La figure 2 illustre les messages ADFS échangés entre les principales entités ADFS. Rappelons que, dans cet exemple, ADFS permet à un utilisateur de navigateur défini chez le fournisseur d’identités d’accéder à une application Web sur le fournisseur de ressources.
Les messages ADFS suivants seront échangés :
Fonctionnement d’ADFS
/>• Etape 1 : Un utilisateur de navigateur défini chez le fournisseur d’identités tente d’accéder à une application serveur Web qu’héberge le fournisseur de ressources.
• Etape 2 : L’ADFS Web Agent détecte que l’utilisateur n’a pas été authentifié par ADFS et le dirige vers le serveur de fédération du fournisseur de ressources.
• Etape 3 : Pendant cette étape, appelée home realm discovery, l’utilisateur du navigateur fournit son information home domain au serveur de fédération du fournisseur de ressources. Le home domain est l’endroit où l’identité de l’utilisateur est définie et maintenue : autrement dit, c’est le fournisseur d’identité de l’utilisateur. La première fois que l’utilisateur se connecte à l’application Web, il fournit des informations telles que le nom de son fournisseur d’identités ou son adresse e-mail. Dans les requêtes suivantes, le serveur de fédération du fournisseur de ressources trouvera cette information dans un cookie envoyé par l’utilisateur.
• Etape 4 : En se fondant sur l’information fournie pendant la home realm discovery, le serveur de fédération du fournisseur de ressources redirige l’utilisateur du navigateur vers le serveur de fédération du fournisseur d’identités de l’utilisateur, pour authentification.
• Etape 5 : L’utilisateur du navigateur s’authentifie auprès de son serveur de fédération du fournisseur d’identités en utilisant son compte AD et ses références associées.
• Etape 6 : Le serveur de fédération du fournisseur d’identités valide les références de l’utilisateur par rapport à l’AD. Si l’authentification est concluante, le serveur de fédération du fournisseur d’identités génère un cookie d’authentification et un jeton de sécurité ADFS.
• Etape 7 : Le serveur de fédération du fournisseur d’identités redirige l’utilisateur du navigateur en même temps que le jeton de sécurité et le cookie d’authentification, vers le serveur de fédération du fournisseur de ressources.
• Etape 8 : Le serveur de fédération du fournisseur de ressources transforme les revendications du jeton de sécurité dans un ensemble de revendications compréhensible par l’application Web hébergée chez le fournisseur de ressources et les intègre dans un nouveau jeton de sécurité. Ce processus est appelé claim transformation. Le serveur de fédération génère également un nouveau cookie d’authentification puis redirige l’utilisateur du navigateur (en même temps que le nouveau jeton de sécurité et cookie d’authentification) vers l’ADFS Web Agent de l’application Web. L’ADFS Web Agent valide alors le cookie d’authentification et extrait les revendications du jeton de sécurité pour les transmettre à l’application Web.
• Etape 9 : L’application Web interprète les revendications à des fins d’autorisation et renvoie le contenu Web approprié à l’utilisateur du navigateur.
Téléchargez gratuitement cette ressource
Guide de Services Cloud Managés
Accélérer votre transformation digitale, protéger et sécuriser vos environnements Cloud avec les offres de support, d'accompagnement et de services managés. Découvrez le TOP 3 des Services Managés pour accompagner la transformation de vos environnements Cloud, gagner en agilité et en sécurité dans un monde d'incertitudes.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
Les plus consultés sur iTPro.fr
- SEKOIA : de l’intelligence sur les menaces jusqu’à l’automatisation de la réponse !
- Les managers face à l’impact du télétravail
- A la découverte de Keda dans Kubernetes
- Cloud Computing dans le secteur bancaire – Comment mettre en œuvre les exigences de conformité ?
- Les nouveaux usages hybrides des DSI pour s’adapter aux nouvelles contraintes
