Configurer l’authentification

des éléments exposés par ce serveur (appelé métadonnées). Ici je choisis le champ « name » comme identifiant de la session. A ce niveau l’authentification de bordure est terminée. Pour ceux qui ont mis en œuvre ADFS V1 avec IAG ou UAG, vous voyez certainement une différence gigantesque !

Les autorisations sont également intégrées à l’interface d’UAG. Ici, vous voyez que pour être en mesure de voir « Application 1 », il faut avoir un claim dont le nom est « Claims/groupe », et la valeur doit être « application1Group »

Note : ceci est en rapport avec la notion de transformation de claims. On peut dire par exemple que si le jeton qui arrive contient un claim de type « rôle=TSP/EMEA », alors « mon » infrastructure ADFS va ajouter un claim dans mon jeton de type « Claims/group=Application1 »… qui »lui » sera compréhensible par mes applications. La logique est donc « si un client externe que je « trust » me dit qu’il a un rôle XXX, ceci veut dire dans ma logique interne que je considère qu’il est membre du groupe YYY ».

Dans le cadre du scénario de cet article, mon application est elle aussi « claims aware ». Elle repose en effet sur le Framework ADFS, et est capable d’authentifier et de donner des droits au sein de l’application sur la base de ces claims.

L’application a trouvé mon identité (COMPANY1\FESNOUF), et mon rôle (TSP/EMEA). A ce titre, je suis autorisé à commander mon nouveau téléphone moi-même. Vous pouvez voir également que sur la base de mon rôle, j’ai aussi ajouté deux autres « claims », de type « group », appelés « application2group » et « application1group » (transformations). Cette application a un but éducatif. Elle permet de voir la notion de « Claims » (cadre bleu), et donc de « voir l’invisible ». Ici vous pouvez voir la partie « identité » de ce jeton, et aussi les claims.

Pour ceux qui souhaitent creuser les concepts de fédération d’identité, et au-delà tous les produits d’identité et accès, vous retrouverez toutes les informations (livres, formations en lignes), sur ce lien.

Conclusion

Avec le Service Pack, les équipes produits d’UAG (et les autres équipes Microsoft – Exchange, MOSS, CRM… – puisqu’ils commandent et financent les services d’UAG pour leurs applications respectives) mettent à disposition des clients un service pack de grand intérêt. Même s’il a été très axé autour de deux scénarios très demandés (Direct Access & ADFS), le produit continue à être très avancé sur la publication au sens large, la protection « applicative » mais également le Web Single Sign On.

Retrouvez toutes les infos sur le site de Microsoft ou sur mon blog.