Kam umístit proxy federačního serveru
Proxy federačního serveru služby Active Directory Federation Services (AD FS) můžete umístit do hraniční sítě a poskytnout tak vrstvu ochrany před škodlivými uživateli, kteří můžou pocházet z internetu. Proxy federačního serveru jsou ideální pro prostředí hraniční sítě, protože nemají přístup k privátním klíčům, které se používají k vytváření tokenů. Proxy federačního serveru ale můžou efektivně směrovat příchozí požadavky na federační servery, které mají oprávnění vytvářet tyto tokeny.
Proxy federačního serveru není nutné umístit do podnikové sítě partnera poskytujícího účty nebo partnera poskytujícího prostředky, protože klientské počítače, které jsou připojené k podnikové síti, můžou komunikovat přímo s federačním serverem. V tomto scénáři federační server také poskytuje funkce proxy federačního serveru pro klientské počítače, které pocházejí z podnikové sítě.
Jak je obvyklé u hraničních sítí, mezi hraniční sítí a podnikovou sítí je založena intranetová brána firewall a mezi hraniční sítí a internetem se často vytváří brána firewall přístupná k internetu. V tomto scénáři se proxy federačního serveru nachází mezi oběma těmito bránami firewall v hraniční síti.
Konfigurace firewallových serverů pro proxy server federačního serveru
Aby byl proces přesměrování proxy federačního serveru úspěšný, musí být všechny servery brány firewall nakonfigurované tak, aby umožňovaly zabezpečený provoz protokolu HTTPS (Hypertext Transfer Protocol). Použití protokolu HTTPS je povinné, protože servery brány firewall musí publikovat proxy federačního serveru pomocí portu 443, aby proxy federačního serveru v hraniční síti měl přístup k federačnímu serveru v podnikové síti.
Poznámka:
Veškerá komunikace s klientskými počítači i z klientských počítačů probíhá také přes protokol HTTPS.
Kromě toho server brány firewall směřující k internetu, například počítač se systémem Microsoft Internet Security and Acceleration (ISA) Server, používá proces označovaný jako publikování serveru k distribuci požadavků internetových klientů na příslušné servery na hraniční a podnikové síti, jako jsou federované proxy servery nebo federační servery.
Pravidla publikování serverů určují, jak publikování serveru funguje – v podstatě filtrování všech příchozích a odchozích požadavků prostřednictvím počítače se serverem ISA. Pravidla publikování serverů mapují příchozí požadavky klientů na příslušné servery za počítačem ISA Serveru. Informace o konfiguraci serveru ISA pro publikování serveru najdete v tématu Vytvoření pravidla zabezpečeného publikování na webu.
Ve federovaném světě služby AD FS se tyto požadavky klientů obvykle provádějí na konkrétní adresu URL, například na adresu URL identifikátoru federačního serveru, jako je http://fs.fabrikam.com. Vzhledem k tomu, že tyto požadavky klientů přicházejí z internetu, musí být server brány firewall přístupný z internetu nakonfigurovaný tak, aby publikoval adresu URL identifikátoru federačního serveru pro každý proxy federačního serveru nasazený v hraniční síti.
Konfigurace serveru ISA pro povolení SSL
Chcete-li usnadnit zabezpečenou komunikaci služby AD FS, musíte nakonfigurovat server ISA tak, aby umožňoval komunikaci SSL (Secure Sockets Layer) mezi následujícími:
Federační servery a proxy federačních serverů. Pro veškerou komunikaci mezi federačními servery a proxy federačních serverů se vyžaduje kanál SSL. Proto musíte nakonfigurovat ISA Server tak, aby umožňoval připojení SSL mezi podnikovou sítí a hraniční sítí.
Klientské počítače, federační servery a proxy federačních serverů. Aby mohlo dojít ke komunikaci mezi klientskými počítači a federačními servery nebo mezi klientskými počítači a proxy federačních serverů, můžete umístit počítač se systémem ISA Server před federační server nebo proxy federačního serveru.
Pokud vaše organizace provádí ověřování klienta SSL na federačním serveru nebo proxy federačního serveru, když umístíte počítač se systémem ISA Server před federační server nebo proxy federačního serveru, musí být server nakonfigurovaný pro průchod připojení SSL, protože připojení SSL musí být ukončeno na federačním serveru nebo proxy federačního serveru.
Pokud vaše organizace neprovádí ověřování klienta SSL na federačním serveru nebo proxy federačního serveru, je další možností ukončit připojení SSL na počítači se systémem ISA Server a pak znovu navázat připojení SSL k federačnímu serveru nebo proxy federačního serveru.
Poznámka:
Federační server nebo proxy federačního serveru vyžaduje, aby připojení bylo zabezpečeno protokolem SSL, aby bylo možné chránit obsah tokenu zabezpečení.
Viz také
Průvodce návrhem služby AD FS ve Windows Serveru 2012