Planifier votre topologie de déploiement d’AD FS
La première étape de la planification d’un déploiement des services de fédération Active Directory (AD FS) consiste à déterminer la topologie de déploiement qui répond aux besoins de votre organisation.
Avant de lire cet article, passez en revue la façon dont les données AD FS sont stockées et répliquées sur d’autres serveurs de fédération d’une batterie de fédération, et vérifiez que vous comprenez bien l’objectif et les méthodes de réplication qui peuvent être utilisées pour les données sous-jacentes stockées dans la base de données de configuration AD FS.
Il existe deux types de bases de données que vous pouvez utiliser pour stocker des données de configuration AD FS : Base de données interne Windows (WID) et Microsoft SQL Server. Pour plus d’informations, consultez l’article The Role of the AD FS Configuration Database (Rôle de la base de données de configuration AD FS). Passez en revue les avantages et les limites de l’utilisation de la base de données interne ou de SQL Server comme base de données de configuration AD FS, ainsi que les différents scénarios d’application pris en charge, et effectuez votre sélection.
Important
Pour implémenter des fonctionnalités de redondance et d’équilibrage de charge de base, ainsi que la faculté d’étendre le service de fédération (le cas échéant), pensez à déployer au moins deux serveurs de fédération par batterie de serveurs de fédération pour tous les environnements de production, quel que soit le type de base de données que vous envisagez d’utiliser.
Détermination du type de base de données de configuration AD FS à utiliser
AD FS utilise une base de données pour stocker la configuration et, dans certains cas, les données transactionnelles liées au service de fédération. Vous pouvez utiliser le logiciel AD FS pour sélectionner soit la base de données interne Windows intégrée, soit Microsoft SQL Server version 2008 ou ultérieure, pour stocker les données dans le service de fédération.
En règle générale, les deux types de base de données sont relativement équivalents. Toutefois, vous devez prendre connaissance de certaines différences avant de vous pencher sur les diverses topologies de déploiement que vous pouvez utiliser avec le service AD FS. Le tableau suivant décrit les fonctionnalités et indique si elles sont prises en charge dans une base de données interne Windows et dans une base de données SQL Server.
| Description | Fonctionnalité | Prise en charge par la base de données interne Windows ? | Prise en charge par SQL Server ? |
|---|---|---|---|
| Fonctionnalités AD FS | Déploiement d'une batterie de serveurs de fédération | Oui. Une batterie WID a une limite de 30 serveurs de fédération si vous avez au moins 100 approbations de parties de confiance. Une batterie de serveurs WID ne prend pas en charge la détection de relecture de jetons ou la résolution d’artefacts (qui fait partie du protocole SAML (Security Assertion Markup Language). |
Oui. Vous pouvez déployer un nombre illimité de serveurs de fédération dans une batterie. |
| Fonctionnalités AD FS | Résolution des artefacts SAML Remarque : Cette fonctionnalité n’est pas nécessaire pour les scénarios Microsoft Online Services, Microsoft Office 365, Microsoft Exchange ou Microsoft Office SharePoint. |
Non | Oui |
| Fonctionnalités AD FS | Détection de relecture de jetons SAML/WS-Federation | Non | Oui |
| Fonctionnalités de base de données | Redondance de base de données simple avec réplication par réception, dans laquelle un ou plusieurs serveurs hébergeant une copie en lecture seule de la base de données demandent des modifications qui sont effectuées sur un serveur source hébergeant une copie en lecture/écriture de la base de données | Oui | Non |
| Fonctionnalités de base de données | Redondance de base de données à l’aide de solutions de haute disponibilité, comme le clustering de basculement ou la mise en miroir (au niveau de la couche base de données uniquement) Remarque : Toutes les topologies de déploiement AD FS prennent en charge le clustering au niveau de la couche de service AD FS. | Non | Oui |
Considérations concernant SQL Server
Vous devez prendre en compte les facteurs suivants si vous choisissez SQL Server comme base de données de configuration pour le déploiement d'AD FS.
Fonctionnalités SAML et leur impact sur la taille et sur la croissance de la base de données. Quand la résolution d'artefacts SAML ou la détection de relecture de jetons SAML est activée, AD FS stocke des informations dans la base de données de configuration SQL Server pour chaque jeton AD FS émis. La croissance de la base de données SQL Server qu'entraîne cette activité n'est pas considérée comme significative et dépend de la période de rétention de la relecture de jetons configurée. La taille de chaque enregistrement d'artefact est approximativement de 30 kilo-octets (Ko).
Nombre de serveurs nécessaires pour votre déploiement. Vous devrez ajouter au moins un serveur supplémentaire (selon le nombre total de serveurs requis pour déployer votre infrastructure AD FS) qui agira en tant qu’hôte dédié de l’instance de SQL Server. Si vous envisagez d'utiliser le clustering avec basculement ou la mise en miroir pour fournir les fonctionnalités de tolérance de panne et d'extensibilité pour la base de données de configuration SQL Server, au moins deux serveurs SQL sont nécessaires.
Impact du type de base de données de configuration sélectionné sur les ressources matérielles
L'impact sur les ressources matérielles d'un serveur de fédération déployé dans une batterie utilisant la base de données interne Windows n'est pas significatif par rapport à un serveur de fédération déployé dans une batterie utilisant la base de données SQL Server. Toutefois, gardez à l'esprit que quand vous utilisez la base de données interne Windows pour la batterie, chaque serveur de fédération appartenant à celle-ci doit stocker et gérer les changements de réplication pour sa copie locale de la base de données de configuration AD FS tout en effectuant les opérations normales nécessaires au service de fédération.
À l'opposé, les serveurs de fédération déployés dans une batterie qui utilise la base de données SQL Server ne contiennent pas nécessairement une instance locale de la base de données de configuration AD FS. Ils sont donc susceptibles de solliciter un peu moins les ressources matérielles.
Où placer un serveur de fédération
Il est recommandé de placer des serveurs de fédération AD FS derrière un pare-feu et de connecter ces services au réseau de l’entreprise pour réduire sa vulnérabilité par rapport à Internet. Cela est important, car les serveurs de fédération ont toute autorité pour octroyer des jetons de sécurité. Par conséquent, ils doivent avoir le même niveau de protection qu’un contrôleur de domaine. Si un serveur de fédération est compromis, un utilisateur malveillant a la possibilité d’émettre des jetons d’accès complet à toutes les applications web et à tous les serveurs de fédération qui sont protégés par AD FS.
Remarque
Pour une sécurité optimale, veillez à ce que vos serveurs de fédération ne soient pas directement accessibles sur Internet. N’autorisez vos serveurs de fédération à accéder directement à Internet que lorsque vous configurez un environnement de test ou que votre organisation ne dispose pas d’un réseau de périmètre.
Pour les réseaux d'entreprise types, un pare-feu avec accès par intranet est établi entre le réseau de l'entreprise et le réseau de périmètre, et un pare-feu avec accès par Internet est souvent établi entre le réseau de périmètre et Internet. Dans cette situation, le serveur de fédération réside à l’intérieur du réseau de l’entreprise et n’est pas directement accessible par les clients Internet.
Notes
Les ordinateurs clients qui sont connectés au réseau de l’entreprise peuvent communiquer directement avec le serveur de fédération via l’authentification intégrée Windows.
Un serveur proxy de fédération doit être placé dans le réseau de périmètre avant de configurer vos serveurs pare-feu pour une utilisation avec AD FS.
Topologies de déploiement prises en charge
Les articles suivants décrivent les différentes topologies de déploiement que vous pouvez utiliser avec AD FS. Elles expliquent également les avantages et les limites de chaque topologie de déploiement, ce qui vous permet de choisir la topologie la plus appropriée pour votre entreprise.