La figure 2 illustre les messages ADFS échangés entre les principales entités ADFS. Rappelons que, dans cet exemple, ADFS permet à un utilisateur de navigateur défini chez le fournisseur d’identités d’accéder à une application Web sur le fournisseur de ressources.
Les messages ADFS suivants seront échangés :
Fonctionnement d’ADFS
/>• Etape 1 : Un utilisateur de navigateur défini chez le fournisseur d’identités tente d’accéder à une application serveur Web qu’héberge le fournisseur de ressources.
• Etape 2 : L’ADFS Web Agent détecte que l’utilisateur n’a pas été authentifié par ADFS et le dirige vers le serveur de fédération du fournisseur de ressources.
• Etape 3 : Pendant cette étape, appelée home realm discovery, l’utilisateur du navigateur fournit son information home domain au serveur de fédération du fournisseur de ressources. Le home domain est l’endroit où l’identité de l’utilisateur est définie et maintenue : autrement dit, c’est le fournisseur d’identité de l’utilisateur. La première fois que l’utilisateur se connecte à l’application Web, il fournit des informations telles que le nom de son fournisseur d’identités ou son adresse e-mail. Dans les requêtes suivantes, le serveur de fédération du fournisseur de ressources trouvera cette information dans un cookie envoyé par l’utilisateur.
• Etape 4 : En se fondant sur l’information fournie pendant la home realm discovery, le serveur de fédération du fournisseur de ressources redirige l’utilisateur du navigateur vers le serveur de fédération du fournisseur d’identités de l’utilisateur, pour authentification.
• Etape 5 : L’utilisateur du navigateur s’authentifie auprès de son serveur de fédération du fournisseur d’identités en utilisant son compte AD et ses références associées.
• Etape 6 : Le serveur de fédération du fournisseur d’identités valide les références de l’utilisateur par rapport à l’AD. Si l’authentification est concluante, le serveur de fédération du fournisseur d’identités génère un cookie d’authentification et un jeton de sécurité ADFS.
• Etape 7 : Le serveur de fédération du fournisseur d’identités redirige l’utilisateur du navigateur en même temps que le jeton de sécurité et le cookie d’authentification, vers le serveur de fédération du fournisseur de ressources.
• Etape 8 : Le serveur de fédération du fournisseur de ressources transforme les revendications du jeton de sécurité dans un ensemble de revendications compréhensible par l’application Web hébergée chez le fournisseur de ressources et les intègre dans un nouveau jeton de sécurité. Ce processus est appelé claim transformation. Le serveur de fédération génère également un nouveau cookie d’authentification puis redirige l’utilisateur du navigateur (en même temps que le nouveau jeton de sécurité et cookie d’authentification) vers l’ADFS Web Agent de l’application Web. L’ADFS Web Agent valide alors le cookie d’authentification et extrait les revendications du jeton de sécurité pour les transmettre à l’application Web.
• Etape 9 : L’application Web interprète les revendications à des fins d’autorisation et renvoie le contenu Web approprié à l’utilisateur du navigateur.
Téléchargez cette ressource
Percer le brouillard des rançongiciels
Explorez les méandres d’une investigation de ransomware, avec les experts de Palo Alto Networks et Unit 42 pour faire la lumière dans la nébuleuse des rançongiciels. Plongez au cœur de l’enquête pour comprendre les méthodes, les outils et les tactiques utilisés par les acteurs de la menace. Découvrez comment prévenir les attaques, les contrer et minimiser leur impact. Des enseignements indispensables aux équipes cyber.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
Les plus consultés sur iTPro.fr
- Les risques liés à l’essor fulgurant de l’IA générative
- Pourquoi est-il temps de repenser la gestion des vulnérabilités ?
- Reporting RSE : un levier d’innovation !
- De la 5G à la 6G : la France se positionne pour dominer les réseaux du futur
- Datanexions, acteur clé de la transformation numérique data-centric
