Quand créer un serveur de fédération

Lorsque vous créez un serveur de fédération dans les services de fédération Active Directory (AD FS), cela permet à votre organisation :

• d’établir une communication avec authentification unique (SSO) Web avec une autre organisation (qui possède également au moins un serveur de fédération) et, si nécessaire, avec les employés de votre propre organisation (qui ont besoin d’un accès Internet).

• Permettre aux services frontaux d’emprunter l’identité des utilisateurs dans les services d’infrastructure à l’aide de la délégation d’identité. Pour plus d'informations, voir When to Use Identity Delegation.

Les sections suivantes décrivent certaines décisions clés permettant de déterminer le moment et l’emplacement opportuns pour créer un ou plusieurs serveurs de fédération.

Déterminer le rôle organisationnel du serveur de fédération

Afin de déterminer de façon éclairée le moment opportun pour créer un nouveau serveur de fédération, vous devez d’abord déterminer l’organisation dans laquelle le serveur résidera. Le rôle d’un serveur de fédération au sein d’une organisation varie selon que vous placez le serveur de fédération dans l’organisation du partenaire de compte ou dans l’organisation du partenaire de ressource.

Lorsque vous placez un serveur de fédération dans le réseau d’entreprise du partenaire de compte, le rôle de ce serveur consiste à authentifier les informations d’identification d’utilisateur du navigateur, du service Web ou des clients du sélecteur d’identité, et à envoyer des jetons de sécurité aux clients. Pour plus d'informations, voir Review the Role of the Federation Server in the Account Partner.

Lorsque vous placez un serveur de fédération dans le réseau d’entreprise du partenaire de ressource, le rôle de ce serveur consiste à authentifier les utilisateurs à l’aide d’un jeton de sécurité émis par un serveur de fédération dans l’organisation du partenaire de ressource, ou à rediriger les demandes de jeton provenant des applications Web ou des services Web configurés vers l’organisation du partenaire de compte à laquelle le client appartient. Pour plus d'informations, voir Review the Role of the Federation Server in the Resource Partner.

Déterminer la conception AD FS à déployer

Créez des serveurs de fédération dans votre organisation chaque fois que vous souhaitez déployer l’une des conceptions AD FS suivantes :

• Conception SSO web

• Conception SSO de web fédéré

Si nécessaire, une organisation qui déploie une conception SSO Web fédérée peut configurer un serveur de fédération unique afin que celui-ci joue à la fois un rôle auprès du partenaire de compte et auprès du partenaire de ressource. Dans ce cas, le serveur de fédération peut générer des jetons Security Assertion Markup Language (SAML), selon les comptes d’utilisateur de sa propre organisation, ou rediriger les demandes de jeton vers l’organisation, selon l’emplacement des comptes d’utilisateurs.

Différences entre un serveur de fédération et un serveur proxy de fédération

Un serveur de fédération peut traiter des pages Web à des fins de connexion, de stratégie, d’authentification et de détection, à l’instar d’un serveur proxy de fédération. Les principales différences entre un serveur de fédération et un serveur proxy de fédération ont trait aux opérations qui peuvent être effectuées par un serveur de fédération, mais pas par un serveur proxy de fédération.

Les opérations ci-dessous sont les opérations que seul un serveur de fédération peut effectuer :

• Le serveur de fédération effectue les opérations de chiffrement qui génèrent le jeton. Les serveurs proxys de fédération ne sont pas en mesure de générer des jetons ; ils peuvent toutefois être utilisés pour acheminer ou rediriger les jetons vers les clients et, si nécessaire, les renvoyer au serveur de fédération. Pour plus d’informations sur l’utilisation des serveurs de fédération, consultez Quand créer un serveur proxy de fédération ?.

• Les serveurs de fédération sont compatibles avec le processus d’authentification intégrée Windows, destiné aux clients du réseau d’entreprise, contrairement aux serveurs proxys de fédération. Pour plus d’informations sur l’utilisation du processus d’authentification intégrée Windows avec le serveur de fédération, consultez Quand créer un pool de serveurs de fédération ?.

Comment créer un serveur de fédération

Vous pouvez créer un serveur de fédération à l’aide de l’assistant de configuration de serveur de fédération AD FS ou de l’outil en ligne de commande Fsconfig.exe. Quand vous utilisez l’un de ces outils, vous pouvez choisir l’une des options suivantes pour créer un serveur de fédération.

• Créer un serveur de fédération autonome

  Pour plus d’informations sur la façon de configurer un serveur de fédération autonome, consultez Create a Stand-Alone Federation Server.

• Créer le premier serveur de fédération dans une batterie de serveurs de fédération

  Pour plus d’informations sur la façon de configurer le premier serveur de fédération ou d’ajouter un serveur de fédération à une batterie de serveurs, consultez Create the First Federation Server in a Federation Server Farm.

• Ajouter un serveur de fédération à une batterie de serveurs de fédération

  Pour plus d’informations sur la façon d’ajouter un serveur de fédération à une batterie de serveurs, consultez Add a Federation Server to a Federation Server Farm.

Pour obtenir des informations plus détaillées sur le fonctionnement de chacune de ces options, consultez The Role of the AD FS Configuration Database.

Pour plus d’informations sur la configuration générale requise pour déployer un serveur de fédération, consultez Checklist: Setting Up a Federation Server.

Voir aussi

Guide de conception AD FS dans Windows Server 2012