Conception de SSO de web fédéré
La conception de SSO de web fédéré dans les services de fédération Active Directory (AD FS) implique des communications sécurisées qui s’étendent sur plusieurs pare-feu, réseaux de périmètre et serveurs de résolution de noms, et sur l’ensemble de l’infrastructure de routage Internet.
En règle générale, cette conception est utilisée lorsque deux organisations conviennent de créer une relation d’approbation de fédération pour permettre aux utilisateurs d’une organisation (l’organisation partenaire de compte) d’accéder aux applications ou services web sécurisés par les services AD FS de l’autre organisation (l’organisation partenaire de ressource).
En d’autres termes, une relation d’approbation de fédération est l’incarnation d’un accord au niveau de l’entreprise ou d’un partenariat entre deux organisations. Comme indiqué dans l’illustration suivante, vous pouvez établir une relation d’approbation de fédération entre deux entreprises pour aboutir à un scénario de fédération de bout en bout.
La flèche à sens unique de l’illustration indique le sens de l’approbation de fédération, qui, comme pour le sens des approbations Windows, pointe toujours vers le côté compte de la forêt. Cela signifie que le cheminement de l’authentification s’effectue de l’organisation partenaire de compte vers l’organisation partenaire de ressource.
Dans cette conception de SSO de web fédéré, deux serveurs de fédération (un dans Fabrikam et l’autre dans Contoso) acheminent les demandes d’authentification depuis les comptes d’utilisateurs de Fabrikam vers les applications ou services web de Contoso.
Notes
Pour renforcer la sécurité, vous pouvez utiliser un serveur de fédération pour relayer les demandes vers les serveurs de fédération qui ne sont pas directement accessibles depuis Internet.
Dans cet exemple, Fabrikam est le fournisseur d’identité ou de compte. La partie consacrée à Fabrikam de la conception de SSO de web fédéré utilise l’objectif de déploiement AD FS suivant :
Contoso est le fournisseur de ressources. La partie consacrée à Contoso de la conception de SSO de web fédéré utilise les objectifs de déploiement d’AD FS suivants :
Pour obtenir une liste détaillée des tâches que vous pouvez utiliser pour planifier et déployer la conception de SSO de web fédéré, voir Checklist: Implementing a Federated Web SSO Design.