Granja de servidores de federación con WID y servidores proxy
Esta topología de implementación para Servicios de federación de Active Directory (AD FS) es idéntica a la granja de servidores de federación con topología de Windows Internal Database (WID), pero agrega servidores proxy de federación a la red perimetral para admitir usuarios externos. Los servidores proxy de federación se usan para redirigir las solicitudes de autenticación del cliente procedentes del exterior de su red corporativa a la granja de servidores de federación.
Consideraciones de la implementación
En esta sección se describen varias consideraciones sobre el público a la que está dirigida, así como las ventajas y las limitaciones asociadas a esta topología de implementación.
¿Quién debe usar esta topología?
Organizaciones con 100 o menos relaciones de confianza configuradas que necesitan proporcionar a sus usuarios internos y usuarios externos (que han iniciado sesión en equipos que se encuentran físicamente fuera de la red corporativa) con acceso de inicio de sesión único (SSO) a aplicaciones o servicios federados
Organizaciones que necesitan proporcionar a sus usuarios internos y externos acceso SSO a Microsoft Office 365
Organizaciones pequeñas que tienen usuarios externos y requieren servicios redundantes y escalables
¿Cuáles son las ventajas de usar esta topología?
- Las mismas ventajas que se muestran para la topología de Granja de servidores de federación con WID, además de la ventaja de proporcionar acceso adicional a los usuarios externos
¿Cuáles son las limitaciones de usar esta topología?
- Las mismas limitaciones que se enumeran para la topología de Granja de servidores de federación con WID
Recomendaciones de ubicación del servidor y de distribución de la red
Para implementar esta topología, además de agregar dos servidores proxy de federación, debe asegurarse de que la red perimetral también puede proporcionar acceso a un servidor del Sistema de nombres de dominio (DNS) y a un segundo host de equilibrio de carga de red (NLB). El segundo host de NLB debe configurarse con un clúster de NLB que usa una dirección IP de clúster a la que se puede acceder desde Internet, y debe usar la misma configuración de nombre DNS de clúster que el clúster de NLB anterior configurado en la red corporativa (fs.fabrikam.com). Los servidores proxy de federación también deben configurarse con direcciones IP a las que se puede acceder desde Internet.
En la ilustración siguiente se muestra la granja de servidores de federación existente con topología WID descrita anteriormente y cómo la empresa ficticia Fabrikam, Inc., proporciona acceso a un servidor DNS perimetral, agrega un segundo host NLB con el mismo nombre DNS de clúster (fs.fabrikam.com) y agrega dos servidores proxy de federación (fsp1 y fsp2) a la red perimetral.
Para obtener más información sobre cómo configurar el entorno de red para su uso con servidores de federación o servidores proxy de federación, consulte Requisitos de resolución de nombres para servidores de federación o Requisitos de resolución de nombres para servidores proxy de federación.