Présentation des concepts AD FS clés

Il est recommandé d’apprendre les concepts importants pour Services ADFS et de vous familiariser avec son jeu de fonctionnalités.

Conseil

Vous trouverez des liens de ressources AD FS supplémentaires dans les concepts ad FS clés.

Terminologie AD FS utilisée dans ce guide

Terme AD FS Définition
Organisation partenaire de compte Organisation partenaire de fédération représentée par une approbation de fournisseur de revendications dans le service de fédération. L'organisation partenaire de compte contient les utilisateurs qui accèdent aux applications web dans le partenaire de ressource.
Serveur de fédération de comptes Serveur de fédération dans l'organisation partenaire de compte. Le serveur de fédération de comptes émet des jetons de sécurité pour les utilisateurs en fonction de l'authentification utilisateur. Le serveur authentifie l'utilisateur, extrait du magasin d'attributs les informations d'appartenance de groupe et les attributs appropriés, rassemble ces informations en revendications, puis génère et signe un jeton de sécurité (qui contient les revendications) à retourner à l'utilisateur, qui s'en servira dans sa propre organisation, ou à envoyer à une organisation partenaire.
Base de données de configuration AD FS Base de données dans laquelle sont stockées toutes les données de configuration qui représentent une instance AD FS ou un service de fédération spécifique. Ces données de configuration peuvent être stockées dans une base de données SQL Server ou à l’aide de la fonctionnalité Base de données interne Windows incluse avec Windows Server 2016, Windows Server 2012 et 2012 R2 et Windows Server 2008 et 2008 R2.

Vous pouvez créer la base de données de configuration AD FS pour SQL Server à l’aide de l’outil en ligne de commande Fsconfig.exe et pour Base de données interne Windows à l’aide de l’Assistant Configuration du serveur de fédération AD FS.
Fournisseur de revendications Organisation qui fournit les revendications à ses utilisateurs. Consultez « Organisation partenaire de compte ».
Approbation de fournisseur de revendications Dans le composant logiciel enfichable Gestion AD FS, les approbations de fournisseurs de revendications sont généralement créées dans les organisations partenaires de ressources pour représenter l’organisation dans la relation d’approbation dont les comptes accèdent aux ressources de l’organisation partenaire de ressources. Un objet d'approbation de fournisseur de revendications se compose d'un ensemble d'identificateurs, de noms et de règles qui identifient ce partenaire auprès du service de fédération local.
Approbation de fournisseur de revendications local Objet d’approbation qui représente les services AD LDS ou des annuaires LDAP tiers dans une batterie de serveurs AD FS. Un objet d’approbation de fournisseur de revendications se compose d’un ensemble d’identificateurs, de noms et de règles qui identifient cet annuaire LDAP auprès du service de fédération local.
Métadonnées de fédération Format de données utilisé pour la communication des informations de configuration entre un fournisseur de revendications et une partie de confiance pour faciliter la configuration des approbations de fournisseur de revendications et des approbations de partie de confiance. Le format de données est défini dans SAML 2.0 (Security Assertion Markup Language) et étendu dans WS-Federation.
Serveur de fédération Serveur Windows configuré à l’aide de l’Assistant Configuration du serveur de fédération AD FS pour agir dans le rôle serveur de fédération. Un serveur de fédération émet des jetons et agit dans le cadre d'un service de fédération.
Serveur proxy de fédération Serveur Windows configuré à l’aide de l’Assistant Configuration du proxy du serveur de fédération AD FS pour agir comme un service proxy intermédiaire entre un client Internet et un service de fédération situé derrière un pare-feu sur un réseau d’entreprise.
Serveur de fédération principal Un serveur Windows configuré dans le rôle serveur de fédération à l’aide de l’Assistant Configuration du serveur de fédération AD FS et possède une copie en lecture/écriture de la base de données de configuration AD FS.

Le serveur de fédération principal est créé lorsque vous utilisez l’Assistant Configuration du serveur de fédération AD FS et sélectionnez l’option permettant de créer un service de fédération et de rendre cet ordinateur le premier serveur de fédération dans la batterie. Tous les autres serveurs de fédération de cette batterie doivent répliquer les modifications apportées sur le serveur de fédération principal vers une copie en lecture seule de la base de données de configuration AD FS qui est stockée localement. Le terme « serveur de fédération principal » ne s’applique pas lorsque la base de données de configuration AD FS est stockée dans une base de données SQL, car tous les serveurs de fédération peuvent également lire et écrire dans une base de données de configuration stockée sur un SQL Server.
Partie de confiance Organisation qui reçoit et traite les revendications. Consultez « Organisation partenaire de ressource ».
Approbation de partie de confiance Dans le composant logiciel enfichable Gestion AD FS, les approbations de partie de confiance sont généralement créées dans :

- Les organisations partenaires de compte pour représenter l’organisation dans la relation d’approbation dont les comptes accèdent aux ressources de l’organisation partenaire de ressources.
- Organisations partenaires de ressources pour représenter l’approbation entre le service de fédération et une application web unique.

Un objet d'approbation de partie de confiance se compose d'un ensemble d'identificateurs, de noms et de règles qui identifient ce partenaire ou cette application web auprès du service de fédération local.

Serveur de fédération de ressources Serveur de fédération dans l'organisation partenaire de ressource. En règle générale, le serveur de fédération de ressources émet des jetons de sécurité pour les utilisateurs en fonction d'un jeton de sécurité émis par un serveur de fédération de comptes. Le serveur reçoit le jeton de sécurité, vérifie la signature, applique une logique de règle de revendication aux revendications désassemblées pour créer les revendications sortantes souhaitées, génère un nouveau jeton de sécurité (comportant les revendications sortantes) en fonction des informations contenues dans le jeton de sécurité entrant et signe le nouveau jeton à retourner à l'utilisateur, puis finalement à l'application web.
Organisation partenaire de ressource Partenaire de fédération représenté par une approbation de partie de confiance dans le service de fédération. Le partenaire de ressource émet un jeton de sécurité basé sur des revendications qui contient des applications web publiées accessibles aux utilisateurs du partenaire de compte.

Vue d'ensemble d'AD FS

AD FS est une solution d’accès aux identités qui fournit des ordinateurs clients (internes ou externes à votre réseau) avec un accès transparent à l’authentification unique aux applications ou services accessibles à Internet protégés, même lorsque les comptes d’utilisateur et les applications se trouvent dans des réseaux ou des organisations complètement différents.

En règle générale, quand une application ou un service se trouve sur un réseau et qu'un compte d'utilisateur se trouve sur un autre réseau, l'utilisateur est invité à indiquer des informations d'identification secondaires pour accéder à l'application ou au service. Ces informations d'identification secondaires représentent l'identité de l'utilisateur dans le domaine qui abrite l'application ou le service. Le serveur web qui héberge l'application ou le service se sert généralement de ces informations pour prendre la décision la plus appropriée en matière d'autorisation.

Avec AD FS, les organisations peuvent contourner les demandes d’informations d’identification secondaires en fournissant des relations d’approbation (approbations de fédération) que ces organisations peuvent utiliser pour projeter l’identité numérique d’un utilisateur et les droits d’accès aux partenaires approuvés. Dans cet environnement fédéré, chaque organisation continue de gérer ses propres identités, tout en pouvant mutuellement partager des identités avec d'autres organisations de manière sécurisée.