Partager via

Check-list : Configuration de l’organisation partenaire de compte

L'organisation partenaire de compte contient les utilisateurs qui accèdent aux applications web dans le partenaire de ressource. Les administrateurs de cette organisation doivent utiliser le composant logiciel enfichable Gestion AD FS pour créer des approbations de partie de confiance afin de représenter leurs relations d’approbation avec les organisations partenaires de ressource. À son tour, l’administrateur partenaire de ressource doit créer des approbations de fournisseur de revendications pour chaque organisation partenaire de compte qu’il souhaite approuver.

Cette check-list comprend des tâches de déploiement des services de fédération Active Directory (AD FS) dans l’organisation partenaire de compte. Elle comprend également des tâches de configuration des composants nécessaires pour établir la moitié d’un partenariat de fédération.

Si vous déployez une conception d’authentification unique web, vous n’avez pas besoin de suivre cette liste de vérification. Toutefois, vous devez effectuer les tâches de cette liste de vérification pour déployer correctement une conception d’authentification unique web fédérée.

Important

Vérifiez que l’administrateur de l’organisation partenaire de ressource suit les instructions fournies dans Check-list : Configuration de l’organisation partenaire de ressource pour veiller à ce que toutes les tâches de déploiement nécessaires soient effectuées en vue de créer correctement la seconde moitié du partenariat de fédération.

Notes

Effectuez dans l’ordre les tâches répertoriées dans cette liste de vérification. Quand un lien de référence vous conduit à une procédure, revenez dans cet article, une fois les étapes de la procédure effectuées, afin de pouvoir accomplir les tâches restantes de la liste.

Check mark icon, Configure the account partner organization.Check-list : Configuration de l’organisation partenaire de compte

Task Informations de référence
Si vous disposez déjà d’un déploiement d’AD FS 1.0 ou 1.1 dans votre environnement de production, consultez le lien à droite pour obtenir plus d’informations sur la migration des paramètres de votre service de fédération actuel vers un nouveau service de fédération AD FS. Si vous déployez AD FS pour la première fois dans votre organisation, vous pouvez ignorer cette étape et passer à la tâche suivante de cette check-list pour obtenir plus d’informations sur la configuration d’une nouvelle organisation partenaire de compte. Icon, Plan to migrate to AD FS 2.0.Planification d’une migration vers AD FS 2.0
En fonction de vos objectifs de déploiement, passez en revue les informations sur les composants nécessaires pour fournir aux utilisateurs l’accès aux applications fédérées. Icon, Provide your AD users access to your claims-aware applications.Fournir à vos utilisateurs Active Directory un accès à vos applications et services prenant en charge les revendications

Icon, Provide your AD users access to applications and services.Fournir à vos utilisateurs Active Directory un accès aux applications et services d’autres organisations

Icon, Provide users in another organization acces to your claims-aware applications and services.Fournir aux utilisateurs d’une autre organisation un accès à vos applications et services prenant en charge les revendications
Déterminez à quelle conception AD FS cette organisation partenaire de compte sera associée. Icon, Web SSO design.Conception SSO web

Icon, Federated Web SSO design.Conception SSO de web fédéré
Avant de commencer à déployer vos serveurs AD FS, passez en revue : 1.) les avantages et les inconvénients du choix de WID (Base de données interne Windows) ou de SQL Server pour stocker la base de données de configuration AD FS et 2.) les types de topologie de déploiement AD FS et leurs suggestions de positionnement de serveur et de disposition réseau associées. Icon, Determine your AD FS deployment topology.Déterminer votre topologie de déploiement AD FS

Icon, AD FS deployment topology considerations.Considérations sur la topologie du déploiement d’AD FS
Passez en revue les conseils de planification de la capacité AD FS pour déterminer le nombre approprié de serveurs de fédération et de serveurs proxy de fédération que vous devez utiliser dans votre environnement de production. Icon, Plan for AD FS server capacity.Planification de la capacité du serveur AD FS
Pour planifier et implémenter efficacement la topologie physique pour le déploiement du partenaire du compte, déterminez si votre conception AD FS nécessite un ou plusieurs serveurs de fédération ou proxys de serveur de fédération. Icon, Set up a Federation server.Check-list : Configuration d’un serveur de fédération

Icon, Set up a Federation server proxy.Check-list : configuration d’un serveur de fédération proxy
Déterminez le type de magasin d’attributs que vous souhaitez ajouter à AD FS. Ensuite, ajoutez le magasin d’attributs à l’aide du composant logiciel enfichable Gestion AD FS. Icon, The role of attribute stores.Le rôle des magasins d’attributs

Icon, Add an attribute store.Ajouter un magasin d’attributs
Si vous devez envoyer des revendications à un partenaire de ressource ou consommer des revendications à partir d’un partenaire de ressource qui utilise un service de fédération AD FS 1.0 ou 1.1, consultez le lien à droite pour obtenir plus d’informations sur la façon de configurer AD FS pour interagir avec les versions précédentes d’AD FS. Si l’organisation partenaire de ressource utilise également AD FS pour envoyer ou consommer des revendications à votre organisation, vous pouvez ignorer cette étape et passer à la tâche suivante dans cette check-list. Icon, Plan for interoperability with AD FS 1.x.Planification de l’interopérabilité avec AD FS 1.x
Après avoir déployé le premier serveur de fédération dans l’organisation du partenaire de compte, créez une relation d’approbation de partie de confiance à l’aide du composant logiciel enfichable Gestion AD FS. Vous pouvez créer une approbation de partie de confiance en entrant des données sur un partenaire de ressource manuellement ou en utilisant une URL de métadonnées de fédération que l’administrateur de l’organisation du partenaire de ressource vous fournit. Vous pouvez utiliser les métadonnées de fédération pour récupérer des données du partenaire de ressource automatiquement. Remarque : Si le partenaire de ressource publie ses métadonnées de fédération ou peut fournir une copie de fichier que vous pouvez utiliser, nous recommandons de récupérer les données automatiquement car vous gagnerez du temps. Icon, Manually create a relying party trust.Créer manuellement une approbation de partie de confiance

Icon, Create a relying party trust using Federation metadata.Créer une approbation de partie de confiance à l’aide des métadonnées de fédération
En fonction des besoins de votre organisation, créez un ou plusieurs ensembles de règles de revendication pour chaque approbation de partie de confiance spécifiée dans le composant logiciel enfichable Gestion AD FS afin que les revendications soient émises de manière appropriée. Icon, Create claim rules for a relying party trust.Check-list : Création de règles de revendication pour une approbation de partie de confiance
Une description de la revendication doit être créée si celle-ci n’existe pas déjà pour répondre aux besoins de votre organisation. AD FS contient un ensemble par défaut de descriptions de revendications qui sont exposées dans le composant logiciel enfichable Gestion AD FS. Icon, Add a claim description.Ajouter une description de revendication
Déterminez si votre organisation doit utiliser la délégation d’identité pour autoriser ou contraindre un compte spécifié à « agir au nom » d’autres utilisateurs ou à emprunter leur identité. Il s’agit souvent d’une obligation quand des applications web front-end doivent interagir avec des services web back-end. Icon, Use identity delegation.Quand utiliser la délégation d’identité
Préparez les ordinateurs clients à la fédération en effectuant les opérations suivantes :

- Ajoutez l’URL du serveur de fédération du partenaire de compte à la liste des sites approuvés du navigateur client.
- Utilisez une stratégie de groupe pour envoyer (push) les certificats SSL (Secure Sockets Layer) appropriés aux ordinateurs clients.

 Icon, Prepare client computers in the account partner.Préparer les ordinateurs clients dans le partenaire de compte

Icon, Configure client computers to trust the account Federation server.Configurer des ordinateurs clients pour approuver le serveur de fédération de compte

configure account partner orgDistribuer des certificats aux ordinateurs clients à l’aide d’une stratégie de groupe