Configuration des organisations partenaires

  • Article

Pour déployer une nouvelle organisation partenaire dans les services de fédération Active Directory (AD FS), effectuez les tâches suivantes indiquées soit dans Check-list : Configuration de l’organisation partenaire de ressource, soit dans Check-list : Configuration de l’organisation partenaire de compte, en fonction de votre conception AD FS.

Remarque

Lorsque vous utilisez l’une de ces check-lists, nous vous recommandons vivement de commencer par lire les informations de référence sur la planification du partenaire de compte ou du partenaire de ressource dans le Guide de conception AD FS dans Windows Server 2012 avant de passer aux procédures de configuration de la nouvelle organisation partenaire. Suivre la check-list de cette façon permet de mieux comprendre le déroulé complet de la conception et du déploiement AD FS pour l’organisation partenaire de compte ou de ressource.

À propos des organisations partenaires de compte

Un partenaire de compte correspond à l’organisation dans la relation d’approbation de fédération qui stocke physiquement les comptes d’utilisateur dans un magasin d’attributs pris en charge par AD FS. Le partenaire de compte est responsable de la collecte et de l’authentification des informations d’identification d’un utilisateur, de la génération de revendications pour cet utilisateur et de l’empaquetage des revendications dans des jetons de sécurité. Ces jetons peuvent ensuite être présentés dans le cadre d’une approbation de fédération pour permettre l’accès à des ressources web situées dans l’organisation partenaire de ressource.

En d’autres termes, un partenaire de compte représente l’organisation pour laquelle le serveur de fédération côté compte émet des jetons de sécurité. Le serveur de fédération de l’organisation partenaire de compte authentifie les utilisateurs locaux et crée les jetons de sécurité que le partenaire de ressource utilise pour prendre des décisions d’autorisation.

En ce qui concerne les magasins d’attributs, le partenaire de compte dans AD FS équivaut d’un point de vue conceptuel à une seule forêt Active Directory dont les comptes ont besoin d’accéder aux ressources situées physiquement dans une autre forêt. Les comptes de cette forêt peuvent accéder aux ressources incluses dans la forêt de ressources uniquement quand une relation d’approbation externe ou de forêt existe entre les deux forêts et que les ressources auxquelles les utilisateurs tentent d’accéder ont été définies avec les autorisations appropriées.

À propos des organisations partenaires de ressource

Le partenaire de ressource correspond à l’organisation dans un déploiement AD FS où se trouvent les serveurs web. Le partenaire de ressource approuve le partenaire de compte pour authentifier les utilisateurs. Ainsi, pour prendre des décisions d’autorisation, le partenaire de ressource consomme les revendications empaquetées dans des jetons de sécurité provenant des utilisateurs dans le partenaire de compte.

En d’autres termes, un partenaire de ressource représente l’organisation dont les serveurs web sont protégés par le serveur de fédération côté ressource. Le serveur de fédération au niveau du partenaire de ressource utilise les jetons de sécurité produits par le partenaire de compte pour prendre des décisions d’autorisation pour les serveurs web se trouvant dans le partenaire de ressource.

Pour fonctionner en tant que ressource AD FS, les serveurs web de l’organisation partenaire de ressource doivent disposer de Windows Identity Foundation (WIF) ou des services de rôle Agent web prenant en charge les revendications des services de fédération Active Directory (AD FS) 1.x. Les serveurs web qui fonctionnent en tant que ressource AD FS peuvent héberger des applications basées sur un navigateur web ou sur un service web.