Fournir à vos utilisateurs Active Directory un accès aux applications et services d'autres organisations
Cet objectif de déploiement Services ADFS s’appuie sur l’objectif de Fournir à vos utilisateurs Active Directory un accès à vos applications et services prenant en charge les revendications.
Lorsque vous êtes un administrateur dans l’organisation partenaire de compte et que votre objectif de déploiement consiste à fournir aux employés un accès fédéré aux ressources hébergées d'une autre organisation :
Les employés qui sont connectés à un domaine Active Directory du réseau d'entreprise peuvent utiliser la fonctionnalité d’authentification unique (SSO) pour accéder à plusieurs applications ou services web qui sont sécurisés par AD FS, lorsque ces applications ou services se trouvent dans une autre organisation. Pour plus d'informations, voir Federated Web SSO Design.
Par exemple, Fabrikam souhaite que les employés du réseau d'entreprise aient un accès fédéré aux services web hébergés dans Contoso.
Les employés distants qui sont connectés à un domaine Active Directory peuvent obtenir des jetons AD FS à partir du serveur de fédération de votre organisation pour obtenir l’accès fédéré aux applications ou services web sécurisés par AD FS qui sont hébergés également dans votre organisation.
Par exemple, Fabrikam peut offrir à ses employés distants un accès fédéré à des services sécurisés par AD FS et hébergés dans Contoso, sans que les employés de Fabrikam fassent partie du réseau d’entreprise Fabrikam.
Outre les composants essentiels décrits dans Provide Your Active Directory Users Access to Your Claims-Aware Applications and Services et ombrés dans la figure ci-dessous, les composants suivants sont obligatoires pour cet objectif de déploiement :
Serveur proxy de fédération de partenaire de compte : les employés qui accèdent à l’application ou au service fédéré à partir d’Internet peuvent utiliser ce composant AD FS pour effectuer l’authentification. Par défaut, ce composant effectue une authentification basée sur les formulaires, mais il peut également effectuer une authentification de base. Vous pouvez également configurer ce composant pour authentifier le client SSL (Secure Sockets Layer), si les employés de votre organisation ont des certificats à présenter. Pour plus d’informations, consultez l’article Where to Place a Federation Server Proxy (Où placer un serveur proxy de fédération).
DNS de périmètre : cette implémentation du système DNS (Domain Name System) fournit les noms d’hôte du réseau de périmètre. Pour plus d’informations sur la configuration du DNS de périmètre pour un serveur proxy de fédération, consultez Exigences relatives à la résolution de noms pour les serveurs proxy de fédération.
Employé distant : l’employé distant accède à une application web (via un navigateur web pris en charge) ou à un service web (via une application), à l’aide d’informations d’identification valides du réseau d’entreprise, tandis que l’employé navigue sur Internet à distance. L’ordinateur client de l'employé dans l'emplacement distant communique directement avec le serveur proxy de fédération pour générer un jeton et s'authentifier auprès de l'application ou du service.
Après avoir vérifié les informations contenues dans les rubriques associées, vous pouvez commencer à déployer cet objectif en suivant les étapes de Checklist: Implementing a Federated Web SSO Design.
L’illustration suivante montre chacun des composants requis pour cet objectif de déploiement AD FS.
