Batterie de serveurs de fédération utilisant la base de données interne Windows et des proxys
Cette topologie de déploiement pour Active Directory Federation Services (AD FS) est identique à la batterie de serveurs de fédération avec topologie de base de données interne Windows (WID), mais elle ajoute des proxys de serveur de fédération au réseau de périmètre pour prendre en charge les utilisateurs externes. Les serveurs proxys de fédération redirigent les demandes d’authentification client extérieures à votre réseau d’entreprise vers la batterie de serveurs de fédération.
Points à prendre en considération pour le déploiement
Cette section décrit différentes considérations relatives à l’audience visée, aux avantages et aux limitations associés à cette topologie de déploiement.
Public cible de la topologie
Organisations dans lesquelles au maximum 100 relations d’approbation ont été configurées et qui ont besoin de fournir à leurs utilisateurs internes et externes (connectés à des ordinateurs situés physiquement en dehors du réseau d’entreprise) un accès par authentification unique (SSO) aux applications ou services fédérés
Organisations qui doivent fournir à leurs utilisateurs internes et externes un accès SSO à Microsoft Office 365
Petites organisations qui disposent d’utilisateurs externes et ont besoin de services redondants et scalables
Avantages de la topologie
- Mêmes avantages que la topologie de batterie de serveurs de fédération utilisant la Base de données interne Windows, ainsi que l’avantage de fournir un accès supplémentaire aux utilisateurs externes
Limitations de la topologie
- Les mêmes limitations que celles répertoriées pour la topologie Batterie de serveurs de fédération utilisant la base de données interne Windows
Recommandations relatives à l’emplacement du serveur et à la disposition du réseau
Pour déployer cette topologie, en plus d’ajouter deux serveurs proxy de fédération, vous devez vous assurer que votre réseau de périmètre peut également fournir l’accès à un serveur DNS (Domain Name System) et à un deuxième hôte d’équilibrage de charge réseau (NLB). Le second hôte NLB doit être configuré avec un cluster NLB qui utilise une adresse IP de cluster accessible par Internet et doit utiliser le même nom DNS de cluster que le précédent cluster NLB que vous avez configuré sur le réseau d’entreprise (fs.fabrikam.com). Les serveurs proxys de fédération devraient aussi être configurés avec des adresses IP accessibles par Internet.
L’illustration suivante montre la batterie de serveurs de fédération existante avec la topologie WID décrite précédemment et comment la société fictive Fabrikam, Inc., fournit l’accès à un serveur DNS de périmètre, ajoute un deuxième hôte NLB avec le même nom DNS de cluster (fs.fabrikam.com) et ajoute deux serveurs proxy de fédération (fsp1 et fsp2) au réseau de périmètre.
Pour plus d’informations sur la configuration de votre environnement réseau à utiliser avec des serveurs de fédération ou des proxys de serveur de fédération, consultez Exigences relatives à la résolution de noms pour les serveurs de fédération ou Exigences relatives à la résolution de noms pour les serveurs proxy de fédération.