Rôle de la base de données de configuration AD FS
La base de données de configuration AD FS stocke toutes les données de configuration qui représentent une instance unique des Services ADFS (c'est-à-dire, le service de fédération). La base de données de configuration AD FS définit l'ensemble des paramètres qui permettent à un service de fédération d'identifier les partenaires, les certificats, les magasins d'attributs, les revendications et différentes données sur ces entités associées. Vous pouvez stocker ces données de configuration dans une base de données Microsoft SQL Server® ou dans la base de données interne Windows (WID) fournie avec Windows Server 2012 ou versions ultérieures.
Remarque
Tout le contenu de la base de données de configuration AD FS peut être stocké soit dans une instance de la base de données interne Windows, soit dans une instance de la base de données SQL, mais pas dans les deux. Cela signifie que vous ne pouvez pas avoir certains serveurs de fédération utilisant la base de données interne Windows et d'autres une base de données SQL Server pour la même instance de la base de données de configuration AD FS.
À partir des informations fournies dans cette rubrique et du contenu de la rubrique Considérations sur la topologie du déploiement d'AD FS, vous pouvez avoir une idée des avantages et des inconvénients de la base de données interne Windows et de SQL Server pour stocker la base de données de configuration AD FS et effectuer votre choix en conséquence :
La base de données interne Windows utilise une base de données relationnelle et ne possède pas sa propre interface utilisateur de gestion. À la place, les administrateurs se servent du composant logiciel enfichable Gestion AD FS, de Fsconfig.exe ou d'applets de commande Windows PowerShell™ pour modifier le contenu de la base de données de configuration AD FS.
Utilisation de la base de données interne Windows pour stocker la base de données de configuration AD FS
À l'aide de l'outil en ligne de commande Fsconfig.exe ou de l'Assistant Configuration du serveur de fédération des AD FS, vous pouvez créer la base de données de configuration AD FS en utilisant la base de données interne Windows (WID) en tant que magasin. Quand vous utilisez l'un de ces outils, vous pouvez choisir l'une des options suivantes pour créer votre topologie de serveur de fédération. Chacune de ces options utilise la base de données interne Windows pour le stockage de la base de données de configuration AD FS :
Créer un serveur de fédération autonome
Créer le premier serveur de fédération dans une batterie de serveurs de fédération
Ajouter un serveur de fédération à une batterie de serveurs de fédération
Si vous choisissez l'option de création d'un serveur de fédération autonome, la base de données interne Windows est utilisée pour stocker une instance unique de la base de données de configuration AD FS. Cette instance ne peut pas être partagée par plusieurs serveurs de fédération. Elle est uniquement destinée aux environnements lab de test. Pour plus d'informations sur l'option de création d'un serveur de fédération autonome ou sur la façon d'en configurer un, consultez Serveur de fédération autonome utilisant la base de données interne Windows ou Créer un serveur de fédération autonome.
Si vous choisissez l'option permettant de sélectionner le premier serveur de fédération dans une batterie de serveurs de fédération, la base de données interne Windows est configurée de manière à ce que la batterie puisse ultérieurement accueillir des serveurs de fédération supplémentaires. Pour plus d'informations sur le déploiement d'une batterie utilisant la base de données interne Windows ou sur la façon d'en configurer une, consultez Batterie de serveurs de fédération utilisant la base de données interne Windows ou Créer le premier serveur de fédération dans une batterie de serveurs de fédération
Si vous choisissez l'option permettant d'ajouter un serveur de fédération, la base de données interne Windows est configurée de manière à pouvoir répliquer les modifications apportées à la base de données de configuration vers le nouveau serveur de fédération à des intervalles définis. Pour plus d'informations sur l'ajout d'un serveur de fédération à une batterie utilisant la base de données interne Windows, consultez Batterie de serveurs de fédération utilisant la base de données interne Windows ou Ajouter un serveur de fédération à une batterie de serveurs de fédération.
Notes
Quand vous déployez une batterie de serveurs de fédération utilisant la base de données interne Windows, certaines fonctionnalités AD FS peuvent ne pas être disponibles. Pour avoir accès à toutes les fonctionnalités quand vous configurez votre batterie de serveurs, envisagez plutôt d'utiliser Microsoft SQL Server pour stocker la base de données de configuration AD FS. Pour plus d'informations, consultez Considérations sur la topologie du déploiement d'AD FS.
Fonctionnement d'une batterie de serveurs de fédération utilisant la base de données interne Windows
Cette section décrit des concepts importants qui expliquent comment la batterie de serveurs de fédération utilisant la base de données interne Windows réplique des données entre un serveur de fédération principal et des serveurs de fédération secondaires. .
Serveur de fédération principal
Un serveur de fédération principal est un ordinateur exécutant Windows Server 2012 ou versions ultérieures qui a été configuré en tant que rôle de serveur de fédération à l’aide de l’Assistant Configuration du serveur de fédération AD FS et qui possède une copie en lecture/écriture de la base de données de configuration AD FS. Le serveur de fédération principal est toujours créé quand vous utilisez l’Assistant Configuration du serveur de fédération AD FS et que vous sélectionnez l’option permettant de créer un service de fédération et de faire de cet ordinateur le premier serveur de fédération dans la batterie. Tous les autres serveurs de fédération de cette batterie, également appelés serveurs de fédération secondaires, doivent synchroniser les modifications apportées sur le serveur de fédération principal avec une copie de la base de données de configuration AD FS qui est stockée localement.
Serveurs de fédération secondaires
Les serveurs de fédération secondaires stockent une copie de la base de données de configuration AD FS à partir du serveur de fédération principal, mais ces copies sont en lecture seule. À intervalles réguliers, les serveurs de fédération secondaires se connectent au serveur de fédération principal de la batterie et l'interrogent pour synchroniser les données si des modifications de données ont eu lieu. Les serveurs de fédération secondaires fournissent la fonctionnalité de tolérance de panne pour le serveur de fédération principal tout en équilibrant la charge des demandes d'accès effectuées sur les différents sites de votre environnement réseau.
Synchronisation de la base de données de configuration AD FS
Comme la base de données de configuration AD FS joue un rôle important, tous les serveurs de fédération du réseau peuvent fournir les fonctionnalités de tolérance de panne et d'équilibrage de charge pendant le traitement des demandes (si des équilibreurs de charge réseau sont utilisés). Toutefois, pour que les serveurs de fédération secondaires offrent ces fonctionnalités, la base de données de configuration AD FS stockée sur le serveur de fédération principal doit être synchronisée.
Quand vous ajoutez un serveur de fédération à la batterie, le nouvel ordinateur qui devient un serveur de fédération secondaire se connecte au serveur de fédération principal pour répliquer la copie de la base de données de configuration AD FS. Dès cet instant, le nouveau serveur de fédération extrait les mises à jour du serveur de fédération principal à intervalles réguliers, comme le montre l'illustration suivante.
Chaque serveur de fédération secondaire interroge le serveur de fédération principal toutes les cinq minutes pour déterminer si des modifications ont été apportées. Vous pouvez ajuster ce paramétrage de cinq minutes par défaut ou exécuter une synchronisation à tout moment à l'aide d'une applet de commande Windows PowerShell. Pour plus d'informations sur la façon de procéder, consultez Administration AD FS avec Windows PowerShell.
Le processus de synchronisation avec la base de données interne Windows prend également en charge les transferts incrémentiels, ce qui permet de transférer les modifications intermédiaires de façon plus efficace. Le processus de transfert incrémentiel génère sensiblement moins de trafic réseau, et les transferts sont effectués beaucoup plus rapidement.
Notes
La migration d'une base de données de configuration AD FS depuis la base de données interne Windows vers une instance de SQL Server est prise en charge. Pour plus d’informations sur la procédure à suivre, consultez AD FS : Migrer votre base de données de configuration AD FS vers SQL Server sur le site Wiki TechNet.
Comment gérer les propriétés de synchronisation AD FS
Cette section explique comment afficher et modifier les propriétés de synchronisation de la base de données de configuration AD FS. .
L’applet de commande Get-ADFSSyncProperties obtient les propriétés de synchronisation de la base de données de configuration de Services ADFS (AD FS).
PS C:\> Get-ADFSSyncProperties
Sur le serveur AD FS principal, cette applet de commande indique uniquement que le rôle est l’ordinateur principal. Sur un membre secondaire, il affiche le reste de la configuration, y compris le nom de domaine complet de la dernière synchronisation de l’ordinateur principal, l’état et l’heure de la dernière synchronisation, la durée du sondage, le nom de l’ordinateur principal actuellement configuré, le port de l’ordinateur principal et le rôle de l’ordinateur secondaire.
L’applet de commande Set-ADFSSyncProperties modifie la fréquence de synchronisation de la base de données de configuration Services ADFS (AD FS). L’applet de commande spécifie également quel serveur de fédération est le serveur principal dans la batterie de serveurs de fédération.
Remarque
Si un serveur de fédération principal tombe en panne et se retrouve hors connexion, tous les serveurs de fédération secondaires continuent de traiter les demandes normalement. Toutefois, aucune nouvelle modification ne peut être apportée au service de fédération tant que le serveur de fédération principal n'est pas de nouveau en ligne. Vous pouvez également désigner un serveur de fédération secondaire comme serveur de fédération principal à l'aide de Windows PowerShell. Si vous nommez un nouveau serveur principal, les serveurs restants doivent être modifiés pour refléter le nouveau serveur principal. Le fait d’avoir 2 serveurs primaires avec une batterie WID aura un impact sur la stabilité de la batterie de serveurs et aura la possibilité de perdre des données.
Modifier la durée d’interrogation d’une batterie de serveurs
PS C:\> Set-AdfsSyncProperties -PollDuration 3600 -PrimaryComputerName "FederationServerPrimary"
Cette commande modifie la synchronisation de la base de données à 3 600 secondes. La commande apporte la modification au serveur de fédération principal.
Passer d’un serveur secondaire à un serveur principal
PS C:\> Set-AdfsSyncProperties -Role "PrimaryComputer"
Cette commande modifie un serveur AD FS dans une batterie de serveurs WID de secondaire en serveur principal.
Remplacer un serveur principal par un serveur secondaire
PS C:\> Set-AdfsSyncProperties -Role "SecondaryComputer" -PrimaryComputerName "<FQDN of primary server>"
Cette commande remplace un serveur AD FS principal dans une batterie de serveurs WID par un serveur secondaire. Vous devez spécifier le nom de domaine complet du serveur principal. Si vous ne le faites pas, tous les serveurs AD FS secondaires ne se synchronisent pas correctement. Remarque : le serveur principal doit être accessible via HTTP sur le port 80 à partir du serveur secondaire.
Pour plus d’informations, consultez : Set-AdfsSyncProperties
Utilisation de SQL Server pour stocker la base de données de configuration AD FS
À l'aide de l'outil en ligne de commande Fsconfig.exe, vous pouvez créer la base de données de configuration AD FS en utilisant une seule instance de base de données SQL Server comme magasin. Utiliser une base de données SQL Server comme base de données de configuration AD FS présente les avantages suivants par rapport à la base de données interne Windows :
Les administrateurs peuvent tirer parti des fonctionnalités haute disponibilité de SQL Server
Les performances sont accrues en cas de trafic élevé.
La résolution d'artefacts SAML et la détection de relecture de jetons SAML/WS-Federation, décrites ci-après, sont prises en charge.
Le terme « serveur de fédération principal » ne s'applique pas quand la base de données de configuration AD FS est stockée dans une instance de base de données SQL, car tous les serveurs de fédération bénéficient du même accès en lecture et écriture à la base de données de configuration AD FS qui utilise la même instance SQL Server en cluster, comme le montre l'illustration suivante.
Vous pouvez utiliser SQL Server pour constituer un cluster de serveurs à partir de deux serveurs, ou plus, afin que les services AD FS soient hautement disponibles pour traiter les demandes clientes entrantes. La haute disponibilité offre une architecture de montée en charge dans laquelle vous pouvez augmenter la capacité des serveurs en ajoutant des serveurs. Les défaillances sont limitées grâce au basculement de cluster automatique.
Vous pouvez bénéficier de la haute disponibilité en utilisant les services d'équilibrage de charge réseau et de basculement fournis par les technologies de clustering SQL. Pour plus d'informations sur la configuration de SQL Server pour la haute disponibilité, consultez la rubrique Vue d'ensemble des solutions à haute disponibilité.
Résolution d’artefacts SAML
La résolution d'artefacts SAML (Security Assertion Markup Language) repose sur la partie du protocole SAML 2.0 qui explique comment une partie de confiance peut récupérer un jeton directement d'un fournisseur de revendications. Au cours de la première phase du processus de résolution, un client de navigateur contacte un serveur de fédération de ressources et lui fournit un artefact. Pendant la deuxième phase, les serveurs de fédération de ressources envoient l'artefact à une URL de point de terminaison d'artefact SAML hébergée dans une organisation partenaire de compte pour résoudre le message d'artefact. Au cours de la dernière phase, le serveur de fédération de comptes émet le jeton pour le serveur de fédération pour le compte du client de navigateur.
Remarque
Si vous êtes administrateur dans une organisation partenaire de compte, assurez-vous d'affecter ou de lier un certificat SSL, qui doit être associé à un certificat racine d'un membre du programme de certificat racine Windows, au site web passif de fédération dans IIS (<ComputerName>\Sites\Default Web Site\adfs\ls) sur tous les serveurs de fédération de comptes de la batterie. Ainsi, les serveurs de fédération de ressources n'ont pas besoin d'ajouter eux-mêmes le certificat SSL au magasin de certificats Ordinateur Local/Personnes autorisées et peuvent résoudre l'artefact publié dans votre organisation.
SAML/WS - Détection de relecture des jetons de fédération
La relecture de jetons fait référence à la tentative par un client de navigateur dans une organisation partenaire de compte d'envoyer plusieurs fois le jeton qu'il a reçu d'un serveur de fédération de comptes pour s'authentifier auprès d'un serveur de fédération de ressources. Cette action se produit quand un utilisateur clique sur le bouton Précédent de son navigateur pour renvoyer la page d'authentification.
AD FS fournit une fonctionnalité appelée détection de relecture de jetons qui permet de détecter et d'abandonner plusieurs demandes de jeton utilisant le même jeton. Quand cette fonctionnalité est activée, la détection de relecture de jetons protège l'intégrité des demandes d'authentification dans le profil passif WS-Federation et dans le profil WebSSO SAML en s'assurant qu'un même jeton n'est jamais réutilisé. Cette fonctionnalité doit être activée dans les situations où la sécurité est très importante, par exemple quand des bornes sont utilisées.
Dans l'exemple des bornes, un utilisateur peut se déconnecter de tous les sites web, puis un utilisateur malveillant peut essayer d'exploiter l'historique de navigation pour renvoyer la page d'authentification fédérée que l'utilisateur précédent avait chargée. Cette fonctionnalité limite ce risque en stockant des informations supplémentaires au sujet de chaque authentification réussie effectuée par une organisation partenaire de compte pour détecter les relectures ultérieures du jeton et empêcher plusieurs tentatives d'authentification.