être créée si celle-ci n’existe pas déjà pour répondre aux besoins de votre organisation. AD FS contient un ensemble par défaut de descriptions de revendications qui sont exposées dans le composant logiciel enfichable Gestion AD FS. | Ajouter une description de revendication |
| Déterminez si votre organisation doit utiliser la délégation d’identité pour autoriser ou contraindre un compte spécifié à « agir au nom » d’autres utilisateurs ou à emprunter leur identité. Il s’agit souvent d’une obligation quand des applications web front-end doivent interagir avec des services web back-end. | Quand utiliser la délégation d’identité |
| Préparez les ordinateurs clients à la fédération en effectuant les opérations suivantes : - Ajoutez l’URL du serveur de fédération du partenaire de compte à la liste des sites approuvés du navigateur client. |
Préparer les ordinateurs clients dans le partenaire de compte
|