Architecture d’ADFS

un ADFS Web Agent et un référentiel AD ou ADAM.

Dans la figure 1, l’infrastructure ADFS permet aux utilisateurs du navigateur du fournisseur d’identités d’accéder à une application Web tournant sur un serveur IIS situé chez le fournisseur de ressources. Les utilisateurs du navigateur se servent du compte AD défini par leur fournisseur d’identités. ADFS fournit des outils basés sur des certificats X.509 pour établir une relation d’approbation entre le fournisseur d’identités et le fournisseur des ressources, et pour échanger des données entre eux, entre toute sécurité. Les relations d’approbation d’ADFS vont dans un seul sens.

Dans la figure 1, le fournisseur des ressources approuve le fournisseur d’identités. La relation d’approbation est aussi non transitive, signifiant que parce que A approuve B et B approuve C, A n’approuve pas automatiquement C. Les composantes les plus importantes d’une implémentation d’ADFS sont les serveurs de fédération sur le fournisseur d’identités et le fournisseur de ressources :
• Le serveur de fédération sur le fournisseur d’identités utilise AD ou ADAM pour authentifier les utilisateurs. Quand l’authentification des utilisateurs réussit, le serveur de fédération du fournisseur d’identités génère des cookies d’identification et des jetons de sécurité.

Ces jetons de sécurité contiennent des déclarations à propos d’un utilisateur. Les déclarations les plus classiques sont le nom d’un utilisateur, l’appartenance à un groupe, et l’adresse de courriel. Le serveur de fédération du fournisseur d’identités signe les jetons de sécurité pour les protéger contre toute manipulation ou altération.Le serveur de fédération sur le fournisseur de ressources vérifie les cookies d’authentification et les jetons de sécurité qu’il reçoit de la part des utilisateurs qui tentent d’accéder à son application Web.

Le serveur de fédération traduit aussi les cookies et les jetons en un format que l’application Web peut comprendre et les retransmet à l’application Web. Dans la section suivante, nous expliquons comment les cookies d’authentification et les jetons de sécurité sont échangés entre les serveurs de fédération du fournisseur d’identités et de ressources. Les ADFS Web Agents permettent aux applications Web hébergées sur IIS de participer à une fédération ADFS. Les ADFS Web Agents savent comment interagir avec les serveurs de fédération et comment s’y prendre avec les cookies d’authentification ADFS et les jetons de sécurité.

Pour devenir validée pour ADFS, une application Web existante pourrait demander des changements de code. Cela signifie que l’application peut consommer les revendications (claims) dans les jetons de sécurité ADFS (c’est-à-dire les utiliser pour des décisions d’autorisation d’utilisateur). Pour valider une application Web pour ADFS, vous pouvez utiliser le moteur Authorization Manager (que vous pouvez configurer à partir du snap-in Microsoft Management Console Authorization Manager) ou l’une des API ASP.NET (IsInRole ou revendications brutes). Microsoft SharePoint Portal Server est une application qui fonctionne avec ADFS sans changements de code.