Compartir a través de


Planear la topología de la implementación de AD FS

El primer paso para planear una implementación de Servicios de federación de Active Directory (AD FS) es determinar la topología de implementación correcta para satisfacer las necesidades de su organización.

Antes de leer este artículo, revise cómo se almacenan y replican los datos de AD FS en otros servidores de federación de una granja de servidores de federación y asegúrese de comprender el propósito y los métodos de replicación que se pueden usar para los datos subyacentes almacenados en la base de datos de configuración de AD FS.

Hay dos tipos de base de datos que puede usar para almacenar datos de configuración de AD FS: Windows Internal Database (WID) y Microsoft SQL Server. Para más información, consulte Rol de base de datos de configuración de AD FS. Consulte las diferentes ventajas y limitaciones de usar WID o SQL Server como base de datos de configuración de AD FS, además de los diferentes escenarios de aplicaciones que admiten y, luego, seleccione la que más le convenga.

Importante

Para implementar redundancia básica, equilibrio de carga y la opción de escalar el servicio de federación (si fuera necesario), le recomendamos que implemente al menos dos servidores de federación por cada granja de servidores de federación para todos los entornos de producción, independientemente del tipo de base de datos que vaya a usar.

Cómo determinar qué tipo de base de datos de configuración de AD FS utilizar

AD FS utiliza una base de datos para almacenar la configuración y, en algunos casos, los datos transaccionales relacionados con el servicio de federación. Puede usar el software de AD FS para seleccionar la instancia de Windows Internal Database (WID) integrada o Microsoft SQL Server 2008 o posterior para almacenar los datos en el servicio de federación.

Para la mayoría de los objetivos, los dos tipos de bases de datos son relativamente equivalentes. Sin embargo, debe tener en cuenta algunas diferencias antes de empezar a leer más sobre las diversas topologías de implementación que puede usar con AD FS. La siguiente tabla describe las diferencias que existen entre las características de una base de datos de WID y una base de datos de SQL Server.

Descripción Característica ¿Compatible con WID? ¿Compatible con SQL Server?
Características de AD FS Implementación de una granja de servidores de federación Sí. Una granja de WID tiene un límite de 30 servidores de federación si tiene 100 o menos relaciones de confianza para usuario autenticado.

Una granja de WID no admite la detección de reproducción de tokens ni la resolución de artefactos (parte del protocolo lenguaje de marcado de aserción de seguridad [SAML]).
Sí. No hay un límite obligatorio para el número de servidores de federación que se pueden implementar en una sola granja
Características de AD FS Resolución de artefactos SAML

Nota: Esta característica no es necesaria para escenarios de Microsoft Online Services, Microsoft Office 365, Microsoft Exchange o Microsoft Office SharePoint.
No
Características de AD FS Detección de reproducción de tokens de SAML/WS-Federation No
Características de las bases de datos Redundancia básica de la base de datos mediante la replicación de extracción, en la que uno o más servidores que hospedan una copia de solo lectura de la base de datos solicitan cambios que se introducen en un servidor de origen que hospeda una copia de lectura-escritura de la base de datos No
Características de las bases de datos Redundancia de la base de datos mediante soluciones de alta disponibilidad, como clústeres de conmutación por error o creación de reflejo (solo en el nivel de base de datos) Nota: Todas las topologías de implementación de AD FS admiten la agrupación de clústeres en el nivel de servicio de AD FS. No

Consideraciones sobre SQL Server

Debes considerar las siguientes cuestiones de implementación si seleccionas SQL Server como base de datos de configuración para tu implementación de AD FS.

  • Características de SAML y su efecto en el tamaño y el crecimiento de la base de datos. Cuando se habilitan la característica de resolución de artefactos de SAML o la característica de detección de respuesta de token de SAML, AD FS almacena información en la base de datos de configuración de SQL Server para cada token de AD FS que se emita. El crecimiento de la base de datos de SQL Server como resultado de esta actividad no se considera significativo, y depende del período de retención que se configure para la respuesta de token. Cada registro de artefacto tiene un tamaño aproximado de 30 kilobytes (KB).

  • Número de servidores necesarios para la implementación. Deberá agregar al menos un servidor adicional (al número total de servidores necesarios para implementar la infraestructura de AD FS) que actuará como host dedicado de la instancia de SQL Server. Si planeas utilizar el clúster de conmutación por error o la creación de reflejo para proporcionar tolerancia a errores y escalabilidad a la base de datos de configuración de SQL Server, se necesitan por lo menos dos servidores SQL.

Cómo podría afectar a los recursos de hardware el tipo de base de datos de configuración que selecciones

El impacto que se registra en los recursos de hardware de un servidor de federación implementado en una granja con WID, en contraposición a un servidor de federación implementado en una granja con la base de datos de SQL Server, no es significativo. Sin embargo, es importante tener en cuenta que, cuando utilizas WID para la granja, cada servidor de federación de dicha granja debe almacenar, administrar y mantener los cambios de replicación para su copia local de la base de datos de configuración de AD FS, a la vez que sigue proporcionando las operaciones normales que requiere el servicio de federación.

En comparación, los servidores de federación que se implementan en una granja que utiliza la base de datos de SQL Server no contienen necesariamente una instancia local de la base de datos de configuración de AD FS. Por tanto, sus demandas de recursos de hardware podrían ser ligeramente inferiores.

Dónde colocar un servidor de federación

Como práctica recomendada de seguridad, coloque los servidores de federación de AD FS detrás de un firewall y conéctelos a la red corporativa para evitar la exposición de Internet. Esto es importante porque los servidores de federación tienen autorización completa para conceder tokens de seguridad. Por lo tanto, deben tener la misma protección que un controlador de dominio. Si un servidor de federación se ve comprometido, un usuario malintencionado puede emitir tokens de acceso completo a todas las aplicaciones web y los servidores de federación que estén protegidos por AD FS.

Nota

Como procedimiento de seguridad recomendado, evite que se pueda acceder a los servidores de federación directamente en Internet. Considere la posibilidad de conceder a sus servidores de federación acceso directo a Internet solo cuando vaya a configurar un entorno de laboratorio de pruebas o cuando la organización no disponga de una red perimetral.

Para las redes corporativas típicas, se establece un firewall con conexión a intranet entre la red corporativa y la red perimetral, y con frecuencia se establece un firewall con conexión a Internet entre la red perimetral e Internet. En esta situación, el servidor de federación se encuentra dentro de la red corporativa, por lo que los clientes de Internet no pueden acceder a él directamente.

Nota

Los equipos cliente conectados a la red corporativa pueden comunicarse directamente con el servidor de federación mediante la autenticación integrada de Windows.

Un servidor proxy de federación debe colocarse en la red perimetral para poder configurar los servidores de firewall para su uso con AD FS.

Topologías de implementación admitidas

En los artículos siguientes se describen las distintas topologías de implementación que puede usar con AD FS. También se describen las ventajas y limitaciones de cada una de ellas para que puedas seleccionar la más adecuada para tus necesidades empresariales específicas.

Consulte también