Nous configurons l’authentification de bordure sur la base d’ADFS. Un nouveau type de N « repository » vient d’arriver pour cela. Une fois ce type sélectionné, nous indiquons l’URL du serveur ADFS interne (l’url est complexe, mais toujours identique), puis nous cliquons « retrieve Metadata », et nous voyons apparaître la liste
Configurer l’authentification
des éléments exposés par ce serveur (appelé métadonnées). Ici je choisis le champ « name » comme identifiant de la session. A ce niveau l’authentification de bordure est terminée. Pour ceux qui ont mis en œuvre ADFS V1 avec IAG ou UAG, vous voyez certainement une différence gigantesque !
Les autorisations sont également intégrées à l’interface d’UAG. Ici, vous voyez que pour être en mesure de voir « Application 1 », il faut avoir un claim dont le nom est « Claims/groupe », et la valeur doit être « application1Group »
Note : ceci est en rapport avec la notion de transformation de claims. On peut dire par exemple que si le jeton qui arrive contient un claim de type « rôle=TSP/EMEA », alors « mon » infrastructure ADFS va ajouter un claim dans mon jeton de type « Claims/group=Application1 »… qui »lui » sera compréhensible par mes applications. La logique est donc « si un client externe que je « trust » me dit qu’il a un rôle XXX, ceci veut dire dans ma logique interne que je considère qu’il est membre du groupe YYY ».
Dans le cadre du scénario de cet article, mon application est elle aussi « claims aware ». Elle repose en effet sur le Framework ADFS, et est capable d’authentifier et de donner des droits au sein de l’application sur la base de ces claims.
L’application a trouvé mon identité (COMPANY1\FESNOUF), et mon rôle (TSP/EMEA). A ce titre, je suis autorisé à commander mon nouveau téléphone moi-même. Vous pouvez voir également que sur la base de mon rôle, j’ai aussi ajouté deux autres « claims », de type « group », appelés « application2group » et « application1group » (transformations). Cette application a un but éducatif. Elle permet de voir la notion de « Claims » (cadre bleu), et donc de « voir l’invisible ». Ici vous pouvez voir la partie « identité » de ce jeton, et aussi les claims.
Pour ceux qui souhaitent creuser les concepts de fédération d’identité, et au-delà tous les produits d’identité et accès, vous retrouverez toutes les informations (livres, formations en lignes), sur ce lien.
Conclusion
Avec le Service Pack, les équipes produits d’UAG (et les autres équipes Microsoft – Exchange, MOSS, CRM… – puisqu’ils commandent et financent les services d’UAG pour leurs applications respectives) mettent à disposition des clients un service pack de grand intérêt. Même s’il a été très axé autour de deux scénarios très demandés (Direct Access & ADFS), le produit continue à être très avancé sur la publication au sens large, la protection « applicative » mais également le Web Single Sign On.
Retrouvez toutes les infos sur le site de Microsoft ou sur mon blog.
Téléchargez cette ressource
Les mégatendances cybersécurité et cyber protection 2024
L'évolution du paysage des menaces et les conséquences sur votre infrastructure, vos outils de contrôles de sécurité IT existants. EPP, XDR, EDR, IA, découvrez la synthèse des conseils et recommandations à appliquer dans votre organisation.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
