Fournir à vos utilisateurs Active Directory un accès à vos applications et services prenant en charge les revendications
Lorsque vous êtes administrateur de l’organisation du partenaire de compte dans un déploiement Services AD FS et que vous avez l’objectif de proposer un accès d’authentification unique à vos ressources hébergées pour les employés sur le réseau d’entreprise :
Les employés qui sont connectés à une forêt Active Directory dans le réseau d’entreprise peuvent utiliser l’authentification unique pour accéder à plusieurs applications ou services dans le réseau de périmètre de votre propre organisation. Ces applications et services sont sécurisés par AD FS.
Par exemple, Fabrikam souhaite que les employés du réseau d’entreprise aient un accès fédéré aux applications web qui sont hébergées sur le réseau de périmètre pour Fabrikam.
Les employés distants qui sont connectés à un domaine Active Directory peuvent obtenir des jetons AD FS à partir du serveur de fédération de votre organisation pour obtenir l’accès fédéré aux applications ou services web sécurisés par AD FS qui se trouvent également dans votre organisation.
Les informations contenues dans le magasin d’attributs Active Directory peuvent être remplies dans les jetons AD FS des employés.
Les composants suivants sont requis pour cet objectif de déploiement :
Services de domaine Active Directory (AD DS) : les services AD DS contiennent les comptes d’utilisateur des employés utilisés pour générer des jetons AD FS. Les informations, telles que les appartenances aux groupes et les attributs, sont remplies dans les jetons AD FS en tant que revendications de groupe et revendications personnalisées.
Notes
Vous pouvez également utiliser le protocole LDAP (Lightweight Directory Access Protocol) ou le langage SQL (Structured Query Language) pour contenir les identités nécessaires à la génération de jetons AD FS.
DNS d’entreprise : cette implémentation du système DNS (Domain Name System) contient un enregistrement de ressource d’hôte simple (A) pour que les clients intranet puissent localiser le serveur de fédération du compte. Cette implémentation de système DNS peut également héberger d’autres enregistrements DNS requis dans le réseau d’entreprise. Pour plus d'informations, consultez Configuration de la résolution de noms pour les serveurs de fédération.
Serveur de fédération partenaire du compte : ce serveur de fédération est joint à un domaine dans la forêt de partenaires du compte. Il authentifie les comptes d’utilisateur des employés et génère des jetons AD FS. L’ordinateur client de l’employé procède à l’authentification intégrée de Windows sur ce serveur de fédération pour générer un jeton AD FS. Pour plus d'informations, voir Review the Role of the Federation Server in the Account Partner.
Le serveur de fédération partenaire du compte peut authentifier les utilisateurs suivants :
Les employés disposant de comptes d’utilisateurs dans ce domaine
Les employés disposant de comptes d’utilisateurs dans cette forêt
Les employés disposant de comptes d’utilisateurs dans des forêts approuvées par cette forêt (via une approbation bidirectionnelle de Windows)
Employé : un(e) employé(e) accède à un service web (via une application) ou à une application web (via un navigateur web pris en charge) quand il ou elle est connecté(e) au réseau d’entreprise. L’ordinateur client de l’employé sur le réseau d’entreprise communique directement avec le serveur de fédération pour l’authentification.
Après avoir vérifié les informations contenues dans les rubriques associées, vous pouvez commencer à déployer cet objectif en suivant les étapes de Checklist: Implementing a Federated Web SSO Design.
L’illustration suivante montre chacun des composants requis pour cet objectif de déploiement AD FS.
