Consideraciones sobre la topología de implementación de AD FS
En este tema se describen consideraciones importantes que le ayudarán a planear y a diseñar la topología de implementación de servicios de federación de Active Directory (AD FS) que usará en su entorno de producción. Este tema es un punto de partida para revisar y evaluar las consideraciones que afectan a las características o capacidades que estarán disponibles después de implementar AD FS. Por ejemplo, el tipo de base de datos que elijas para almacenar la base de datos de configuración de AD FS determinará si puedes implementar ciertas características del Lenguaje de marcado de aserción de seguridad (SAML) que requieren SQL Server.
Cómo determinar qué tipo de base de datos de configuración de AD FS utilizar
AD FS usa una base de datos para almacenar la configuración y, en algunos casos, los datos transaccionales relacionados con el servicio de federación. Puede usar el software de AD FS para seleccionar la Windows Internal Database (WID) integrada o Microsoft SQL Server 2005 o posterior para almacenar los datos en el servicio de federación.
Para la mayoría de los objetivos, los dos tipos de bases de datos son relativamente equivalentes. Sin embargo, debe tener en cuenta algunas diferencias antes de empezar a leer más sobre las diversas topologías de implementación que puede usar con AD FS. La siguiente tabla describe las diferencias que existen entre las características de una base de datos de WID y una base de datos de SQL Server.
Características de AD FS
Característica | ¿Compatible con WID? | ¿Compatible con SQL Server? | Más información sobre esta característica |
---|---|---|---|
Implementación de una granja de servidores de federación | Sí, con un límite de 30 servidores de federación por granja | Sí. No hay un límite obligatorio para el número de servidores de federación que se pueden implementar en una sola granja | Determinar la topología de la implementación de AD FS |
Resolución de artefactos SAML Nota: Esta característica no es necesaria para escenarios de Microsoft Online Services, Microsoft Office 365, Microsoft Exchange o Microsoft Office SharePoint. | No | Sí | El papel de la base de datos de configuración de AD FS Procedimientos recomendados para planear e implementar AD FS de forma segura |
Detección de reproducción de tokens de SAML/WS-Federation | No | Sí | El papel de la base de datos de configuración de AD FS Procedimientos recomendados para planear e implementar AD FS de forma segura |
Características de las bases de datos
Característica | ¿Compatible con WID? | ¿Compatible con SQL Server? | Más información sobre esta característica |
---|---|---|---|
Redundancia básica de la base de datos mediante la replicación de extracción, en la que uno o más servidores que hospedan una copia de solo lectura de la base de datos solicitan cambios que se introducen en un servidor de origen que hospeda una copia de lectura-escritura de la base de datos | Sí | No | El papel de la base de datos de configuración de AD FS |
Redundancia básica de la base de datos mediante soluciones de alta disponibilidad, como clústeres de conmutación por error o creación de reflejo (solo en el nivel de base de datos) Nota: Todas las topologías de implementación de AD FS admiten la agrupación de clústeres en el nivel de servicio de AD FS. | No | Sí | El papel de la base de datos de configuración de AD FS |
Consideraciones sobre SQL Server
Debes considerar las siguientes cuestiones de implementación si seleccionas SQL Server como base de datos de configuración para tu implementación de AD FS.
Características de SAML y su efecto en el tamaño y el crecimiento de la base de datos. Cuando se habilitan la característica de resolución de artefactos de SAML o la característica de detección de respuesta de token de SAML, AD FS almacena información en la base de datos de configuración de SQL Server para cada token de AD FS que se emita. El crecimiento de la base de datos de SQL Server como resultado de esta actividad no se considera significativo, y depende del período de retención que se configure para la respuesta de token. Cada registro de artefacto tiene un tamaño aproximado de 30 kilobytes (KB).
Número de servidores necesarios para la implementación. Deberá agregar al menos un servidor adicional (al número total de servidores necesarios para implementar la infraestructura de AD FS) que actuará como host dedicado de la instancia de SQL Server. Si planeas utilizar el clúster de conmutación por error o la creación de reflejo para proporcionar tolerancia a errores y escalabilidad a la base de datos de configuración de SQL Server, se necesitan por lo menos dos servidores SQL.
Cómo podría afectar a los recursos de hardware el tipo de base de datos de configuración que selecciones
El impacto que se registra en los recursos de hardware de un servidor de federación implementado en una granja con WID, en contraposición a un servidor de federación implementado en una granja con la base de datos de SQL Server, no es significativo. Sin embargo, es importante tener en cuenta que, cuando utilizas WID para la granja, cada servidor de federación de dicha granja debe almacenar, administrar y mantener los cambios de replicación para su copia local de la base de datos de configuración de AD FS, a la vez que sigue proporcionando las operaciones normales que requiere el servicio de federación.
En comparación, los servidores de federación que se implementan en una granja que utiliza la base de datos de SQL Server no contienen necesariamente una instancia local de la base de datos de configuración de AD FS. Por tanto, sus demandas de recursos de hardware podrían ser ligeramente inferiores.
Comprobar que el entorno de producción es compatible con la implementación de AD FS
Además de los servidores de federación que implementará y, en función de cómo esté configurado el entorno de producción existente, podrían ser necesarios los siguientes servidores adicionales para proporcionar la infraestructura necesaria para admitir su nueva implementación de AD FS:
Controlador de dominio de Active Directory
Entidad de certificación (CA)
Servidor web para hospedar metadatos de federación
Equilibrio de carga de red (NLB)