Hormis le fait que ADFS 2 et ACS soient respectivement des STS (Security Token Service) version On-Premise et version Cloud de Microsoft, ces deux services proposent des fonctionnalités légèrement différentes.

ADFS 2

  • Mapping de claims évolué grâce au Custom Attribut Store (possibilité de récupérer des claims depuis un provider custom, ex: base de données, service web, etc.)
  • Permet d’exposer un Active Directory en tant que Identity Provider
  • Customisation possible du site de fédération passive pour intégrer de la sécurisation forte (ex: Captcha, Gemalto, etc.) ou d’autres fonctionnalités avancées

Azure ACS

  • Intégration facilitée des providers de type réseaux sociaux
  • En fédération passive, le token SAML peut être renvoyé soit par redirection HTTP, soit par JavaScript Notify au format JSON (méthode JavaScript permettant de notifier le conteneur de la page). ADFS 2 ne propose que l'envoi par redirection HTTP.
  • Exposition d’un fichier JavaScript permettant de récupérer la liste des fournisseurs d’identité au format JSON
  • Hébergement et personnalisation de la page de sélection du fournisseur d’identité
  • Possibilité de restreindre les fournisseurs d’identité par application
  • Support des tokens SWT

De manière à profiter des fonctionnalités des deux services, il est possible de les combiner :

  • Utiliser ACS comme IDP de ADFS 2 : Permet par exemple d'exposer les providers de type réseaux sociaux au travers de ADFS (via ACS)
  • Utiliser ADFS 2 comme IDP de ACS : Permet par exemple de renvoyer un token SAML créé par ADFS via JavaScript Notify

A bientôt.

Si cet article t'a plu, n'hésites pas à partager , et si tu as des questions / remarques, n'hésites pas à me contacter