Installation d’un serveur proxy de fédération
Vous pouvez des serveurs proxy de fédération de services de fédération Active Directory (AD FS) dans un réseau de périmètre pour fournir une couche de protection contre les utilisateurs malveillants pouvant provenir d’Internet. Les serveurs proxy de fédération sont parfaits pour l’environnement de réseau de périmètre, car ils n’ont pas accès aux clés privées utilisées pour créer des jetons. Toutefois, les serveurs proxy de fédération peuvent acheminer de manière efficace les demandes entrantes vers les serveurs de fédération autorisés à produire ces jetons.
Il n’est pas nécessaire de placer un serveur proxy de fédération à l’intérieur du réseau d’entreprise pour le partenaire de compte ou de ressource car les ordinateurs clients connectés au réseau d’entreprise peuvent communiquer directement avec le serveur de fédération. Dans ce scénario, le serveur de fédération propose également la fonctionnalité serveur proxy de fédération pour les ordinateurs clients provenant du réseau d’entreprise.
Comme cela est courant avec les réseaux de périmètre, un pare-feu intranet est installé entre le réseau de périmètre et le réseau d’entreprise, et un pare-feu Internet est souvent mis en place entre le réseau de périmètre et Internet. Dans ce scénario, le serveur proxy de fédération se situe entre ces deux pare-feu sur le réseau de périmètre.
Configuration de vos serveurs de pare-feu pour un serveur proxy de fédération
Pour que le processus de redirection de serveur proxy de fédération aboutisse, tous les serveurs de pare-feu doivent être configurés pour autoriser le trafic HTTPS (Secure Hypertext Transfer Protocol). L'utilisation de HTTPS est nécessaire parce que les serveurs du pare-feu doivent publier le proxy du serveur de fédération, en utilisant le port 443, afin que le proxy du serveur de fédération dans le réseau périphérique puisse accéder au serveur de fédération dans le réseau d'entreprise.
Notes
Toutes les communications vers et à partir des ordinateurs clients se produisent également via HTTPS.
En outre, le serveur de pare-feu Internet, comme un ordinateur exécutant Microsoft Internet Security and Acceleration (ISA) Server, utilise un processus appelé « publication de serveur » pour distribuer les demandes de clients Internet vers les serveurs de réseau d’entreprise et de périmètre appropriés, tels que les serveurs proxy de fédération ou les serveurs de fédération.
Les règles de publication de serveur déterminent le fonctionnement de la publication de serveur, qui consiste essentiellement dans le filtrage de toutes les demandes entrantes et sortantes via l’ordinateur ISA Server. Les règles de publication serveur mettent en correspondance les demandes clients avec les serveurs appropriés derrière l’ordinateur ISA Server. Pour plus d'informations sur la configuration d’ISA Server pour publier un serveur, consultez Créer une règle de publication Web sécurisée.
Dans le monde fédéré de AD FS, ces demandes clients sont généralement effectuées auprès d’une URL spécifique, par exemple, une URL d’identificateur de serveur de fédération telle que http://fs.fabrikam.com. Dans la mesure où les demandes client proviennent d’Internet le serveur de pare-feu Internet doit être configuré pour publier l’URL d’identificateur de serveur de fédération pour chaque serveur proxy de fédération déployé dans le réseau de périmètre.
Configuration d’ISA Server pour autoriser SSL
Pour faciliter des communications AD FS sécurisées, vous devez configurer ISA Server de manière à autoriser les communications SSL (Secure Sockets Layer) entre les éléments suivants :
Serveurs de fédération et proxys de serveur de fédération. Un canal SSL est requis pour toutes les communications entre les serveurs de fédération et les proxys de serveur de fédération. Par conséquent, vous devez configurer ISA Server de manière à autoriser une connexion SSL entre le réseau d’entreprise et le réseau de périmètre.
Ordinateurs clients, serveurs de fédération et proxys de serveur de fédération. Pour permettre les communications entre les ou les ordinateurs clients et les serveurs de fédération ou entre les ordinateurs clients et les serveurs proxy de fédération, vous pouvez placer un ordinateur exécutant ISA Server devant le serveur de fédération ou le serveur proxy de fédération.
Si votre organisation effectue l’authentification du client SSL sur le serveur de fédération ou le proxy du serveur de fédération, lorsque vous placez un ordinateur exécutant ISA Server devant le serveur de fédération ou le proxy du serveur de fédération, le serveur doit être configuré pour le passage de la connexion SSL, car la connexion SSL doit se terminer au niveau du serveur de fédération ou du proxy du serveur de fédération.
Si votre organisation n’effectue pas d’authentification client SSL sur le serveur de fédération ou le serveur proxy de fédération, une autre option consiste à mettre fin à la connexion SSL sur l’ordinateur exécutant ISA Server et à rétablir une connexion SSL avec le serveur de fédération ou le serveur proxy de fédération.
Remarque
Le serveur de fédération ou le serveur proxy de fédération requiert une connexion sécurisée par SSL pour protéger le contenu du jeton de sécurité.