Planifier votre déploiement AD FS
S’applique à : Azure, Office 365, Power BI, Windows Intune
La première étape de la planification d’un déploiement AD FS pour un service cloud Microsoft consiste à sélectionner la topologie de déploiement appropriée pour répondre aux besoins de l’authentification unique de votre organisation. Les services AD FS imposent l'utilisation d'une base de données interne Windows (WID) ou d'une base de données SQL Server pour stocker les données de configuration AD FS utilisées par le service FS (Federation Service).
La topologie AD FS recommandée pour la majorité des clients des services cloud Microsoft consiste à utiliser la batterie de serveurs de fédération avec la base de données interne Windows et des serveurs proxy. Il existe également une option avancée de création de batterie de serveurs de fédération avec des proxies SQL Server, qui sera abordée ultérieurement dans cette section.
En outre, cette section fournit également un tableau pour déterminer le nombre de serveurs AD FS à déployer dans votre organisation, ainsi que des informations sur l'ajout de serveurs de fédération pour augmenter les performances.
Topologie recommandée : batterie de serveurs de fédération avec WID et proxys
Option avancée : batterie de serveurs de fédération avec SQL Server et proxys
Tableau d’estimation : déterminer le nombre de serveurs AD FS à déployer dans votre organisation
Ajout de serveurs de fédération pour accroître les performances
Topologie recommandée : batterie de serveurs de fédération avec WID et proxys
La topologie par défaut d’un service cloud Microsoft est une batterie de serveurs de fédération AD FS qui se compose de plusieurs serveurs hébergeant le service de fédération de votre organisation. Dans cette topologie, les services AD FS utilisent la base de données interne Windows comme base de données de configuration AD FS pour tous les serveurs de fédération membres de la batterie. La batterie réplique et maintient les données du service de fédération de la base de données de configuration à travers chaque serveur de la batterie.
La création du premier serveur de fédération d’une batterie consiste aussi à créer un nouveau service de fédération. Quand la base de données interne Windows est utilisée comme base de données de configuration AD FS, le premier serveur de fédération créé dans la batterie est appelé serveur de fédération principal. Cela signifie que cet ordinateur est configuré avec une copie en lecture/écriture de la base de données de configuration AD FS.
Tous les autres serveurs de fédération configurés pour cette batterie sont appelés serveurs de fédération secondaires, car ils doivent répliquer les changements apportés sur le serveur de fédération principal dans leurs copies en lecture seule de la base de données de configuration AD FS qu'ils stockent localement.
Notes
Il est recommandé d’utiliser au moins deux serveurs de fédération dans une configuration à équilibrage de charge.
La mise en place de cette topologie de batterie de serveurs de fédération de base est la première phase de votre déploiement AD FS. La seconde phase consiste à déterminer comment fournir des fonctionnalités de contrôle d'accès aux utilisateurs externes en déployant au choix :
des serveurs proxy d'application web, si vous utilisez les services AD FS dans Windows Server 2012 R2 ;
des serveurs proxy de fédération, si vous utilisez AD FS 2.0 ou les services AD FS dans Windows Server 2012.
Phase 1 : Déployer votre batterie de serveurs de fédération
Lorsque vous êtes prêt à démarrer le déploiement de votre batterie, vous devez prévoir de placer tous les serveurs de fédération de votre réseau d’entreprise derrière un hôte NLB (équilibrage de la charge réseau) qui puisse être configuré pour un cluster d’équilibrage de la charge réseau avec un nom DNS de cluster et une adresse IP de cluster dédiés.
Important
Ce nom DNS de cluster doit correspondre au nom du service FS (Federation Service) (par exemple fs.fabrikam.com) et être routable sur Internet pour l'instance des services AD FS que vous déployez. Si le nom ne correspond pas, la demande d’authentification n’est pas acheminée vers le serveur DNS ou le serveur de fédération appropriés.
L’hôte NLB peut utiliser les paramètres définis dans ce cluster pour allouer les demandes clientes aux serveurs de fédération individuels. Le schéma suivant décrit comment Fabrikam, Inc. peut configurer la première phase de leur déploiement à l’aide d’une batterie de serveurs de fédération (fs1 et fs2) à deux ordinateurs avec la base de données interne Windows, ainsi que le positionnement d’un serveur DNS et d’un seul hôte NLB connecté au réseau d’entreprise.
Notes
S’il y a un échec sur cet hôte d’équilibrage de charge réseau unique, les utilisateurs ne pourront pas accéder au service cloud. Ajoutez de nouveaux hôtes NLB si vos contraintes d’entreprise ne vous autorisent pas à avoir un seul point de défaillance.
Phase 2 : Déployer vos proxys
En général, les serveurs proxy sont utilisés pour rediriger les demandes d’authentification client provenant de l’extérieur de votre réseau d’entreprise vers la batterie de serveurs de fédération, en d’autres termes, pour configurer l’accès extranet.
Important
Selon la version des services AD FS que vous souhaitez utiliser, vous pouvez déployer des serveurs proxy d'application web (dans les services AD FS de Windows Server 2012 R2) ou des serveurs proxy de fédération (dans AD FS 2.0 et les services AD FS de Windows Server 2012). Pour connaître les définitions et les descriptions des fonctions d’un Proxy d'application Web et d’un proxy de serveur de fédération, consultez la terminologie AD FS.
Pour un client de service cloud Microsoft, le déploiement de proxys dans votre infrastructure AD FS existante est nécessaire pour activer les scénarios utilisateur suivants :
Ordinateur professionnel, itinérance : Les utilisateurs connectés à des ordinateurs joints à un domaine avec leurs informations d’identification d’entreprise, mais qui ne sont pas connectés au réseau d’entreprise (par exemple, un ordinateur professionnel à la maison ou à un hôtel), peuvent accéder au service cloud.
Ordinateur personnel ou public : Lorsque l’utilisateur utilise un ordinateur qui n’est pas joint au domaine d’entreprise, l’utilisateur doit se connecter avec ses informations d’identification d’entreprise pour accéder au service cloud.
Téléphone intelligent : Sur un téléphone intelligent, pour accéder au service cloud tel que Microsoft Exchange Online à l’aide de Microsoft Exchange ActiveSync, l’utilisateur doit se connecter avec ses informations d’identification d’entreprise.
Microsoft Outlook ou d’autres clients de messagerie : l’utilisateur doit se connecter avec ses informations d’identification d’entreprise pour accéder à son Office 365 e-mail s’il utilise Outlook ou un client de messagerie qui ne fait pas partie de Office; par exemple, un client IMAP ou POP.
Pour assurer la prise en charge de ces scénarios d'utilisation, la seconde phase s'appuie sur la première phase du déploiement décrit précédemment. Vous devez soit ajouter deux serveurs proxy d'application web, soit deux serveurs proxy de fédération, ce qui permet d'accéder à un serveur DNS et à un second hôte d'équilibrage de la charge réseau dans le réseau de périmètre.
Le second hôte NLB doit être configuré avec un cluster NLB qui utilise une adresse IP de cluster accessible par Internet et doit utiliser le même nom DNS de cluster que le précédent cluster NLB que vous avez configuré sur le réseau d’entreprise pour la phase 1 (fs.fabrikam.com). Les serveurs proxy d'application web ou les serveurs proxy de fédération sont également configurés avec des adresses IP accessibles par Internet.
Le schéma suivant illustre le déploiement existant de la phase 1 et la façon dont Fabrikam, Inc. peut fournir l’accès à un serveur DNS du périmètre, ajouter un deuxième hôte NLB avec le même nom DNS de cluster (fs.fabrikam.com), et ajouter deux serveurs proxys de fédération (fsp1 and fsp2) au réseau de périmètre.
Le schéma suivant illustre le déploiement de la première phase et montre comment Fabrikam, Inc. peut fournir l'accès à un serveur DNS de périmètre, ajouter un second hôte d'équilibrage de la charge réseau portant le même nom DNS de cluster (fs.fabrikam.com), et ajouter deux serveurs proxy d'application web (wap1 et wap2) au réseau de périmètre.
Notes
- Vous pouvez utiliser des solutions de proxy inverse HTTP tierces pour publier les services AD FS sur l'extranet. Pour plus d’informations sur la procédure à suivre, consultez Configuration des options avancées pour AD FS 2.0.
- Les communications AD FS qui passent à travers le pare-feu sont basées sur le protocole HTTPS.
- Vous pouvez créer des règles de revendication personnalisées dans AD FS qui limiteront l’accès de vos utilisateurs au service cloud en fonction de l’emplacement physique de l’ordinateur client ou de l’appareil client via lequel votre utilisateur demande l’accès. Pour plus d’informations sur la création de ces règles, voir Limiting Access to Office 365 Services Based on Client Location (Limitation de l’accès aux services Office 365 en fonction de l’emplacement du client).
Option avancée : batterie de serveurs de fédération avec SQL Server et proxys
Il s'agit d'une option avancée en matière de topologie de déploiement AD FS qui utilise les serveurs proxy d'application web ou les serveurs proxy de fédération et une configuration SQL Server pour permettre à tous les serveurs de fédération de la batterie de lire et d'écrire dans une base de données SQL Server commune. Utiliser une base de données SQL Server comme base de données de configuration AD FS présente les avantages suivants par rapport à la base de données interne Windows :
Fonctionnalités haute disponibilité de SQL Server que les administrateurs peuvent utiliser.
Améliorations supplémentaires des performances, notamment la possibilité d’effectuer un scale-out à l’aide de serveurs de fédération supplémentaires (une batterie WID a une limite de 30 serveurs de fédération si vous avez 100 approbations de partie de confiance ou moins. Si vous avez plus de 100 approbations de partie de confiance, une batterie de serveurs WID a une limite de 5 serveurs de fédération. ).
Équilibrage de charge géographique afin d’offrir une augmentation en cas de trafic élevé basé sur l’emplacement.
Notes
Comme cette topologie est une option de déploiement AD FS avancée, les détails relatifs à son fonctionnement et son déploiement ne sont pas traités dans cet article.
Pour plus d’informations sur cette option de topologie, voir Configuring Advanced Options for AD FS 2.0 (Configuration des options avancées pour AD FS 2.0).
Tableau d’estimation : déterminer le nombre de serveurs AD FS à déployer dans votre organisation
Vous pouvez utiliser le tableau suivant pour vous aider à estimer le nombre minimal de serveurs de fédération AD FS et de proxys d’application web ou de proxys de serveur de fédération que vous devez placer dans une batterie de serveurs de fédération configurée avec WID dans toute l’infrastructure réseau de votre entreprise en fonction du nombre d’utilisateurs qui nécessitent un accès par authentification unique, y compris l’accès à distance, au service cloud.
Notes
Tous les ordinateurs qui seront configurés pour le rôle de serveur de fédération ou de proxy de serveur de fédération doivent exécuter le Windows Server 2008, Windows Server 2008 R2 ou Windows Server 2012 système d’exploitation. Tous les ordinateurs configurés pour exécuter le service de rôle Proxy d'application web doivent exécuter simplement le système d'exploitation Windows Server 2012 R2.
Nous vous recommandons d’utiliser un seul serveur de fédération pour tenir compte de la redondance. Le tableau suivant respecte cette recommandation.
Nombre d’utilisateurs accédant au service cloud | Nombre minimal de serveurs à déployer | Recommandation et étapes |
---|---|---|
Moins de 1 000 utilisateurs |
0 serveurs de fédération dédiés 0 proxys dédiés 1 serveur NLB dédié |
Pour les serveurs de fédération, utilisez deux contrôleurs de domaine Active Directory existants et configurez-les pour le rôle serveur de fédération. À cette fin, sélectionnez deux contrôleurs de domaine existants, puis :
Pour l’équilibrage de la charge réseau, configurez un hôte NLB existant ou obtenez un serveur dédié, puis installez-y le rôle de serveur NLB et configurez le serveur NLB. Pour les serveurs proxy, utilisez deux serveurs web ou proxy existants, puis configurez-les pour le rôle serveur proxy de fédération ou le rôle serveur proxy d'application web. À cette fin, sélectionnez deux serveurs Web ou serveurs proxys existants qui résident dans l’extranet, puis :
Notes Si vous n’avez pas deux DCS existants et deux serveurs web ou proxy, ou qu’ils ne s’exécutent pas Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 ou Windows Server 2012 R2, vous devez déployer des serveurs dédiés à la place, comme indiqué dans la ligne suivante de ce tableau. Important Si vous utilisez AD FS 2.0 ou les services AD FS de Windows Server 2012, vous devez déployer et configurer des serveurs proxy de fédération. Si vous utilisez les services AD FS de Windows Server 2012 R2, vous pouvez uniquement configurer et déployer des serveurs proxy d'application web. Dans Windows Server 2012 R2, un serveur proxy d'application web, un nouveau service de rôle du rôle serveur Accès à distance, est utilisé pour configurer les services AD FS pour l'accès extranet. |
1 000 à 15 000 utilisateurs |
2 serveurs de fédération dédiés 2 serveurs proxy dédiés |
Pour les serveurs de fédération, obtenez deux serveurs dédiés, puis :
Pour les serveurs proxy, obtenez deux serveurs dédiés que vous pouvez placer dans l'extranet :
Important Si vous utilisez AD FS 2.0 ou les services AD FS de Windows Server 2012, vous devez déployer et configurer des serveurs proxy de fédération. Si vous utilisez les services AD FS de Windows Server 2012 R2, vous pouvez uniquement configurer et déployer des serveurs proxy d'application web. Dans Windows Server 2012 R2, un serveur proxy d'application web, un nouveau service de rôle du rôle serveur Accès à distance, est utilisé pour configurer les services AD FS pour l'accès extranet. |
15 000 à 60 000 utilisateurs |
Entre 3 et 5 serveurs de fédération dédiés Au moins 2 serveurs proxy dédiés |
Chaque serveur de fédération dédié peut prendre en charge approximativement 15 000 utilisateurs. Par conséquent, ajoutez un serveur de fédération dédié supplémentaire au déploiement de deux serveurs de fédération de base décrit précédemment pour tous les 15 000 utilisateurs qui auront besoin d’accéder au service cloud, jusqu’à un maximum de cinq serveurs de fédération dans la batterie de serveurs ou 60 000 utilisateurs. Notes Une batterie de serveurs de fédération AD FS configurée pour utiliser la base de données interne Windows prend en charge au maximum cinq serveurs de fédération. Si vous avez besoin de plus de cinq serveurs de fédération, configurez une base de données SQL Server pour stocker la base de données de configuration AD FS. Pour plus d’informations sur cette option de topologie, voir Configuring Advanced Options for AD FS 2.0 (Configuration des options avancées pour AD FS 2.0). |
Le nombre minimal d’utilisateurs pour les serveurs est calculé en fonction du matériel suivant :
Matériel | Spécifications |
---|---|
Vitesse du processeur |
Processeur Dual Quad Core 2,27 GHz (8 cores) |
Mémoire vive (RAM) |
4 gigaoctets (Go) |
Réseau |
Go |
Ajout de serveurs de fédération pour accroître les performances
Quand deux serveurs de fédération, ou plus, sont configurés dans une batterie à l'aide de la technologie d'équilibrage de la charge réseau, ils peuvent fonctionner indépendamment pour contribuer au traitement des requêtes entrantes adressées par les utilisateurs au service FS (Federation Service) Active Directory, sans entraîner de dégradation des performances globales du service dans son ensemble. Par conséquent, l’ajout de serveurs de fédération à votre environnement de production après que vous avez déployé stratégiquement vos serveurs de fédération initiaux dans votre réseau n’entraîne qu’une faible surcharge.
Étape suivante
Maintenant que vous avez planifié votre déploiement AD FS, l’étape suivante consiste à passer en revue les conditions requises pour le déploiement d’AD FS.