Batterie de serveurs de fédération utilisant SQL Server
Cette topologie pour Active Directory Federation Services (AD FS) diffère de la batterie de serveurs de fédération utilisant la topologie de déploiement Base de données interne Windows (WID) en cela qu’elle ne réplique pas les données sur chaque serveur de fédération de la batterie. Au lieu de cela, tous les serveurs de fédération de la batterie de serveurs peuvent lire et écrire des données dans une base de données commune stockée sur un serveur exécutant Microsoft SQL Server qui se trouve dans le réseau d’entreprise.
Points à prendre en considération pour le déploiement
Cette section décrit différentes considérations relatives à l’audience visée, aux avantages et aux limitations associés à cette topologie de déploiement.
À qui s’adresse cette topologie ?
Les grandes organisations avec plus de 100 relations d’approbation qui doivent fournir à leurs utilisateurs internes et externes un accès à l’authentification unique (SSO) aux applications ou services fédérés
Les organisations qui utilisent déjà SQL Server et souhaitent tirer parti de leurs outils et de leur expertise existants
Quels sont les avantages de l’utilisation de cette topologie ?
Prise en charge d’un plus grand nombre de relations d’approbation (plus de 100)
Prise en charge de la détection de relecture de jeton (fonctionnalité de sécurité) et de la résolution d’artefacts (dans le cadre du protocole SAML (Security Assertion Markup Language) 2,0)
Prise en charge de tous les avantages des SQL Server, comme la mise en miroir de bases de données, le clustering de basculement et les outils de création de rapports et de gestion
Quelles sont les limitations de l’utilisation de cette topologie ?
- Cette topologie ne fournit pas de redondance de base de données par défaut. Bien qu’une batterie de serveurs de fédération avec topologie WID réplique automatiquement la base de données WID sur chaque serveur de fédération de la batterie de serveurs, la batterie de serveurs de fédération avec topologie SQL Server contient une seule copie de la base de données
Remarque
SQL Server prend en charge de nombreuses options de redondance des données et des applications, notamment le clustering de basculement, la mise en miroir de bases de données et plusieurs types de réplication de SQL Server.
Le service informatique de Microsoft utilise la mise en miroir de bases de données SQL Server en mode de haute sécurité (synchrone) et le clustering de basculement pour fournir une prise en charge haute disponibilité de l’instance SQL Server. La réplication transactionnelle SQL Server (pair à pair) et de fusion n’ont pas été testées par l’équipe produit AD FS de Microsoft. Pour plus d’informations sur SQL Server, consultez Vue d’ensemble des solutions à haute disponibilité ou Sélection du type de réplication approprié.
Versions SQL Server prises en charge
Les versions de SQL Server suivantes sont prises en charge avec AD FS installé avec Windows Server 2012 :
SQL Server 2008/R2
SQL Server 2012
Recommandations relatives à l’emplacement du serveur et à la disposition du réseau
À l’instar de la batterie de serveurs de fédération avec topologie WID, tous les serveurs de fédération de la batterie de serveurs sont configurés pour utiliser un nom DNS de cluster (qui représente le nom du service de fédération) et une adresse IP de cluster dans le cadre de la configuration du cluster d’équilibrage de charge réseau (NLB). Cela permet à l’hôte NLB d’allouer des requêtes client aux serveurs de fédération individuels. Les proxys de serveur de fédération peuvent être utilisés pour mettre en proxy les demandes clientes vers la batterie de serveurs de fédération.
L’illustration suivante montre comment la société fictive Contoso Pharmaceuticals a déployé sa batterie de serveurs de fédération avec la topologie SQL Server dans le réseau d’entreprise. Elle montre également comment cette entreprise a configuré le réseau de périmètre avec accès à un serveur DNS, un hôte NLB supplémentaire qui utilise le même nom DNS de cluster (fs.contoso.com) que celui utilisé sur le cluster d’équilibrage de charge réseau d’entreprise, et avec deux proxys de serveur de fédération (fsp1 et fsp2).
Pour plus d’informations sur la configuration de votre environnement réseau à utiliser avec des serveurs de fédération ou des proxys de serveur de fédération, consultez Exigences relatives à la résolution de noms pour les serveurs de fédération ou Exigences relatives à la résolution de noms pour les serveurs proxy de fédération.