Services de fédération Active Directory - Active Directory Federation Services

Les services AD FS ( Active Directory Federation Services ), un composant logiciel développé par Microsoft , peuvent s'exécuter sur les systèmes d'exploitation Windows Server pour fournir aux utilisateurs un accès par authentification unique aux systèmes et aux applications situés au-delà des limites de l'organisation. Il utilise un modèle d'autorisation de contrôle d'accès basé sur les revendications pour maintenir la sécurité des applications et mettre en œuvre l' identité fédérée . L'authentification basée sur les revendications implique l'authentification d'un utilisateur sur la base d'un ensemble de revendications concernant l' identité de cet utilisateur contenues dans un jeton de confiance. Un tel jeton est souvent émis et signé par une entité qui est capable d'authentifier l'utilisateur par d'autres moyens, et qui est approuvée par l'entité effectuant l'authentification basée sur les revendications. Il fait partie des services Active Directory .

Des détails

Dans AD FS, la fédération d'identité est établie entre deux organisations en établissant la confiance entre deux domaines de sécurité. Un serveur de fédération d'un côté (le côté des comptes) authentifie l'utilisateur via les moyens standard dans les services de domaine Active Directory , puis émet un jeton contenant une série de revendications concernant l'utilisateur, y compris son identité. De l'autre côté, du côté des ressources, un autre serveur de fédération valide le jeton et émet un autre jeton pour que les serveurs locaux acceptent l'identité revendiquée. Cela permet à un système de fournir un accès contrôlé à ses ressources ou services à un utilisateur appartenant à un autre domaine de sécurité sans exiger de l'utilisateur qu'il s'authentifie directement auprès du système et sans que les deux systèmes ne partagent une base de données d'identités d'utilisateurs ou de mots de passe.

En pratique, un utilisateur peut généralement percevoir cette approche comme suit:

1. L'utilisateur se connecte à son PC local (comme il le ferait généralement au début du travail le matin).
2. L'utilisateur doit obtenir des informations à partir du site Web extranet d'une entreprise partenaire, par exemple pour obtenir les prix ou les détails du produit.
3. L'utilisateur accède au site extranet de l'entreprise partenaire, par exemple: http://example.com.
4. Le site Web partenaire ne nécessite plus la saisie de mot de passe; à la place, les informations d'identification de l'utilisateur (dans une assertion sécurisée) sont transmises au site extranet du partenaire à l'aide d'AD FS.
5. L'utilisateur est maintenant connecté au site Web du partenaire et peut interagir avec le site Web comme s'il était connecté.

AD FS s'intègre aux services de domaine Active Directory , en l'utilisant comme fournisseur d'identité. AD FS peut interagir avec d'autres services de fédération compatibles WS * et SAML 2.0 en tant que partenaires de fédération.

Versions

• ADFS 1.0 - Windows Server 2003 R2 (téléchargement supplémentaire)
• ADFS 1.1 - Windows Server 2008 et Windows Server 2008 R2
• ADFS 2.0 - Windows Server 2008 et Windows Server 2008 R2 (téléchargement sur Microsoft.com)
• ADFS 2.1 - Windows Server 2012
• ADFS 3.0 - Windows Server 2012 R2
• Windows Server 2016 AD FS - Windows Server 2016
• Windows Server 2019 AD FS - Windows Server 2019

Voir également

• Identité basée sur les revendications
• Identité numérique
• Carte d'information
• LDAP
• SAML
• Windows CardSpace
• Windows Server 2012
• Windows Server 2008
• WS-Federation
• Bureau 365

Les références

Liens externes

• Carte de contenu AD FS 2.0
• Bibliothèque AD FS TechNet
• Bibliothèque MSDN AD FS
• AD FS dans Server 2016 Quoi de neuf