Batterie de serveurs de fédération AD FS héritée utilisant WID
La topologie par défaut des services de fédération Active Directory (AD FS) est une batterie de serveurs de fédération, qui utilise la base de données interne Windows (WID). Dans cette topologie, les services AD FS utilisent la base de données interne Windows comme magasin pour la base de données de configuration AD FS pour tous les serveurs de fédération membres de la batterie. La batterie réplique et maintient les données du service de fédération de la base de données de configuration à travers chaque serveur de la batterie. AD FS dans Windows Server 2012 R2 permet aux organisations disposant de 100 approbations de partie de confiance ou moins de configurer des batteries de serveurs de fédération utilisant WID avec un maximum de 30 serveurs.
La création du premier serveur de fédération d’une batterie consiste aussi à créer un nouveau service de fédération. Quand vous utilisez la base de données interne Windows (WID) comme base de données de configuration AD FS, le premier serveur de fédération que vous créez dans la batterie est appelé serveur de fédération principal. Cela signifie que cet ordinateur est configuré avec une copie en lecture/écriture de la base de données de configuration AD FS.
Tous les autres serveurs de fédération que vous configurez pour cette batterie sont désignés comme serveurs de fédération secondaires, car ils doivent répliquer les changements apportés sur le serveur de fédération principal dans leurs copies en lecture seule de la base de données de configuration AD FS qu’ils stockent localement.
Important
Il est recommandé d’utiliser au moins deux serveurs de fédération dans une configuration à équilibrage de charge.
Points à prendre en considération pour le déploiement
Cette section décrit différentes considérations relatives à l’audience visée, aux avantages et aux limitations associés à cette topologie de déploiement.
À qui s’adresse cette topologie ?
Organisations avec 100 relations d’approbation configurées ou moins qui ont besoin de fournir à leurs utilisateurs internes (connectés à des ordinateurs physiquement connectés au réseau d’entreprise) un accès par authentification unique (SSO) aux applications ou services fédérés
Organisations qui souhaitent fournir à leurs utilisateurs internes un accès SSO à Microsoft Online Services ou Microsoft Office 365
Plus petites organisations qui ont besoin de services redondants et évolutifs
Notes
Les organisations disposant de bases de données plus volumineuses doivent envisager d’utiliser la topologie de déploiement Batterie de serveurs de fédération utilisant SQL Server. Les organisations dont les utilisateurs se connectent depuis l’extérieur du réseau doivent envisager d’utiliser la topologie Batterie de serveurs de fédération utilisant la base de données interne Windows et des proxys ou la topologie Batterie de serveurs de fédération utilisant SQL Server.
Quels sont les avantages de l’utilisation de cette topologie ?
Fourniture d’accès SSO aux utilisateurs internes
Redondance du service de données et de fédération (chaque serveur de fédération réplique les modifications apportées aux autres serveurs de fédération dans la même batterie de serveurs)
WID incluse dans Windows, donc aucun besoin d’acheter SQL Server
Quelles sont les limitations de l’utilisation de cette topologie ?
Une batterie WID est limitée à 30 serveurs de fédération si vous avez 100 approbations de parties de confiance ou moins.
Une batterie WID ne prend pas en charge la détection des relectures de jetons ni la résolution d’artefacts (qui font partie du protocole SAML (Security Assertion Markup Language)).
Le tableau suivant résume l’utilisation d’une batterie WID. Utilisez-le pour planifier votre implémentation.
Approbations de partie de confiance 1-100 | Plus de 100 approbations de partie de confiance |
---|---|
Nœuds AD FS 1-30 : WID pris en charge | Nœuds AD FS 1-30 : Non pris en charge avec WID - SQL Server requis |
Plus de 30 nœuds AD FS : Non pris en charge avec WID - SQL Server requis | Plus de 30 nœuds AD FS : Non pris en charge avec WID - SQL Server requis |
Recommandations relatives au positionnement des serveurs et à la disposition réseau
Lorsque vous êtes prêt à démarrer le déploiement de cette topologie sur votre réseau, vous devez prévoir de placer tous les serveurs de fédération dans votre réseau d’entreprise derrière un hôte d’équilibrage de charge réseau (NLB) pouvant être configuré pour un cluster NLB avec un nom DNS (Domain Name System) de cluster et une adresse IP de cluster dédiés.
Notes
Ce nom DNS de cluster doit correspondre au nom du service de fédération, par exemple, fs.fabrikam.com.
L’hôte NLB peut utiliser les paramètres définis dans ce cluster NLB pour allouer les demandes clientes aux serveurs de fédération individuels. L’illustration suivante montre comment la société fictive Fabrikam, Inc. configure la première phase de son déploiement à l’aide d’une batterie de serveurs de fédération comprenant deux ordinateurs (fs1 et fs2) avec la base de données interne Windows (WID), le positionnement d’un serveur DNS et un hôte NLB unique câblé au réseau d’entreprise.
Note
En cas de défaillance sur cet hôte NLB unique, les utilisateurs ne peuvent pas accéder aux applications ou services fédérés. Ajoutez de nouveaux hôtes NLB si vos contraintes d’entreprise ne vous autorisent pas à avoir un seul point de défaillance.
Pour plus d’informations sur la manière de configurer votre environnement réseau pour une utilisation avec des serveurs de fédération, consultez la section Exigences relatives à la résolution de noms dans Configuration AD FS requise.
Voir aussi
Planification d’une topologie de déploiement AD FSGuide de conception AD FS dans Windows Server 2012 R2