Exporter (0) Imprimer
Développer tout

Rôle Services AD FS (Active Directory Federation Services)

Mis à jour: janvier 2008

S'applique à: Windows Server 2008

Les services AD FS (Active Directory® Federation Services) sont un rôle serveur du système d’exploitation Windows Server® 2008 que vous pouvez utiliser pour créer une solution d’accès aux identités sécurisée, hautement évolutive et pouvant être étendue à Internet, qui peut fonctionner sur plusieurs plateformes à la fois, aussi bien dans des environnements Windows que non-Windows. Les sections suivantes fournissent des informations sur les services AD FS dans Windows Server 2008, notamment sur les fonctionnalités supplémentaires dont les services AD FS sont dotés dans Windows Server 2008 par rapport à la version figurant dans le système d’exploitation Windows Server 2003 R2.

Pour plus d’informations sur les services AD FS, voir Vue d’ensemble des services AD FS (Active Directory Federation Services) (http://go.microsoft.com/fwlink/?LinkId=87272). Pour plus d’informations sur la configuration d’un environnement de test AD FS, voir le Guide pas à pas des services AD FS dans Windows Server 2008 (http://go.microsoft.com/fwlink/?LinkID=85685).

Qui ce composant peut-il intéresser ?

Les services AD FS sont conçus pour être déployés dans des organisations de moyenne à grande taille qui disposent des éléments suivants :

  • Au moins un service d’annuaire : soit les services de domaine Active Directory (AD DS), soit les services AD LDS (Active Directory Lightweight Directory Services) (anciennement Active Directory en mode application ou ADAM)

  • Ordinateurs exécutant plusieurs plateformes de système d’exploitation

  • Ordinateurs joints à un domaine

  • Ordinateurs connectés à Internet

  • Une ou plusieurs applications Web

Passez ces informations en revue, ainsi que la documentation connexe sur les services AD FS, si vous êtes dans l’un des cas suivants :

  • Un professionnel de l’informatique responsable de la prise en charge d’une infrastructure AD FS existante.

  • Un planificateur, un analyste ou un architecte informatique qui procède à une évaluation de produits de fédération d’identités.

Existe-t-il des considérations particulières ?

Si vous disposez d’une infrastructure AD FS existante, vous devez tenir compte de certaines considérations particulières avant de commencer à mettre à niveau les serveurs de fédération, les serveurs proxy de fédération et les serveurs Web prenant en charge AD FS qui exécutent Windows Server 2003 R2 vers Windows Server 2008. Ces considérations ne s’appliquent que lorsque vous avez des serveurs AD FS qui ont été manuellement configurés pour utiliser des comptes de service uniques.

Les services AD FS utilisent le compte Service réseau comme compte par défaut à la fois pour le service d’authentification de l’agent Web AD FS et pour l’identité du pool d’applications ADFSAppPool. Si vous avez manuellement configuré un ou plusieurs serveurs AD FS dans votre déploiement AD FS existant pour utiliser un autre compte de service que le compte Service réseau par défaut, déterminez quels serveurs AD FS utilisent ces comptes de service uniques et enregistrez le nom d’utilisateur et le mot de passe pour chaque compte de service.

Lorsque vous mettez un serveur à niveau vers Windows Server 2008, le processus de mise à niveau restaure automatiquement les valeurs par défaut d’origine de tous les comptes de service. Par conséquent, vous devez à nouveau entrer manuellement les informations de compte de service pour chaque serveur applicable après l’installation complète de Windows Server 2008.

Quelles sont les nouvelles fonctionnalités offertes par ce composant ?

Dans Windows Server 2008, les services AD FS proposent de nouvelles fonctionnalités qui n’étaient pas disponibles dans Windows Server 2003 R2. Ces nouvelles fonctionnalités sont conçues pour réduire la charge d’administration et pour étendre davantage la prise en charge d’applications clés :

  • Installation améliorée : les services AD FS sont inclus dans Windows Server 2008 en tant que rôle serveur et l’Assistant d’installation effectue de nouvelles vérifications de validation de serveur.

  • Prise en charge d’applications améliorée : les services AD FS sont intégrés plus étroitement à Microsoft Office SharePoint® Server 2007 et aux services Active Directory Rights Management Services (AD RMS).

  • Plus grande facilité d’administration lorsque vous établissez des approbations fédérées : des fonctionnalités améliorées d’importation et d’exportation des stratégies d’approbation permettent de minimiser les problèmes de configuration basés sur les partenaires qui sont couramment associés à l’établissement d’approbations fédérées.

Installation améliorée

Les services AD FS dans Windows Server 2008 apportent plusieurs améliorations au processus d’installation. Pour installer les services AD FS dans Windows Server 2003 R2, vous deviez utiliser Ajouter ou supprimer des programmes pour rechercher et installer le composant AD FS. Par contre, dans Windows Server 2008, vous pouvez installer les services AD FS en tant que rôle serveur à l’aide du Gestionnaire de serveur.

Vous pouvez utiliser les pages améliorées de l’Assistant de configuration des services AD FS pour effectuer des vérifications de validation de serveur avant de poursuivre l’installation du rôle serveur Services AD FS. Par ailleurs, le Gestionnaire de serveur répertorie et installe automatiquement tous les services dont dépendent les services AD FS pendant l’installation du rôle serveur Services AD FS. Ces services comprennent Microsoft ASP.NET 2.0 et d’autres services qui font partie du rôle serveur Serveur Web (IIS).

Prise en charge d’applications améliorée

Les services AD FS dans Windows Server 2008 présentent des améliorations qui augmentent leur capacité à s’intégrer à d’autres applications, comme par exemple Office SharePoint Server 2007 et les services AD RMS.

Intégration à Office SharePoint Server 2007

Office SharePoint Server 2007 tire pleinement parti des fonctionnalités d’authentification unique (SSO) qui sont intégrées à cette version des services AD FS. Les services AD FS dans Windows Server 2008 permettent de prendre en charge les fournisseurs d’appartenances et de rôles Office SharePoint Server 2007. Cela signifie que vous pouvez configurer efficacement Office SharePoint Server 2007 en tant qu’application prenant en charge les revendications dans les services AD FS et que vous pouvez administrer n’importe quel site Office SharePoint Server 2007 en vous appuyant sur le contrôle d’accès basé sur les appartenances et les rôles. Les fournisseurs d’appartenances et de rôles qui sont inclus dans cette version des services AD FS ne doivent être utilisés que par Office SharePoint Server 2007.

Intégration aux services AD RMS

Les services AD RMS et AD FS ont été intégrés de manière à ce que les organisations puissent tirer parti de relations d’approbations fédérées existantes pour collaborer avec des partenaires externes et partager du contenu protégé par des droits. Par exemple, une organisation qui a déployé les services AD RMS peut établir une fédération avec une organisation externe à l’aide des services AD FS. L’organisation peut ensuite utiliser cette relation pour partager du contenu protégé par des droits avec l’autre organisation sans qu’il soit nécessaire de déployer les services AD RMS dans les deux organisations.

Plus grande facilité d’administration lors de l’établissement d’approbations fédérées

Dans Windows Server 2003 R2 et Windows Server 2008, les administrateurs des services AD FS peuvent créer une approbation fédérée entre deux organisations en ayant recours soit à un processus d’importation et d’exportation de fichiers de stratégie, soit à un processus manuel qui implique l’échange mutuel de valeurs de partenaires, telles que des URI (Uniform Resource Indicators), des types de revendications, des mappages de revendications, des noms complets, etc. Le processus manuel oblige l’administrateur qui reçoit ces données à les taper toutes dans les pages appropriées de l’Assistant Ajout de partenaire, ce qui peut se traduire par des erreurs typographiques. En outre, le processus manuel oblige l’administrateur du partenaire de compte à envoyer une copie du certificat de vérification du serveur de fédération à l’administrateur du partenaire de ressource pour que le certificat puisse être ajouté par le biais de l’Assistant.

Bien qu’il était possible d’importer et d’exporter des fichiers de stratégie dans Windows Server 2003 R2, la création d’approbations fédérées entre des organisations partenaires est plus facile dans Windows Server 2008 grâce à des fonctionnalités améliorées d’importation et d’exportation de stratégies. Ces améliorations ont été effectuées dans le but de faciliter l’administration en accordant plus de souplesse à la fonctionnalité d’importation de l’Assistant Ajout de partenaire. Par exemple, lors de l’importation de la stratégie d’un partenaire, l’administrateur peut utiliser l’Assistant Ajout de partenaire pour modifier les valeurs importées avant que le processus de l’Assistant ne soit terminé. Cela inclut la possibilité de spécifier un autre certificat de vérification de partenaire de compte et de mapper des revendications entrantes ou sortantes entre les partenaires.

À l’aide des fonctionnalités d’exportation et d’importation qui sont fournies avec les services AD FS dans Windows Server 2008, les administrateurs peuvent tout simplement exporter les paramètres de leur stratégie d’approbation vers un fichier .xml, puis envoyer ce fichier à l’administrateur du partenaire. Cet échange de fichiers de stratégie de partenaire fournit l’ensemble des URI, des types de revendications, des mappages de revendications et des autres valeurs, ainsi que les certificats de vérification, qui sont nécessaires pour créer une approbation fédérée entre les deux organisations partenaires.

L’illustration suivante et les instructions qui l’accompagnent indiquent de quelle façon un échange de stratégies réussi entre partenaires (lancé dans ce cas par l’administrateur de l’organisation du partenaire de compte) peut simplifier le processus d’établissement d’une approbation fédérée entre deux organisations fictives : A. Datum Corporation et Trey Research.

Processus Importation/Exportation AD FS
  1. L’administrateur du partenaire de compte spécifie l’option Exporter la stratégie de partenaire de base en cliquant avec le bouton droit sur le dossier Stratégie d’approbation et exporte un fichier de stratégie de partenaire qui contient l’URI, le nom complet, l’URL (Uniform Resource Locator) du serveur proxy de fédération et le certificat de vérification de la société A. Datum Corporation. L’administrateur du partenaire de compte envoie ensuite le fichier de stratégie de partenaire (par courrier électronique ou un autre moyen) à l’administrateur du partenaire de ressource.

  2. L’administrateur du partenaire de ressource crée un nouveau partenaire de compte à l’aide de l’Assistant Ajout de partenaire de compte et sélectionne l’option qui consiste à importer un fichier de stratégie d’un partenaire de compte. L’administrateur du partenaire de ressource spécifie alors l’emplacement du fichier de stratégie du partenaire de compte et vérifie que toutes les valeurs figurant dans chacune des pages de l’Assistant (qui sont préremplies au moment de l’importation de la stratégie) sont correctes. L’administrateur termine ensuite l’Assistant.

  3. L’administrateur du partenaire de ressource peut maintenant configurer des revendications ou paramètres de stratégie d’approbation supplémentaires qui sont spécifiques à ce partenaire de compte. Une fois cette configuration terminée, l’administrateur spécifie l’option Exporter la stratégie en cliquant avec le bouton droit sur le partenaire de compte A. Datum Corporation. L’administrateur du partenaire de ressource exporte un fichier de stratégie de partenaire qui contient des valeurs telles que l’URI, l’URL du serveur proxy de fédération, le nom complet, les types de revendications et les mappages de revendications de l’organisation Trey Research. L’administrateur du partenaire de ressource envoie ensuite le fichier de stratégie de partenaire à l’administrateur du partenaire de compte.

  4. L’administrateur du partenaire de compte crée un nouveau partenaire de ressource à l’aide de l’Assistant Ajout de partenaire de ressource et sélectionne l’option qui consiste à importer un fichier de stratégie d’un partenaire de ressource. L’administrateur du partenaire de compte spécifie alors l’emplacement du fichier de stratégie du partenaire de ressource et vérifie que toutes les valeurs figurant dans chacune des pages de l’Assistant (qui sont préremplies au moment de l’importation de la stratégie) sont correctes. L’administrateur termine ensuite l’Assistant.

Une fois ce processus terminé, une approbation de fédération est établie entre les deux partenaires. L’administrateur du partenaire de ressource peut également être à l’origine du processus d’importation et d’exportation, bien que ce processus ne soit pas décrit ici.

Quels paramètres ont été ajoutés ou modifiés ?

Vous configurez les paramètres de l’agent Web basé sur les jetons Windows NT à l’aide du composant logiciel enfichable Gestionnaire des services Internet. Pour prendre en charge les nouvelles fonctionnalités incluses dans les Services Internet (IIS) 7.0, les services AD FS dans Windows Server 2008 comportent des mises à jour de l’interface utilisateur pour le service de rôle Agent Web AD FS. Le tableau suivant répertorie les différents emplacements de chacune des pages de propriétés de l’agent Web AD FS dans le Gestionnaire des services Internet pour IIS 6.0 ou IIS 7.0, en fonction de la version des services Internet qui est utilisée.

 

Page de propriétés IIS 6.0 Ancien emplacement Page de propriétés IIS 7.0 Nouvel emplacement

Onglet Agent Web AD FS

<NOM_ORDINATEUR>\Sites Web

URL du service de fédération

<NOM_ORDINATEUR> (dans la section Autre du volet central)

Onglet Agent Web AD FS

<NOM_ORDINATEUR>\Sites Web\<Site ou annuaire virtuel>

Agent Web AD FS

<NOM_ORDINATEUR>\Sites Web\<Site ou annuaire virtuel> (dans la section IIS\Authentification du volet central)

noteRemarque
Il n’y a pas de différences d’interface utilisateur significatives entre le composant logiciel enfichable Services ADFS (Active Directory Federation Services) dans Windows Server 2008 et ce même composant logiciel enfichable dans Windows Server 2003 R2.

Cela vous a-t-il été utile ?
(1500 caractères restants)
Merci pour vos suggestions.

Ajouts de la communauté

AJOUTER
Microsoft réalise une enquête en ligne pour recueillir votre opinion sur le site Web de MSDN. Si vous choisissez d’y participer, cette enquête en ligne vous sera présentée lorsque vous quitterez le site Web de MSDN.

Si vous souhaitez y participer,
Afficher:
© 2014 Microsoft