> Tech > Configurer l’authentification

Configurer l’authentification

Tech - Par Renaud ROSSET - Publié le 24 juin 2011
email

Nous configurons l’authentification de bordure sur la base d’ADFS. Un nouveau type de N « repository » vient d’arriver pour cela. Une fois ce type sélectionné, nous indiquons l’URL du serveur ADFS interne (l’url est complexe, mais toujours identique), puis nous cliquons « retrieve Metadata », et nous voyons apparaître la liste

Configurer l’authentification

des éléments exposés par ce serveur (appelé métadonnées). Ici je choisis le champ « name » comme identifiant de la session. A ce niveau l’authentification de bordure est terminée. Pour ceux qui ont mis en œuvre ADFS V1 avec IAG ou UAG, vous voyez certainement une différence gigantesque !

Les autorisations sont également intégrées à l’interface d’UAG. Ici, vous voyez que pour être en mesure de voir « Application 1 », il faut avoir un claim dont le nom est « Claims/groupe », et la valeur doit être « application1Group »

Note : ceci est en rapport avec la notion de transformation de claims. On peut dire par exemple que si le jeton qui arrive contient un claim de type « rôle=TSP/EMEA », alors « mon » infrastructure ADFS va ajouter un claim dans mon jeton de type « Claims/group=Application1 »… qui »lui » sera compréhensible par mes applications. La logique est donc « si un client externe que je « trust » me dit qu’il a un rôle XXX, ceci veut dire dans ma logique interne que je considère qu’il est membre du groupe YYY ».

Dans le cadre du scénario de cet article, mon application est elle aussi « claims aware ». Elle repose en effet sur le Framework ADFS, et est capable d’authentifier et de donner des droits au sein de l’application sur la base de ces claims.

L’application a trouvé mon identité (COMPANY1\FESNOUF), et mon rôle (TSP/EMEA). A ce titre, je suis autorisé à commander mon nouveau téléphone moi-même. Vous pouvez voir également que sur la base de mon rôle, j’ai aussi ajouté deux autres « claims », de type « group », appelés « application2group » et « application1group » (transformations). Cette application a un but éducatif. Elle permet de voir la notion de « Claims » (cadre bleu), et donc de « voir l’invisible ». Ici vous pouvez voir la partie « identité » de ce jeton, et aussi les claims.

Pour ceux qui souhaitent creuser les concepts de fédération d’identité, et au-delà tous les produits d’identité et accès, vous retrouverez toutes les informations (livres, formations en lignes), sur ce lien.

Conclusion

Avec le Service Pack, les équipes produits d’UAG (et les autres équipes Microsoft – Exchange, MOSS, CRM… – puisqu’ils commandent et financent les services d’UAG pour leurs applications respectives) mettent à disposition des clients un service pack de grand intérêt. Même s’il a été très axé autour de deux scénarios très demandés (Direct Access & ADFS), le produit continue à être très avancé sur la publication au sens large, la protection « applicative » mais également le Web Single Sign On.

Retrouvez toutes les infos sur le site de Microsoft ou sur mon blog.

Téléchargez cette ressource

Rapport mondial 2025 sur la réponse à incident

Rapport mondial 2025 sur la réponse à incident

Dans ce nouveau rapport, les experts de Palo Alto Networks, Unit 42 livrent la synthèse des attaques ayant le plus impacté l'activité des entreprises au niveau mondial. Quel est visage actuel de la réponse aux incidents ? Quelles sont les tendances majeures qui redessinent le champ des menaces ? Quels sont les défis auxquels doivent faire face les entreprises ? Découvrez les top priorités des équipes de sécurité en 2025.

Tech - Par Renaud ROSSET - Publié le 24 juin 2011