Fonctionnement d’ADFS

/>• Etape 1 : Un utilisateur de navigateur défini chez le fournisseur d’identités tente d’accéder à une application serveur Web qu’héberge le fournisseur de ressources.
• Etape 2 : L’ADFS Web Agent détecte que l’utilisateur n’a pas été authentifié par ADFS et le dirige vers le serveur de fédération du fournisseur de ressources.
• Etape 3 : Pendant cette étape, appelée home realm discovery, l’utilisateur du navigateur fournit son information home domain au serveur de fédération du fournisseur de ressources. Le home domain est l’endroit où l’identité de l’utilisateur est définie et maintenue : autrement dit, c’est le fournisseur d’identité de l’utilisateur. La première fois que l’utilisateur se connecte à l’application Web, il fournit des informations telles que le nom de son fournisseur d’identités ou son adresse e-mail. Dans les requêtes suivantes, le serveur de fédération du fournisseur de ressources trouvera cette information dans un cookie envoyé par l’utilisateur.
• Etape 4 : En se fondant sur l’information fournie pendant la home realm discovery, le serveur de fédération du fournisseur de ressources redirige l’utilisateur du navigateur vers le serveur de fédération du fournisseur d’identités de l’utilisateur, pour authentification.
• Etape 5 : L’utilisateur du navigateur s’authentifie auprès de son serveur de fédération du fournisseur d’identités en utilisant son compte AD et ses références associées.
• Etape 6 : Le serveur de fédération du fournisseur d’identités valide les références de l’utilisateur par rapport à l’AD. Si l’authentification est concluante, le serveur de fédération du fournisseur d’identités génère un cookie d’authentification et un jeton de sécurité ADFS.
• Etape 7 : Le serveur de fédération du fournisseur d’identités redirige l’utilisateur du navigateur en même temps que le jeton de sécurité et le cookie d’authentification, vers le serveur de fédération du fournisseur de ressources.
• Etape 8 : Le serveur de fédération du fournisseur de ressources transforme les revendications du jeton de sécurité dans un ensemble de revendications compréhensible par l’application Web hébergée chez le fournisseur de ressources et les intègre dans un nouveau jeton de sécurité. Ce processus est appelé claim transformation. Le serveur de fédération génère également un nouveau cookie d’authentification puis redirige l’utilisateur du navigateur (en même temps que le nouveau jeton de sécurité et cookie d’authentification) vers l’ADFS Web Agent de l’application Web. L’ADFS Web Agent valide alors le cookie d’authentification et extrait les revendications du jeton de sécurité pour les transmettre à l’application Web.
• Etape 9 : L’application Web interprète les revendications à des fins d’autorisation et renvoie le contenu Web approprié à l’utilisateur du navigateur.