Fournir aux utilisateurs d’une autre organisation un accès à vos applications et services prenant en charge les revendications
Si vous êtes administrateur de l’organisation partenaire de ressource dans Services ADFS et que vous avez pour objectif de déploiement de fournir aux utilisateurs d’une autre organisation (l’organisation partenaire de compte) un accès fédéré à une application prenant en charge les revendications ou un service web qui se trouve dans votre organisation (l’organisation partenaire de ressource) :
Les utilisateurs fédérés de votre organisation et des organisations qui ont configuré une approbation de fédération avec votre organisation (organisations partenaires de compte) peuvent accéder à l’application ou le service sécurisé par AD FS hébergé par votre organisation. Pour plus d'informations, voir Federated Web SSO Design.
Par exemple, Fabrikam souhaite que les employés du réseau d’entreprise aient un accès fédéré aux services web hébergés par Contoso.
Les utilisateurs fédérés qui ne disposent d’aucune association directe avec une organisation approuvée (par exemple, des clients individuels) et qui sont connectés à un magasin d’attributs hébergé sur votre réseau de périmètre peuvent accéder à plusieurs applications sécurisées par AD FS, qui sont aussi hébergées sur votre réseau de périmètre, en se connectant une seule fois à partir d’ordinateurs clients qui se trouvent sur Internet. En d’autres termes, lorsque vous hébergez des comptes client pour permettre l’accès aux applications ou services de votre réseau de périmètre, les clients que vous hébergez dans un magasin d’attributs peuvent accéder à un ou plusieurs services ou applications du réseau de périmètre en se connectant une seule fois. Pour plus d'informations, voir Web SSO Design.
Par exemple, Fabrikam peut souhaiter que ses clients accèdent à plusieurs applications ou services hébergés sur son réseau de périmètre par authentification unique (SSO).
Les composants suivants sont requis pour cet objectif de déploiement :
Active Directory Domain Services (AD DS): le partenaire de ressource du serveur de fédération doit être lié à un domaine Active Directory.
DNS de périmètre : le système de nom de domaine (DNS, Domain Name System) doit contenir un enregistrement de ressource hôte simple (A) pour que les ordinateurs clients puissent localiser le serveur de fédération de partenaire de ressource et le serveur web. Le serveur DNS peut héberger d’autres enregistrements DNS également requis dans le réseau de périmètre. Pour plus d'informations, consultez Configuration de la résolution de noms pour les serveurs de fédération.
Serveur de fédération de partenaire de ressource : Le serveur de fédération de partenaire de ressources valide les jetons AD FS que les partenaires du compte envoient. La découverte du partenaire de compte est effectuée via ce serveur de fédération. Pour plus d'informations, voir Review the Role of the Federation Server in the Resource Partner.
Serveur web : le serveur web peut héberger une application ou un service web. Le serveur web confirme qu’il reçoit les jetons AD FS valides des utilisateurs fédérés avant d’autoriser l’accès à l’application ou au service web protégé.
À l’aide de Windows Identity Foundation, vous pouvez développer votre application ou service web afin qu’il accepte les demandes d’ouverture de session des utilisateurs fédérés effectuées avec une méthode d’ouverture de session standard, par exemple avec un nom d’utilisateur et un mot de passe.
Après avoir vérifié les informations fournies dans les rubriques associées, vous pouvez commencer à déployer cet objectif en suivant les étapes dans Liste de vérification : Implémentation d’une conception SSO de web fédéré et Liste de vérification : Implémentation d’une conception SSO de web.
L’illustration suivante montre chacun des composants requis pour cet objectif de déploiement AD FS.
