Partager via


Revue du rôle du serveur proxy de fédération du partenaire de compte

Le rôle principal du serveur proxy de fédération dans le réseau de périmètre de l’organisation partenaire de compte dans les services de fédération Active Directory (AD FS) consiste à collecter des informations d’identification d’authentification auprès d’un ordinateur client qui se connecte par Internet et à passer ces informations d’identification au serveur de fédération, qui se trouve à l’intérieur du réseau d’entreprise de l’organisation partenaire de compte. Le compte de l’ordinateur client est stocké dans le magasin d’attributs du partenaire de compte.

Un serveur proxy de fédération peut également fonctionner dans un ou plusieurs des rôles suivants, selon la configuration permettant de répondre aux besoins de l’organisation partenaire de compte :

  • Transmettre les jetons de sécurité : Le serveur de fédération émet un jeton de sécurité pour le serveur proxy de fédération, qui transmet alors le jeton à l’ordinateur client. Le jeton de sécurité est utilisé pour fournir l’accès à une partie de confiance spécifique pour cet ordinateur client.

  • Collecter les informations d’identification : Le serveur proxy de fédération utilise un formulaire web d’ouverture de session client par défaut (clientlogon.aspx) pour collecter des informations d’identification par mot de passe par le biais d’une authentification basée sur les formulaires. Toutefois, vous pouvez personnaliser ce formulaire pour accepter d’autres types d’authentification pris en charge, comme l’authentification du client Secure Sockets Layer (SSL). Pour plus d’informations sur la manière de personnaliser cette page, consultez les pages Personnalisation de l’ouverture de session client et Découverte de domaine d’accueil (http://go.microsoft.com/fwlink/?LinkId=104275). Un serveur proxy de fédération n’accepte pas des informations d’identification par le biais de l’authentification intégrée de Windows.

En résumé, un serveur proxy de fédération dans le partenaire de compte joue le rôle de proxy pour les ouvertures de session client sur un serveur de fédération situé dans le réseau d’entreprise. Le serveur proxy de fédération facilite également la distribution des jetons de sécurité aux clients Internet qui sont destinés aux parties de confiance.

Attention

L’exposition d’un serveur proxy de fédération sur l’extranet du partenaire de compte rendra le formulaire web d’ouverture de session client accessible à toute personne disposant d’un accès Internet. Cela peut potentiellement exposer votre organisation à certaines attaques de mot de passe, tels que les attaques de dictionnaire ou les attaques en force brute qui peuvent déclencher des verrouillages de compte pour les comptes d’utilisateur stockés dans les services AD DS de l’entreprise.

Voir aussi

Guide de conception AD FS dans Windows Server 2012