Capacité d'optimisation d'infrastructure : gestion des identités et des accès - Du niveau rationalisé au niveau dynamique

Sur cette page

Présentation
Exigence : attribution automatisée et centralisée de comptes utilisateur à travers des systèmes hétérogènes
Exigence : authentification des clients externes et des partenaires métier par le biais d'annuaires

Présentation

La gestion des identités et des accès est une capacité d'optimisation d'infrastructure à la base de l'implémentation de nombre des capacités présentées dans le modèle d'optimisation d'infrastructure.

Le tableau suivant répertorie les principaux enjeux, les solutions applicables et les avantages du passage au niveau dynamique de la gestion des identités et des accès.

Enjeux	Solutions	Avantages
Enjeux métier Les utilisateurs ont toujours besoin du support pour accéder aux ressources ; aucune configuration utilisateur Aucune vue précise de l'identité de l'entreprise Enjeux informatiques Bien que les identités soient administrées de façon centrale et que les configurations et les paramètres soient facilement gérés, il manque une authentification unique à travers les différents systèmes Les utilisateurs continuent de recevoir plusieurs invites d'authentification par jour	Projets Implémenter une solution pour gérer la configuration des utilisateurs de façon centrale Implémenter une solution de gestion fédérée des identités à travers les différents sites de l'entreprise et les différentes plates-formes	Avantages métier Permettre une authentification unique à travers les différents systèmes pour réduire les coûts d'administration et accroître la productivité des utilisateurs Plusieurs référentiels d'identités sont connectés et fédérés au sein d'un pare-feu ou approuvés pour permettre la configuration du workflow d'identités Bénéfices informatiques Administration centralisée des mots de passe Annulation automatisée de l'attribution d'un compte à une identité et gestion du cycle de vie Coûts de support et interruptions du temps de travail de l'utilisateur réduits

La gestion continue des accès et des identités se concentre sur les capacités présentées ci-après, comme défini dans la Série Gestion des identités et des accès de Microsoft.

• Principes de base de la gestion des accès et des identités

  • Concepts fondamentaux * *

  • Plate-forme et infrastructure

• Gestion du cycle de vie des identités

  • Agrégation et synchronisation des identités

  • Gestion des mots de passe pour l'intranet et l'extranet

  • Attribution de privilèges d'accès et workflow

• Gestion des accès et authentification unique

  • Gestion de l'accès à l'intranet

  • Gestion de l'accès à l'extranet 

Notez que les capacités susmentionnées constituent toutes des composants clés du service de gestion des accès et des identités de toute organisation. Pour plus d'informations, veuillez vous reporter à la Série Gestion des identités et des accès de Microsoft.

Les niveaux standardisé et rationalisé de la gestion des identités et des accès du modèle d'optimisation d'infrastructure couvrent les principales notions d'un service d'annuaire unifié et des stratégies de sécurité et configurations de mise en œuvre automatisées. Le niveau dynamique étend ces capacités en mettant en place l'attribution automatisée de comptes utilisateur et l'accès sécurisé aux ressources réseau par les tiers.

Exigence : attribution automatisée et centralisée de comptes utilisateur à travers des systèmes hétérogènes

Public visé

Nous vous recommandons de lire cette section si vous ne disposez d'aucun outil automatisé et centralisé pour l'attribution de comptes utilisateur à travers 80 % ou plus de vos systèmes hétérogènes.

Vue d'ensemble

De nos jours, les grandes entreprises souffrent souvent des processus médiocres et complexes qu'elles utilisent pour fournir aux systèmes les informations concernant les utilisateurs du réseau informatique. Par exemple, dans certaines entreprises, il faut parfois attendre jusqu'à deux semaines avant qu'un nouveau collaborateur puisse accéder à sa messagerie électronique et aux applications dont il a besoin pour travailler. Les processus manuels et complexes généralement utilisés pour la configuration d'identités donnent davantage de travail, affectent la productivité des employés et débouchent souvent sur un environnement réseau non sécurisé.

L'administration manuelle des tâches d'attribution de privilèges d'accès prend du temps et n'applique généralement pas correctement les stratégies d'accès et d'autorisation. Sans un processus automatisé et fiable, il sera souvent impossible d'essayer de mettre en œuvre les stratégies souhaitées.

Les entreprises stockent les informations d'identité dans plusieurs référentiels ou magasins de données. L'utilisation d'un produit incluant des fonctionnalités de méta-annuaire vous permet de synchroniser les données existantes pour assurer leur cohérence à travers ces magasins. Pour passer au niveau dynamique, vous devez mettre en œuvre et utiliser des technologies qui permettent l'attribution automatisée et centralisée de privilèges d'accès.

Phase 1 : analyse

Durant la phase d'analyse, effectuez le suivi des activités qui surviennent couramment lorsque des employés rejoignent votre entreprise, lors de mutations ou de restructurations, lorsque des mots de passe sont réinitialisés ou lorsque des requêtes courantes autonomes sont faites aux annuaires d'utilisateurs. Ces processus ou workflows se produiront toujours dans toute entreprise ; certains workflows de changement sont traités plus manuellement que d'autres. Le produit de la phase d'analyse est un catalogue contenant les workflows disponibles pour résoudre les requêtes courantes de configuration d'annuaires, les stratégies existantes relatives aux accès et aux autorisations et l'identification des contrôles manuels requis pour les autorisations d'accès ou de changement. Un enregistrement de la durée typique requise entre la requête initiale et la résolution du changement aidera également à déterminer les tâches prioritaires et à utiliser, une fois la solution d'attribution des privilèges d'accès mise en œuvre, pour calculer les améliorations en termes de productivité.

Phase 2 : identification

Une fois que vous avez identifié les workflows sous-jacents, les stratégies et les efforts requis pour effectuer les tâches courantes de configuration des utilisateurs, la phase d'identification met en évidence les secteurs à améliorer pour les annuaires existants ou les activités utilisateur.

Ce document présente trois scénarios pour la phase d'identification :

• attribution de privilèges d'accès par les RH ;

• gestion des groupes ;

• attribution de privilèges d'accès en libre-service.

Ces scénarios correspondront normalement à un grand nombre d'enjeux associés à la configuration des comptes et aux services d'annuaires de votre entreprise, mais cette liste n'est pas exhaustive. Cette phase permettra d'identifier une grande partie des secteurs à améliorer ou les violations de stratégies actuelles, à prendre en compte durant la phase d'évaluation et de planification du projet. Les critères de réussite doivent inclure les gains d'efficacité relatifs aux diverses tâches, ainsi que la résolution des problèmes dénoncés dans les sections suivantes.

Attribution de privilèges d'accès par les RH

Dans ce scénario, la synchronisation des informations d'identité ne représente qu'une partie de la solution requise. En plus d'une vue complète sur vos utilisateurs, vous avez besoin d'une solution automatisée d'attribution de privilèges d'accès.

L'attribution de privilèges d'accès par les RH englobe et corrige les problèmes suivants :

• efforts multipliés pour assurer la maintenance de magasins de données disparates ;

• incohérence des données ;

• emprunt de comptes par les utilisateurs ;

• comptes obsolètes (ceux qui ne sont pas rapidement désactivés ou supprimés) ;

• accès inapproprié.

Gestion des groupes

Les entreprises utilisent généralement des groupes de distribution pour distribuer le courrier électronique et des groupes de sécurité pour rassembler les utilisateurs disposant des mêmes droits. L'enjeu consiste à gérer ces différents types de groupes en s'assurant que les droits appropriés sont correctement accordés ou révoqués, d'après les règles de gestion, tout en fournissant un routage efficace du courrier électronique, sans que l'utilisateur n'ait à s'en plaindre.

Sans une solution automatisée et centralisée d'attribution de privilèges d'accès, il est difficile de placer les utilisateurs dans les groupes appropriés durant le processus d'attribution tout en gérant ces groupes au fil des changements de rôle, de position et de lieu d'affectation des utilisateurs. Cette situation débouche sur la frustration des utilisateurs, sur une augmentation du volume d'appels au support technique et sur des attributions d'accès incorrectes.

La gestion des groupes englobe et corrige les problèmes suivants :

• accès retardé pour les nouveaux utilisateurs ;

• listes de distribution incorrectes ;

• groupes obsolètes ;

• courrier électronique redondant ;

• autorisations non supprimées lorsqu'un employé quitte le groupe ;

• nombre excessif de comptes administratifs.

Attribution de privilèges d'accès en libre-service

Alors que l'attribution de privilèges d'accès par les RH est généralement considérée comme la source d'autorité pour les employés permanents, elle n'est pas toujours considérée comme telle pour les sous-traitants et employés temporaires.

L'attribution de privilèges d'accès en libre-service englobe et corrige les problèmes suivants :

• retards empêchant les sous-traitants de commencer à travailler ;

• comptes obsolètes ;

• attribution de mots de passe inefficace ou non sécurisée ;

• comptes en double.

Phase 3 : évaluation et planification

Au cours de la phase d'évaluation et de planification, vous chercherez quelles sont les technologies à utiliser pour contribuer à automatiser l'attribution de comptes utilisateur et le libre-service. Vous devez évaluer et comparer les fonctionnalités et les coûts liés aux outils et à leur mise en œuvre. Une fois que vous avez choisi une technologie, durant le processus de planification, vous devez discuter de sa mise en œuvre et définir les priorités des scénarios. Microsoft propose plusieurs outils pour centraliser et automatiser la configuration des utilisateurs dans des environnements informatiques hétérogènes :

• Microsoft Identity Lifecycle Manager 2007 (ILM 2007)

• Microsoft Identity Integration Server (MIIS) 2003

• Zero Touch Provisioning (ZTP)

Microsoft Identity Lifecycle Manager 2007

Microsoft Identity Lifecycle Manager 2007 (ILM 2007) est la technologie recommandée pour l'automatisation de l'attribution de comptes utilisateur. ILM 2007 fournit une solution complète et intégrée pour la gestion du cycle de vie complet des identités des utilisateurs et de leurs informations d'identification. ILM 2007 repose sur le méta-annuaire et les fonctionnalités de configuration utilisateur de Microsoft Identity Integration Server 2003 (MIIS 2003) et présente de nouvelles capacités pour la gestion d'informations d'identification renforcées, telles que les cartes à puce avec Certificate Lifecycle Manager 2007 (CLM 2007). Il permet la synchronisation des identités, la gestion des certificats et des mots de passe et la configuration des utilisateurs par le biais d'une seule et même solution fonctionnant à travers Microsoft Windows® et d'autres systèmes d'entreprise. Par conséquent, les entreprises peuvent définir et automatiser les processus utilisés pour gérer les identités, de leur création à leur suppression. Des ressources techniques apparaissent sans cesse pour ILM 2007 ; pour plus de détails, consultez l'article Générer un flux de travail de mise en service à étape unique dans le numéro de mai 2007 de TechNet Magazine.

Microsoft Identity Integration Server 2003

Microsoft Identity Integration Server (MIIS) 2003 est un service centralisé de stockage et d'intégration d'informations d'identité s'adressant aux organisations disposant d'annuaires multiples. MIIS 2003 est conçu pour fournir une vue unifiée de toutes les informations d'identité connues sur les utilisateurs, les applications et les ressources réseau. Microsoft TechNet propose plusieurs ressources pour la planification et la mise en œuvre de services automatisés de configuration utilisateur à l'aide de MIIS 2003, notamment celle concernant l'attribution de privilèges d'accès et le workflow de la série Gestion des identités et des accès Microsoft (Cette page peut être en anglais).

Zero Touch Provisioning

Zero Touch Provisioning correspond à la mise en œuvre d'actions, de workflows et d'opérations nécessaires pour permettre aux utilisateurs de souscrire eux-mêmes aux services et aux logiciels. ZTP requiert que les identités soient déjà gérées et étend la configuration des identités et des services d'accès à d'autres requêtes de services informatiques de l'entreprise. ZTP permet aux entreprises d'utiliser un portail de configuration en libre-service géré qui permet aux délégués d'effectuer des tâches de configuration courantes, telles que les réinitialisations de mots de passe, la configuration de la messagerie électronique et l'installation d'applications facultatives. ZTP repose sur Microsoft BizTalk Server et requiert l'utilisation de Systems Management Server 2003. ZTP fournit une base pour configurer les applications et services commerciaux hébergés ou d'entreprise en toute fiabilité et en réduisant l'intervention administrateur. Une version initiale de ZTP utilisant BizTalk Server 2004 est disponible via le téléchargement de l'Accélérateur de solution pour Business Desktop Deployment Enterprise Edition Version 2.5. Pour obtenir des versions plus récentes de Zero Touch Provisioning utilisant BizTalk Server 2006, contactez les services Microsoft.

Évaluation des technologies

Chacune des technologies répertoriées ci-dessus, tout comme certaines technologies disponibles chez d'autres fournisseurs, peuvent vous aider à mettre en place l'attribution automatisée d'objets d'identité ou de comptes. De plus, les solutions ZTP offrent une couche supplémentaire de fonctionnalités pour la gestion du cycle de vie des identités en permettant une réponse automatisée aux requêtes de service courantes, telles que les requêtes en libre-service et la configuration de nouvelles applications et les réinitialisations de mots de passe. Lorsque vous évaluerez vos options technologiques, leur coût et leurs conditions de mise en œuvre, nous vous recommandons de lire les ressources indiquées.

Planification de la solution

Vous pouvez concevoir et planifier une solution d'attribution de privilèges d'accès tout comme vous procéderiez pour un autre projet informatique. Le processus exige de regrouper les exigences, de mettre en œuvre des études conceptuelles, logiques et physiques, d'établir une validation technique, puis d'élaborer les plans du projet, son calendrier et son budget. Pour plus d'informations, consultez l'article sur l'agrégation et la synchronisation des identités (Cette page peut être en anglais).

Pour plus d'informations sur la création de l'architecture d'une solution MIIS 2003, consultez la collection de planifications et de conceptions MIIS 2003 (Cette page peut être en anglais).

Des conseils par projet pour ILM 2007 sont en cours de rédaction. Les conseils présentés dans la série Gestion des identités et des accès sont conçus et testés pour MIIS 2003, mais la plupart des principaux concepts peuvent s'appliquer à des fonctionnalités équivalentes, ainsi qu'aux objectifs de planification et de déploiement pour ILM 2007. Pour plus de conseils, visitez la bibliothèque technique pour ILM 2007 (cette page peut être en anglais).

Phase 4 : déploiement

Une fois vos solutions d'attribution de privilèges d'accès évaluées et vos projets planifiés, la phase finale est celle du déploiement. Plusieurs conditions sont prérequises pour le déploiement d'une solution de workflow et d'attribution de privilèges d'accès, mais cette section traitera uniquement les prérequis relatifs aux identités et aux accès dans le cadre de l'attribution de privilèges d'accès :

• Agrégation et synchronisation des identités en place.

• Data Access Application Block pour .NET 2.0 installé.

• Composant MSMQ (Microsoft Message Queuing) installé.

Une fois les prérequis remplis, la mise en œuvre consiste à configurer MIIS 2003 ou ILM 2007 et à commencer à effectuer des opérations de gestion des identités, notamment à importer et à synchroniser toutes les données existantes pour pouvoir effectuer les opérations qui suivront.

Pour plus d'informations sur le déploiement d'une solution d'attribution de privilèges d'accès à l'aide d'ILM 2007, consultez l'article Générer un flux de travail de mise en service à étape unique dans le numéro de mai 2007 de TechNet Magazine.

Pour plus d'informations sur la mise en œuvre de MIIS 2003 pour l'attribution de comptes utilisateur, consultez l'article sur la mise en œuvre de la solution de la section Attribution de privilèges d'accès et workflow de la série Gestion des identités et des accès Microsoft (cette page peut être en anglais).

Informations complémentaires

Pour plus d'informations sur la configuration utilisateur, rendez-vous sur le site Microsoft TechNet et lancez une recherche sur « configuration utilisateur ».

Pour voir comment Microsoft gère l'attribution de privilèges d'accès, rendez-vous à l'adresse : https://www.microsoft.com/technet/itshowcase/content/ensidcon.mspx.

Point de contrôle de la rubrique

	Exigences
	Des workflows d'attribution des identités d'objet ont été définis, de même que des domaines d'amélioration ou d'optimisation.
	Les technologies utilisées pour gérer le cycle de vie des identités d'objet ont été identifiées.
	Une solution consolidée pour l'automatisation des workflows communs d'attribution de compte a été implémentée.

Si vous avez effectué les étapes répertoriées ci-dessus, votre entreprise présente la configuration minimale requise du niveau dynamique pour les capacités de configuration utilisateur automatisée et centralisée du modèle d'optimisation d'infrastructure. Nous vous recommandons de suivre les conseils des ressources supplémentaires concernant les meilleures pratiques pour la configuration utilisateur afin que les niveaux de sécurité réseau et d'accès utilisateur correspondent toujours à une norme connue.

Passez à la question d'auto-évaluation suivante.

Exigence : authentification des clients externes et des partenaires métier par le biais d'annuaires

Public visé

Si vous n'utilisez pas un outil constitué d'annuaires pour assurer un accès authentifié aux clients externes et partenaires commerciaux, nous vous recommandons de lire cette section.

Vue d'ensemble

Dans le Guide de planification de l'optimisation d'infrastructure pour les responsables de l'implémentation : du niveau de base au niveau standardisé, nous avons parlé des services d'annuaire pour l'authentification utilisateur. Pour passer au niveau dynamique, l'optimisation d'infrastructure requiert la capacité à étendre l'authentification aux clients externes et aux partenaires commerciaux, en toute sécurité et dès que cela est nécessaire. La plupart des entreprises devront fournir des informations continues, en quelque sorte, aux clients externes et aux partenaires commerciaux. Les entreprises informatiques peuvent utiliser des fédérations d'identités pour prendre des décisions d'après les données d'identité des autres entreprises, tout en partageant également certaines informations sur les identités de leurs propres utilisateurs. Une fédération représente un accord entre deux entreprises ayant un objectif commun et fonctionne généralement de telle sorte que chaque entreprise gère ses informations internes, ses stratégies d'accès et ses objets d'identité.

Phase 1 : analyse

Certaines données et informations sont inévitablement partagées avec des parties prenantes externes à votre entreprise. Au cours de la phase d'analyse, vous ferez un inventaire des données partagées et des méthodes actuelles de partage. Les résultats de la phase d'analyse permettront de connaître les ressources sur lesquelles les données et les informations sont généralement partagées et de savoir comment une fédération peut améliorer l'efficacité globale en accordant l'accès aux parties prenantes externes approuvées.

Phase 2 : identification

Selon les ressources identifiées au cours de la phase d'analyse, vous pourrez déterminer que certains des workflows existants peuvent être davantage sécurisés par le biais de processus manuels permettant de contrôler le flux de données. Dans les cas où l'accès authentifié et sécurisé des clients externes et partenaires ne compromet pas l'entreprise, vous utiliserez la phase d'identification pour isoler les ressources, partenaires et clients prioritaires et les intégrer aux solutions de fédération d'identités. Les résultats de la phase d'identification incluront une liste détaillée de ces entreprises, accompagnée des ressources connexes et d'une liste correspondante d'objets d'identité désignés pour le projet initial.

Phase 3 : évaluation et planification

Une fois que vous aurez progressé à travers le modèle d'optimisation d'infrastructure et satisfait les prérequis du niveau standardisé, votre entreprise disposera au minimum d'une infrastructure Active Directory en place. Dans le modèle, nous supposons également que les entreprises situées au niveau rationalisé connaissent Active Directory en mode application (ADAM). Durant la phase d'évaluation et de planification, vous examinerez les technologies qui peuvent étendre l'authentification par service d'annuaire aux parties prenantes externes, notamment les services ADFS (Active Directory Federation Services), et vous planifierez la mise en œuvre de la solution. Pour découvrir d'autres options permettant de gérer l'accès aux ressources extranet, consultez Gestion de l'accès à l'extranet : approches de la gestion de l'accès à l'extranet sur Microsoft TechNet (cette page peut être en anglais).

Active Directory Application Mode (ADAM)

ADAM fournit des services d'annuaire spécifiquement pour les applications compatibles. ADAM ne requiert, ni ne repose sur des domaines ou forêts Active Directory. Toutefois, dans les environnements dans lesquels Active Directory existe, ADAM peut utiliser Active Directory pour l'authentification des entités de sécurité Windows.

Active Directory Federation Services (ADFS)

Active Directory Federation Services (ADFS) est un composant de Microsoft Windows Server 2003 R2 qui fournit aux clients reposant sur un navigateur (internes ou externes à votre réseau) un accès avec authentification unique aux applications Internet protégées, même lorsque les comptes utilisateur et les applications se trouvent dans des entreprises ou sur des réseaux complètement différents.

Lorsqu'une application se trouve sur un réseau et qu'un compte utilisateur se trouve sur un autre réseau, l'utilisateur est généralement invité à fournir des informations d'identification secondaires lorsqu'il essaie d'accéder à l'application. Ces informations d'identification secondaires représentent l'identité de l'utilisateur dans le domaine dans lequel réside l'application et sont généralement requises par le serveur Web qui héberge l'application pour prendre la décision d'autorisation appropriée.

Avec ADFS, les entreprises peuvent ignorer les requêtes d'informations d'identification secondaires en fournissant des relations approuvées (approbations de fédérations) qu'elles peuvent utiliser pour projeter l'identité numérique et les droits d'accès d'un utilisateur vers les partenaires approuvés. Dans cet environnement fédéré, chaque entreprise continue de gérer ses propres identités, mais peut également projeter et accepter des identités d'autres entreprises, en toute sécurité.

ADFS est étroitement intégré à Active Directory. ADFS récupère les attributs des utilisateurs auprès d'Active Directory et authentifie ces derniers par le biais d'Active Directory. ADFS fait également appel à l'authentification intégrée de Windows.

En employant ADFS, votre organisation peut étendre ses infrastructures Active Directory existantes pour procurer un accès aux ressources offertes par des partenaires de confiance via Internet. Ces partenaires de confiance peuvent être des tiers externes, d'autres services ou des filiales de votre organisation.

Scénarios de fédération

ADFS prend en charge trois scénarios d'identités fédérés :

• SSO de Web fédéré

• SSO de Web fédéré avec approbation de forêt

• SSO Web

SSO de Web fédéré et SSO Web sont les scénarios requis pour passer au niveau dynamique du modèle d'optimisation d'infrastructure.

SSO de Web fédéré

Le scénario SSO de Web fédéré ADFS implique la communication sécurisée qui relie souvent plusieurs pare-feux, réseaux de périmètre et serveurs de résolution de noms, en plus de l'infrastructure de routage Internet dans son ensemble. La communication à travers un environnement SSO de Web fédéré peut contribuer à générer des transactions en ligne plus efficaces et plus sûres entre les entreprises liées par des relations de fédération approuvées.

Figure 3. SSO de Web fédéré

SSO de Web fédéré avec approbation de forêt

Le scénario SSO de Web fédéré avec approbation de forêt ADFS implique deux forêts Active Directory dans une seule entreprise, comme le montre l'illustration suivante.

Figure 4. SSO de Web fédéré avec approbation de forêt

SSO Web

Dans le scénario SSO Web ADFS, les utilisateurs s'authentifient une seule fois pour accéder à plusieurs applications Web. Dans ce scénario, tous les utilisateurs sont externes, aucune approbation de fédération n'existe. Parce que les serveurs Web doivent être accessibles sur Internet et reliés au domaine Active Directory, ils sont connectés à deux réseaux ; cela signifie qu'ils sont multirésidents. Le premier réseau est le réseau Internet (de périmètre) qui assure la connectivité requise. Le second réseau contient la forêt Active Directory (réseau protégé), qui n'est pas directement accessible par Internet.

Figure 5. SSO Web

Planification de la mise en œuvre d'ADFS

Lorsque vous planifierez la mise en œuvre d'ADFS, vous devrez prendre en compte les prérequis technologiques, les objectifs du projet, la planification des partenaires ou des fédérations, la stratégie d'applications fédérées et la conception de l'infrastructure.

Prérequis

Avant la mise en œuvre d'ADFS, les fonctionnalités et services suivants devront être mis en place :

• Active Directory. Un domaine Active Directory est requis, mais uniquement pour le serveur de fédération de ressources. Il ne sera pas utilisé pour héberger les comptes client.

• ADAM. ADAM est utilisé pour contenir les comptes client qui seront utilisés pour générer des jetons ADFS. Pour plus d'informations sur Active Directory ou ADAM, consultez Annexe B : révision des concepts ADFS clés (cette page peut être en anglais).

• Serveur de fédération de comptes/ressources. Ce serveur de fédération sert à la fois dans le rôle de compte et le rôle de ressource. Le serveur de fédération de comptes/ressources est configuré pour que le service de fédération inclue à la fois des valeurs pour un magasin d'applications et pour un magasin de comptes (dans ce cas, ADAM) qui contient les comptes client. Pour plus d'informations, consultez Examiner le rôle du serveur de fédération dans l'entreprise partenaire des comptes et Examiner le rôle du serveur de fédération dans l'entreprise partenaire des ressources (ces pages peuvent être en anglais).

• Serveur Web ADFS. Le serveur Web ADFS peut héberger une application prenant en charge les revendications ou une application basée sur une autorisation de jeton Windows NT®. L'agent Web ADFS vérifie qu'il reçoit des jetons ADFS valides des comptes client avant d'autoriser l'accès au site Web protégé. Pour plus d'informations, consultez l'article expliquant dans quel cas créer un serveur Web ADFS (cette page peut être en anglais). 

• Client. Connecté à Internet, le client accède à une application Web sécurisée par ADFS à travers un navigateur Web pris en charge. L'ordinateur client du client connecté à Internet communique directement avec le serveur de fédération pour l'authentification.

Principaux éléments à prendre en compte pour la planification

Les guides suivants constituent des ressources techniques pour la planification des services ADFS. Ces ressources vous aideront à développer un plan de projet pour la mise en œuvre des services ADFS.

• Présentation du processus de conception ADFS (cette page peut être en anglais)

• Identification de vos objectifs de déploiement ADFS (cette page peut être en anglais)

• Mappage de vos objectifs de déploiement à une conception ADFS (cette page peut être en anglais)

• Évaluation d'exemples de conceptions ADFS (cette page peut être en anglais)

• Planification des déploiements des entreprises partenaires (cette page peut être en anglais)

• Conception d'une stratégie d'applications fédérées (cette page peut être en anglais)

• Planification de l'emplacement d'un serveur Web ADFS (cette page peut être en anglais)

• Planification de l'emplacement d'un serveur de fédération (cette page peut être en anglais)

• Planification de l'emplacement proxy d'un serveur de fédération (cette page peut être en anglais)

• Planification de la capacité ADFS

• Recherche de ressources ADFS supplémentaires

• Annexe A : révision des exigences ADFS (cette page peut être en anglais)

• Annexe B : révision des concepts ADFS clés (cette page peut être en anglais)

• Annexe C : documentation de votre conception ADFS (cette page peut être en anglais)

Phase 4 : déploiement

Lorsque vous aurez rassemblé des informations sur votre environnement et décidé d'une conception ADFS (Active Directory Federation Services) d'après les conseils fournis dans le guide relatif aux conceptions ADFS, vous pourrez commencer à planifier le déploiement de la conception ADFS de votre entreprise. Une fois la conception ADFS achevée et grâce aux informations de cette rubrique, vous pourrez déterminer les tâches à effectuer pour déployer les services ADFS dans votre entreprise. Pour obtenir des conseils techniques détaillés sur le déploiement des services ADFS, consultez le guide relatif au déploiement ADFS de la bibliothèque technique de Windows Server 2003 R2.

Pour vous procurer un guide pas à pas de la configuration et de l'administration des services ADFS, rendez-vous à l'adresse http://technet2.microsoft.com/WindowsServer/f/?en/library/d022ac37-9b74-4ba1-95aa-55868c0ebd8c1033.mspx.

Informations complémentaires

Pour plus d'informations sur ADFS, rendez-vous sur Microsoft TechNet et lancez une recherche sur « ADFS ».

Point de contrôle de la rubrique

	Exigences
	Raisons et besoin confirmés d'attribuer un accès authentifié à des entités externes.
	Des stratégies et règles ont été définies pour fournir un accès externe à des ressources données.
	Des technologies permettant de garantir un accès sécurisé à des services donnés par des utilisateurs externes donnés ont été implémentées.

Si vous avez effectué les étapes répertoriées ci-dessus, votre entreprise présente la configuration minimale requise du niveau dynamique pour les capacités d'authentification par annuaire des clients externes et partenaires commerciaux du modèle d'optimisation d'infrastructure. Nous vous recommandons de suivre les conseils des ressources supplémentaires concernant les meilleures pratiques pour l'authentification des clients et partenaires.

Passez à la question d'auto-évaluation suivante.