Création d’un serveur proxy de fédération
La création d’un serveur proxy de fédération dans votre organisation ajoute des couches de sécurité supplémentaires à votre déploiement de Services ADFS. Envisagez de déployer un serveur proxy de fédération dans le réseau de périmètre de votre organisation lorsque vous souhaitez :
Empêcher les ordinateurs clients externes d’accéder directement à vos serveurs de fédération. En déployant un serveur proxy de fédération dans votre réseau de périmètre, vous isolez efficacement vos serveurs de fédération afin qu’ils soient accessibles uniquement par les ordinateurs clients connectés au réseau de l’entreprise par le biais de serveurs proxy de fédération, qui agissent au nom des ordinateurs clients externes. Les proxies de serveurs de fédération n’ont pas accès aux clés privées utilisées pour produire des jetons. Pour plus d’informations, consultez l’article Where to Place a Federation Server Proxy (Où placer un serveur proxy de fédération).
Fournir un moyen pratique pour différencier la connexion pour les utilisateurs provenant d’Internet par opposition aux utilisateurs issus de votre réseau d’entreprise à l’aide de l’authentification intégrée Windows. Un serveur proxy de fédération recueille les informations d’identification ou les informations relatives à l’accueil de domaine issues des ordinateurs clients provenant d’Internet en utilisant les pages de connexion, de déconnexion et de découverte des fournisseurs d’identité (homerealmdiscovery.aspx) stockées sur le serveur proxy de fédération.
En revanche, les ordinateurs clients qui proviennent du réseau d’entreprise profitent d’une expérience différente reposant sur la configuration du serveur de fédération. Le serveur de fédération du réseau d’entreprise est souvent configuré pour l’authentification Windows intégrée, qui fournit une expérience de connexion transparente pour les utilisateurs se trouvant sur le réseau d’entreprise.
Le rôle joué par un serveur proxy de fédération dans votre organisation varie selon que vous placez le serveur proxy de fédération dans l’organisation partenaire de compte ou l’organisation partenaire de ressource. Par exemple, lorsqu’un serveur proxy de fédération est placé dans le réseau de périmètre du partenaire de compte, son rôle consiste à collecter les informations d’identification utilisateur issues des clients navigateurs. Lorsqu’un serveur proxy de fédération est placé dans le réseau de périmètre du partenaire de ressource, il relaie les demandes de jeton de sécurité à un serveur de fédération de ressource et génère les jetons de sécurité de l’organisation en réponse aux jetons de sécurité qui sont fournis par ses partenaires de compte.
Pour plus d’informations, voir Review the Role of the Federation Server Proxy in the Account Partner et Review the Role of the Federation Server Proxy in the Resource Partner.
Comment créer un serveur proxy de fédération ?
Vous pouvez créer un serveur proxy de fédération à l’aide de l’Assistant Configuration de serveur proxy de fédération AD FS ou l’outil de ligne de commande Fsconfig.exe. Pour savoir comment procéder, voir Configure a Computer for the Federation Server Proxy Role.
Pour obtenir des informations générales sur la façon de configurer les conditions préalables nécessaires au déploiement d’un serveur proxy de fédération, voir Checklist: Setting Up a Federation Server Proxy.